View
220
Download
1
Category
Preview:
Citation preview
M7
Napredno vzdrževanje strojne opreme Učno gradivo
Ljudska Univerza Radovljica
Napredno vzdrževanje strojne opreme
RačunalnikarUčno gradivo (v 10)
Igor Šifrer 2011
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 2
Napredno vzdrževanje strojne opreme Učno gradivo
Povzetek
Učno gradivo sledi učnemu načrtu Ministrstva za šolstvo in šport (MŠŠ) za predmet raquoNapredno vzdrževanje strojne opremelaquo za izvedbo programa raquoRačunalnikarlaquo Omenjeno gradivo obravnava strokovno področje računalništva informatike računalniških omrežij vzdrževanja tako strojne opreme kot tudi ukrepi v primeru informacijskih nesreč
Gradivo obravnava zgodovino strojne opreme osnove koncepta računalnika zgradbo mikroprocesorjev zgradba matične plošče sestave in vrste računalnikov izvedbena faza projekta zamenjave strojne opreme pilotna faza naprednega vzdrževanja patenti ter varnost pri strojni opremi informacijske nesreče strojne opreme in kako preprečiti z vzdrževanjem kazenski zakonik z vidika IT prava
Gradivo je v pomoč predavateljem in dijakom da se lahko nemoteno soočijo z strojno opremo v kateremkoli družbenem okolju ali je to v pisarni na delovnem mestu doma ali šoli Vpeljuje dobro poznavanje in kritičnost napredne strojne opreme ki je vedno znova hitrejša zmogljivejša in tehnološko natančna
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 3
Napredno vzdrževanje strojne opreme Učno gradivo
Kazalo
1 Uvod 6
2 Strojna oprema 8
21 Prednosti sodobne strojne opreme
211 Napredno vzdrževanje prenosnih medijev 8
22 Pripravljalne faze naprednega vzdrževanja strojne opreme 9
23 Količinski prevzem 10
24 Pilotni prevzem 10
25 Arhitektura strojnega sistema 11
26 Lociranje strežnikov 12
27 Specifikacije in testiranje protokolov 13
28 Varnost strojne opreme 14
29 Odkrivanje napak 15
3 Načrtovanje strojne opreme 17
34 Napredni operacijski sistemi 1834 1 Navodila za izdelavo tehničnega poročila 20
3 4 2 Napredno svetovanje in pomoč uporabnikov 22
4Tveganje pri upravljanju napredne strojne opreme 2441 Sprememb pri strojni opremi 25
5 Varnost 27- Identifikacija strojne opreme 30- Ocena stroškov potencialnih izgub 33- Tveganje pri namestitvi nove strojne opreme 34
51 Informacijske nesreče varnostna politika in pravo 36
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava 38
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 4
Napredno vzdrževanje strojne opreme Učno gradivo
53 Podatkovne zbirke na diskih strojne opreme 40
54 Patenti 41
55 Blagovne in storitvene znamke ter modeli strojne opreme 42
56 Varstvo zaupnih podatkov na strojni opremi 42
57 Varstvo osebnih podatkov 43
58 Podatkovne zbirke na diskih strojne opreme 44
59 Prekrški in kazniva dejanja v zvezi z podatki na strojni opremi ndashdiskih 44
6 Literatura 45
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 5
Napredno vzdrževanje strojne opreme Učno gradivo
1 Uvod
Računalniki so že zdavnaj postali nepogrešljiv sestavni del poslovanja podjetij Težave z računalniško opremo doma v podjetju šoli povzročajo stroške zato je zanje potrebno ustrezno poskrbeti Napredno vzdrževanje strojne opreme posveča posebno pozornost potrebam majhnih in srednjih podjetij saj je vse večji del vašega poslovanja odvisen od informacijskih tehnologijV praksi se srečujemo z dvema vrstama vzdrževanja in sicer vzdrževanje na klic in pogodbeno vzdrževanje Prvo deluje tako da pokličemo ko gre kaj narobe in napake odpravimo v skladu z našim cenikom pri pogodbenim vzdrževanju pa za vas poskrbimo bolj celovito Pogodbeno vzdrževanje vam prinaša kratke odzivne čase ter roke popravila dosegljivost strokovnjakov ne glede na čas
manjše in pregledne stroške
preventivne preglede katerih namen je pravočasno odkrivanje težav preden se te razvijejo v večje okvare
varnost vaših podatkov
po potrebi nadomestno opremo za nemoteno delo
Ker ima vsako podjetje različne potrebe in izzive je pred podpisom pogodbe potreben natančen ogled opreme na vaši lokaciji na podlagi katerega nato skupaj določimo najbolj primerno obliko sodelovanja Glede brezplačni obisk strokovnjakov se potem rešujejo problemi na strojni opremi
Danes lahko izbiramo izmed ponudnikov strojne opreme veliko proizvodov ki so napredni in tehnološko zmogljivejši
V programu računalnikar je predmet napredno vzdrževanje strojne opreme pomemben del pedagoškega izobraževanja za dijaka
Širina znanja o strojni opremi je seveda kot pri programski opremi zelo široka vendar te znanja dijak lahko pridobi tekom predmeta ali kot interdisciplinarno povezovanje z ostalimi predmeti Menim da je program računalnikar v sozvočju z ostalimi dosedanjimi predmeti primeren za končni produkt programa in opravljenega izpita
Strojne opreme se lahko lotimo z svojo gorečnostjo tako da se jo strokovno lotimo po posameznih modulih M8 - je samo eden izmed njih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 6
Napredno vzdrževanje strojne opreme Učno gradivo
Vpeljani pojmi
Strojna oprema ndash pojem oz področje računalnika združene strojne opreme v nekem zaprtem ohišju modulu ki predstavlja osnovne komponente za primerno delovanje računalnika
Napredno vzdrževanje ndash pojem oz imenovanje vseh vrst pilotskih projektov za izdelavo ali izboljšanje obstoječe strojne opreme matične plošče procesorja vh-izh enot ipd
Vprašanja za ponavljanje
Kaj je to strojna oprema Katera je zastarela strojna oprema in katera napredna Kaj je procesor v matični plošči Napredna strojna oprem ima slogan delovati pomeni živeti Razloži
Razišči in opiši
Poišči vsaj štiri podjetja v Sloveniji ki se ukvarjajo z prodajo strojne opreme Naredi programu Power Point zgradbo svojega osebnega računalnika Katere strokovne revije o računalništvu bi prebral če bi želel izvedeti največ o
napredni strojni računalniški opremi
Spletne povezave virov
Rado Westerbach Informatika učbenik 2009 - Gimnazija Jesenice
httpwwwnauksiračunalništvo za srednje šole
Google httpwwwgooglecom
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 7
Napredno vzdrževanje strojne opreme Učno gradivo
Spletni portal httpwwwpraktiksi
httpwwworiacom
httpwwwibmcom
httpwwwhpcom
Spletna revija COMPUTER WEEKLY ndash VB httpwwwcomputerweeklycomhome
Spletna revija COMPUTERWorld ndash ZDA httpwwwcomputerworldcom
2 Strojna oprema
Beseda strojna oprema izvira bolj iz besednjaka ko popravljamo avtomobil ali dele vrtne opreme vendar je pri tem predmetu to mišljeno predvsem celotno hardwear besedoslovje ki vključuje pojme kot so matična plošča procesor vhodne izhodne enote pomnilnik ohišje delovni pomnilnik ipd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 8
Napredno vzdrževanje strojne opreme Učno gradivo
Z računalniško strojno opremo smo si pripravljeni spremeniti navade odnos življenje Zatorej širimo znanje o kakem prenosu podatka ali odnosu v družbi V dobi informacijskega veka smo za primerne informacije pripravljeni kupiti najnovejšo strojno opremo za veliko denarja V hitrem informacijskem svetu hitro hitrejšo takoj napredno strojno opremo brez komunikacije in sistemov opreme ne moremo uporabiti kot pa so jo to sredi prejšnjega stoletja
Strojna oprema še posebno napredna se razvija iz dneva v dan vse bolj in bolj in vpliva na sodobnega človeka neposredno
21 Prednosti sodobne strojne opreme
Kvalitetna strojna oprema omogoča delo na različnih družbenih področjih kot so
Medicinska strojna oprema
Poslovna in zavarovalniška strojna oprema (delniško poslovanje- Wall Street Bančni poslovni inf sistemiipd)
Robotika
Prostorska in geodetska strojna oprema
Bio-informatika
Napredna izvedba strojne opreme za potrebe Outsourcinga raquood-zunajlaquo
Strojna oprema državni upravi
Strojna oprema namenjena za uporabo zahtevnih raziskav na terenu nemogočih tehničnih pogojev v delovnih okoljih (NASA SHELL FBI ipd)
Zabavna strojna oprema (računalniške igrice z svojo opremo Walt Disney Animirani filmi ipd)
Razpis za izbiro proizvajalcev dobaviteljev in izvajalcev napredne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 9
Napredno vzdrževanje strojne opreme Učno gradivo
Postopek izbiranja je zakonsko opredeljen Seveda kot računalničar ni toliko bistveno zakonsko stališče kot le pravila in izkušnje
A) Pomembno je izbiranje usposobljenih dobaviteljevB) Končno izbiranje proizvajalcev dobaviteljev in izvajalcev
Pri napredni izbiri strojne opreme moramo razlikovati proizvajalce dobavitelje in izvajalce vzpostavljanja komunikacijske infrastrukture Poleg strokovnih in finančnih ter časovnih lastnostih izbire ima vedno večjo težo ponudba napredne strojne opreme Ker želimo ponavadi že na določeno strojno opremo da opremo inštalira isto podjetje ponavadi izberemo ustrezno podjetje ki ponuja nadgradnjo le omenjene
22 Izvedbena faza projekta zamenjave strojne opreme
Tukaj govorimo o fizičnem postavljanju omrežja in strojne namestitve Prvi korak v tej smeri je podpis pogodbe z izbranim dobaviteljem napredne strojne opreme Zavedati se moramo da računalniška strojna oprema predstavlja hrbtenico kompleksnega porazdeljenega sistema zato je priporočljivo da kupec in dobavitelj podrobno opredelita želeno napredno strojno opremo inštalacije oz namestitve testiranje strojne opreme prevzemanje komunikacijske infrastrukture Upoštevati moramo naslednje vprašanja
Kako ugotavljamo ustreznost opreme
Kako ugotavljamo zmogljivost opreme
Kaj pomeni dobaviti določeno opremo
Kako bomo upoštevali zunanje faktorje ki vplivajo na potek izvedbe napredne strojne opreme
23 Količinski prevzem
Potrdi da je dobavitelj fizično dostavil strojno opremo opredeljeno s pogodbo Smiselno je da je naročnik za dobavljeno opremo sprejel le tisto ki je inštalirana na vnaprej opredeljeni lokaciji Inštalacija mora potrditi osnovno lokalno funkcionalnost strojne opreme Kot primer
na določeni lokaciji se nahaja usmerjevalnik z ustrezno linijsko opremo (konvertorji modemi monitorji ipd) ki je priključena na napajanje in prenosne medije Ker je računalniško
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 10
Napredno vzdrževanje strojne opreme Učno gradivo
omrežje kompleksen sistem je potrebno potrditi vsebinsko in funkcionalno ustreznost količinsko prevzete opreme Pogodba mora predpisovati način in pogoje testiranja ustreznosti opreme Običajno priv test napredne strojne opreme opravi naročnik ki lahko ugotovi nepravilnosti ki jih mora dobavitelj odpraviti in se izvajajo vsi naslednji testi na račun dobavitelja Ta predhodni korak prevzemanja zagotovita da oprema količinsko in funkcionalno ustreza naročeni strojni opremi
Preverjanje povezljivosti strojne opreme je proces nastavitve sistemskih parametrov za predvideni način delovanja in testiranja kompatibilnosti lokalne infrastrukture z okolico
Za izvedbo testa strojne opreme je potrebna primerna strojna računalniška oprema
24 Pilotna faza
Pilotna faza je namenjena preverjanju že nameščene strojne opreme kot celote s poudarkom na analizi zmogljivosti napredne strojne opreme saj je konformnost preverjena že v prejšnjih fazah
Pogosto se zgodi da zaradi različnih objektivnih razlogov projekta ni mogoče namestiti v dogovorjenem roku Razlog je lahko primer da za določeno lokacijo ne moremo najti ustreznih prenosnih poti ob tem pa večina lokacij (npr delovnih strojnih postaj) že uspešno deluje V takem primeru bi bilo nesmiselno odlagati nadaljevanje vzpostavljanja hrbtenice to je pilotno fazo delovanja
Pilotna faza namestitve strojne opreme se torej lahko prične ko vse lokacije lokalno privzete in ko ugotovimo dogovorjeni odstotek pogojno prevzetih lokacij hrbtenice računalniškega omrežja
Pilotna faza ni opredeljena samo s testi ampak je njeno bistvo predvsem opazovanje in presojanje delovanja napredne strojne opreme v delovanju V tej fazi končni uporabniki npr dijaki še ne morejo pričakovati predpisane kvalitete in stabilnosti delovanja Pilotna faza se zaključi takrat ko ugotovimo da omrežje določen čas deluje s predvideno zmogljivostjo in razpoložljivostjo npr več kot 95
Prevzem celotnega računalniške strojne opreme pomeni da naročnik dobavitelju prizna izpolnitev vseh pogodbenih obveznosti in obratno Poleg tega pa je potrebno poskrbeti za
- vzpostavitev nadzora in upravljanja omrežja s strani naročnika- zagotavljanje vzdrževanja in servisiranja vzpostavljene infrastrukture- ustrezno podporo končnim uporabnikom
Z zaključkom te faze omrežje pride v produkcijsko fazo s katero se začne normalen življenjski cikel naprednega vzdrževanja strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 11
Napredno vzdrževanje strojne opreme Učno gradivo
25 Arhitektura strojnega sistema
1slikaarhitektura ohišja
Mehanizem odjemalec ndash strežnik
- Izpad odjemalca
Strežnik ki je ostal brez svojih odjemalcev ker so ti nehali delovati ali so nedosegljivi imenujemo sirota
Tak strežnik požira vire lastnega sistema kar pa še ni najhuje Več težav lahko povzroči zmeda ki nastopi v vrstah odjemalcev ki se ponovno vzpostavljajo in dobivajo od strežnika odgovore na svoje zahteve iz časa pred izpadom Teh zahtev se namreč ne raquospominjajolaquo in ne vedo kako naj interpretirajo odgovore
Za reševanje take situacije pri naprednem vzdrževanju strojne opreme poznamo nekaj situacij
- Iztrebljanje je dokaj drakonska strategija takoj ko se odjemalec ndash roditelj procesa ponovno zavre samega sebe strežniku naroči da naj razvrednoti vse njegove morebitne procese Algoritem mora teči ker lahko najdemo v primeru pogostih izpadov na strežniku tudi procese posameznih zahtev
- Reinkarnacija je tretja strategija Odjemalec razseka čas v zaporedne intervale imenovane epohe Če odjemalcu po metodi iztrebljanja ni uspelo ubiti vseh svojih zahtev ndash procesov lahko oznani vsem strežnikom začetek novega obdobja Strežniki uničijo vse tiste zahteve ki ne sodijo v sedanjo uporabo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 12
Napredno vzdrževanje strojne opreme Učno gradivo
26 Lociranje strežnikov
V praksi nameščanja nadomestne strojne opreme je imenski strežnik tisti ki vodi evidenco o vseh ostalih strežnikih Odjemalec se s svojim problemom obrne na imenski strežnik in mu ta predlaga izvajalca Imenski strežniki se uporabljajo za izvedbo elektronske pošte
Ob namestitvi novega strežnika je potrebno ob njegovem obstoju obvestiti imenski strežnik Za to lahko poskrbi sama delovna postaja avtomatsko največkrat pa je potreben poseg vzdrževalca imenskega strežnika
Dostikrat odjemalec želi ugotoviti kateri strežnik je najbolj primeren za izvršitev njegove zahteve
27 Specifikacije in testiranje protokolov
S problemi testiranja komunikacijskih protokolov se soočamo v napredni strojni opremi že od začetkov povezovanja računalniških sistemov v omrežja Področje analize in testiranja komunikacijskih protokolov se je uvrstilo v okvire implementacije komunikacijskega procesa
Izvedba protokola je porazdeljen sistem v katerem ima vsak proces določeno stopnjo lokalne avtonomije in na nek način interakcije z okolico
- Informacijske storitve sistemov
Osnovni namen informacijsko komunikacijskih sistemov je nudenje svojih posrednih ali neposrednih storitev uporabnikov
Med standardne storitve sodijo na primer različne izvedbe računalniško podprtih omrežnih informacijskih sistemov z bolj ali manj decentraliziranimi elementi O splošnih lastnostih teh storitev velja da v vseh operacijskih sistemih podpirajo standardne storitve kjer se stikata lokalni uporabnik računalnik ndash odjemalec in virtualna naprava strežnik
28 Varnost strojne opreme
Varnost nadgradnje strojne opreme je zelo obsežen pojem zato ga je potrebno skrbno prestrukturirati Zanesljivost sistema dosežemo predvsem s skrbnim načrtovanjem nadzorom in upravljanjem sistema Pri tem imata pomembno vlogo organiziranost poslovanja in
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 13
Napredno vzdrževanje strojne opreme Učno gradivo
usposobljenost uporabnikov To področje je izredno široko in ga na tem mestu ne bomo obravnavali saj predstavlja samostojno disciplino sistemskega inženiringa
Zaščita sistema opazujemo z dveh osnovnih zornih kotov
- zaščita na nivoju končnih računalnikov ndash lokalna zaščita- zaščita ki je potrebna zaradi narave decentraliziranih sistemov ndash decentralizirana
zaščita
Iz vsakdanjega življenja vsi poznamo primere v katerih nam zelo veliko pove že dejstvo da vemo med katerimi ljudmi v določenem trenutku poteka komuniciranje ne glede na to da same vsebine ne moremo razbrati Ravno tako v primeru da razpoznamo da strojna oprema pri zagotavljanju kakovostnega komunikacijskega delovanja ne deluje jo nadomestimo z nadgradnjo
29 Odkrivanje napak
Pri uporabi in delovanju strojne opreme pride do napak predvidoma na prenosnih medijih kjer se lahko dogajajo napake Najpreprostejši način je odkrivanje napak v okviru nameščene strojne opreme v kontroli maske kjer je strojna oprema evidentirana kot okolje Windows
Komercialne različice računalniške strojne opreme s skupinskih prenosnim medijem se je pričela tudi kot omrežje
a) brezžičnoJe tisto ki je kot prenosni medij fizično opredeljivo z radijskimi valovi ali svetlobo
b) mobilnoOmrežje ni nujno brezžično bistveno je da podpira selitve računalnikov
Kot primer lahko navedem kombinacijo klasičnega modema in brezžičnega telefona ki ga lahko napredno vzdržujemo preko modema priključenega na modem npr v hotelski sobi in ga preko te linije vstopamo v drug računalnik ki je v povezavi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 14
Napredno vzdrževanje strojne opreme Učno gradivo
2slika diagnostika
- Napredno vzdrževanje prenosnih medijev
Prenosni mediji niso le žice kot pogosto najprej pomislimo Pojem bomo nekoliko razširili saj ne smemo pozabiti na prenosne medije ki nimajo zveze z računalniškimi komunikacijami tičejo pa se računalniških informacijskih sistemov
Z vidika IKS-a je poznavanje prenosnih medijev zanimivo le v toliko kolikor različne oblike prenosnih medijev omogočajo zasnovo prenosnih kanalov z različnimi kapacitetami primernih za različne razdalje in različno ceno Njihova tehnologijama sodi v področja ki so razdeljena
- Koaksialni kabel- Brezžične povezave- Optično vlakno
Optična vlakna so danes najzanesljivejši prenosni medij Prevajajo svetlobne signale ki jih običajno vzbujamo z laserskimi napravami Signal med prenosom po optičnem mediju le malo oslabi Danes dosegamo 100 kilometrske prenose brez ponavlalnikov signala Kaj takega je po parici ali koaksialnemu kablu nedosegljivo Kapaciteta optičnega kanala 100 Mbits na omenjeni razdalji ni vprašljiva na krajših odsekih pa so na pohodu že kapacitete 100 Gbits
- Brezžične povezave
Med brezžične povezave prištevamo več skupin povezav ki so zasnovane na širjenju elektromagnetnega valovanja skozi prostor Tipične oblike so
- Radijske zemeljske povezave
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 15
Napredno vzdrževanje strojne opreme Učno gradivo
- Mikrovalovne usmerjenje povezave- Infrardeče povezave - Satelitske povezave
Poleg brezžičnih povezav spada v nepogrešljivo komunikacijo tudi telefonsko omrežje Vzdrževanje telefonskega omrežja ima dostop večine opisanih graditeljev računalniških omrežij
Pripravljalne faze naprednega vzdrževanja strojne opreme
- Identificirati pristopne točke pokvarjenih delov strojne opreme- Oceniti storitve pokvarljivosti strojne opreme- Oceniti vrednost investicije za namestitev strojne opreme ter infrastrukturo ki bo
zmogla ocenjene napake opredeliti in načrtovati grobe okvire nove infrastrukture- Zagotoviti vire financiranja nameščanja nove strojne opreme
To sicer ni tehničen problem vendar pa navadno predstavlja nepomembnejše in pogosto najzamudnejše opravilo z dokaj nepredvidljivim izidom
- Opredeliti osnovne izvedbe okvire izvedbe Ti so neodvisni od infrastrukture dinamike financiranja in drugih dejavnikov Že v okviru te faze projekta je potrebno vzpostaviti stike z nameščeno strojno opremo
Večina ljudi čuti naraven odpor do razstavljanja električnih naprav in to z razlogom Proizvajalci drugih naprav vedno svarijo naj jih uporabniki ne odpirajo sami Možnost električnega šoka je prisotna pri vsej strojni opremi Vsi računalniki ne sodijo mednje saj so narejeni tako da jih uporabnik lahko do neke mere sam priredi
Ko nameščamo napredno strojno opremo npr v ohišju moramo najprej izključiti vse napeve
Iz vtičnice potegnemo napajanje za računalnik in za vse naprave ki so nanj priključene Nikakor se namešča napredne strojne opreme dokler je vtikač v vtičnici Ne samo da to škoduje računalniku nevarno je tudi za samega vzdrževalca oz uporabnika
Ohišje je lupina v katero so nameščene komponente ki sestavljajo jedro računalnika Napajalnik (ang power supply) pa je naprava ki pretvarja standardno omrežno izmenično napetost v nižje enosmerne napetosti ki jih za delovanje potrebuje računalnik
Čeprav nekateri pravijo da je to smešno sodita ohišje in napajalnik popolnoma upravičeno na vrh seznama obveznih komponent Brez njiju ni nobenega računalnika Včasih sta drug z drugim neločljivo povezana čeprav raquohodita vsak svojo potlaquo Kakršna vrsta strojne opreme se najprej ugotovi po ohišju ki je pri namiznih računalnikih zelo razkošno V ohišju najdemo prostor za osnovno ploščo z potrebnimi komponentami trde diske različne vmesniške kartice
Hrupa ki je pri stojni opremi v računalniku se lotimo ko reže v ohišju skozi katere priteka zrak v računalnik in ventilator napajalnika povečamo Ko nameščamo napredno strojno
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 16
Napredno vzdrževanje strojne opreme Učno gradivo
opremo mora biti tudi ohišje na primernem zračnem mestu To sicer ne pomeni da moramo računalnik spraviti pod mizo vendar moramo poskrbeti za učinkovit zračni preskok
Ohišja namiznih računalnikov se lahko med seboj močno razlikujejo vsa pa so praviloma dokaj velika in vanje je že vgrajen napajalnik Vgrajeni napajalnik je pri namiznih računalnikih najmočnejši ne pa edini vir hrupa Za hrup je ponavadi kriv ventilator ki skrbi za hlajenje napajalnika ohišje pa velikokrat deluje kot kakšen resonator in hrup še veča
Pri napredni strojni opremi ohišja računalnikov razdelimo na tri skupine
- Plosko ohišje
Ima obliko kvadrata z največjo ploskvijo kot osnovno stranico Navadno ga postavimo na eno od stranskih stranic in tako simuliramo ohišje v obliki stolpa Na voljo je več izvedb ploskih ohišij Tako lahko izbiramo med večjimi in manjšimi ohišji ter med bolj in manj primernimi za odpiranje
- Kompaktni sistemi
Pri kompaktnih sistemih je klasično ohišje računalnika združeno z ohišjem monitorja vanj pa so pogosto vgrajeni še zvočniki in mikrofon Ves računalnik je praktično v enem kosu vanj nista le integrirana le tipkovnica in kazalna naprava Čeprav računalniki po kompaktnosti približujejo prenosnim računalnikom Se za stalno prenašanje vseeno nekoliko okrni Kompaktni sistem je prava izbira če računalniku ne želite nameniti več prostora kot ga potrebuje povprečen monitor ali če se vam prenosni računalniki ne zdijo primerni zaradi cene oz premajhne tipkovnice
- Ročni računalniki so strpani v najmanjša ohišja kar jih je To ni nič čudnega saj morajo biti tako majhni da jih je mogoče med uporabo držati v roki Po velikosti lahko računalnike primerjamo z nekoliko boljšimi računali
- Osnovne plošče
Računalnik je skupek komponent
Tako delimo strojno opremo znotraj ohišja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 17
Napredno vzdrževanje strojne opreme Učno gradivo
3 slika pri CD-ju in CD romu je možno popravljanje napak
Če nameščamo vse tiste komponente ki jih osnovne plošče vgradijo izdelovalci računalnika ali jih nanje namestijo sestavljavci računalnikov glede na želje uporabnikov ali želje kupcev
- Procesor
Kljub pomembnosti je procesor najbolj odgovorno in je pri naprednem vzdrževanju potrebno ločeno kupiti ali popraviti od osnovne plošče Na njej je podnožje kamor ga sestavljavec računalnika lahko zamenja ali nadomesti z bolj zmogljivim Izdelovalci plošč skrbijo da je posamezna osnovna plošča uporabna z celo družino procesorjev včasih celo z različnimi družinami Družine se seveda razlikujejo po oznakah Večina korporacij med strojno opremo še posebno v zadnjem času se razlikuje po hitrosti delovnega takta frekvenci prenosa in zmogljivosti
3 NAČRTOVANJE STROJNE OPREME
Načrtovanje strojne opreme lahko izbiramo ob nakupu primernih računalnikov s pomočjo svetovalca serviserja ali vzdrževalca informacijske opreme Uporabe računalnikov in posebnih programov v proizvodnji in arhitekturi postavitve linijskih proizvodnji procesov urejajo posebni programi CAD
Za izdelavo prevodnikov in polprevodnikov na matični plošči oz integriranih vezij lahko srečamo naslednje kovine
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 18
Napredno vzdrževanje strojne opreme Učno gradivo
Krom barij iridij svinec paladij tantal arzen berilij baker zlato kadmij
Pri gradnji informacijske opreme in sistemov na osnovi mikroprocesorjev potrebujemo dodatne elemente rečemo jim raquopodporni elementilaquo To so periferni adapterji časovna vezja DMA krmilniki množilniki frekvence ROM in RAM pomnilniki Na osnovi fizičnih diskov pa imamo povezave IDE ter SATA vmesnikov - RAID diskov v samem ohišju računalnika
V tem času je podjetje Intel še razvilo večjedrsko delitev v enem procesorju kar pomeni da si vsa jedra morajo deliti predpomnilnik dostopnost do pomnilnika ter usklajeno delovati in imeti povezave do ostalih elementov Procesorji s porabo in zmogljivostjo Teraflop že omogočajo prepoznavo govora obraza in rokopisa Hitrost zmogljivosti število jeder ter odvajanje toplote pri mikroprocesorjih se bo eksponentno povečevalo (Intel source view 2010)
Vprašanja za ponavljanje
Kaj je več jedrski procesor Kaj je to napredni RAM Razišči in opiši katera napredna strojna oprema je na slovenskem trgu
34 Napredni operacijski sistemi
V naprednih strojnih vodah je znana večja prepoznavnost Windows XP operacijskega sistema ki ga ob nakupu lahko nastavimo in kasneje enostavno vzdržujemo
Vgrajena orodja znotraj OS-a
Raziskovalec (computer managment ) Register Nadzorna plošča in spremljajoči programi ter nastavitve
Kot pri vsaki informacijski opremi je preventiva vedno najprimernejša
V OS Windows XP_Nadzorni plošči_Computer managment imamo vsa navodila in upravljanje z napakami in popravki tako programske opreme napake na trdih RAID diskov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 19
Napredno vzdrževanje strojne opreme Učno gradivo
namestitev gonilnikov starih verzij programske opreme sistemske in aplikativne napake ter odstranitev vseh uporabnikov ki niso več priključeni v informacijski sistem
Nameščanje in odmeščanje strojne opreme (gonilnikov matične plošče uporabnih vhodnih -izhodnih enot sistemske strojne opreme ter do končnega cilja namestitve Odmeščanje ali odstranitev strojne opreme pri napredni strojni opremi pa je v okolju Windows XP narejeno z posebnimi odnamestitvenimi programi istega proizvajalca oz operacijskega sistema v našem primeru preko Windows nadzorne plošče
Register ki beleži vse namestitve ter spremembe programov znotraj le-tega ima funkcijo spominanja zatorej mora računalnikar uporabiti zmogljiva vzdrževalna orodja ki pretekle namestitve strojne opreme pobrišejo veliko hitreje kot pa uporabnik
Zaščita strojne opreme na uporabniškem nivoju poteka preko dodatnih požarnih zidov z nekaj 1028 bitnim ključi in več V primeru povezav veš računalniških sistemov in mrež znotraj LAN-a imajo najnovejša strojna oprema že nameščene programe za požarni zid znotraj HW proizvoda
3 slika primer brezžične matične plošče
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 20
Napredno vzdrževanje strojne opreme Učno gradivo
i Navodila za izdelavo tehničnega poročila
Kakovostna in po navodilih nadrejenega vzdrževalca - računalnikarja morajo biti zapisana v točno določenem Word formatu z primernim oblikovanjem in zapisom
Struktura naj bo sledeča
Naslovnica
Na njej je logotip Ljudske Univerze Radovljica naziv predmeta ime in priimek dijaka (tehničnega poročila seminarske oz pogodbenika) ime in priimek mentorja mesec in leto izdelave
Povzetek
V nekaj stavkih se povzame vsebino tehničnega poročila seminarske naloge oz naprednega nameščanja strojne opreme
Kazalo vsebine
Je izdelano na podlagi uporabe slogov za naslove Nivoji naslovov naj dosegajo največ nivo 3 (123)
Kazalo slik
Slike ki so uporabljene v nalogi morajo imeti napise Kazalo slik je izdelano na podlagi uporabe sloga za napise (arial 8 pt)
Poglavje uvoda
V tem poglavju se na eni strani strne in izbere kratko in jedrnato uvodna misel avtorja Namen uvoda je da bralca seznani z postopoma brano tematiko v gradivu
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 21
Napredno vzdrževanje strojne opreme Učno gradivo
Ostala poglavja
Nato sledijo ostala poglavja kot si jih je zamislil dijak
Povzetek
V povzetku se na kratko povzame obravnavan tema in nakaže morebitne težave in priložnosti pri obravnavanju tematike
Literatura
Zaradi avtorskih pravic in nelegalnega kopiranja inovacij predvsem tehničnih izumov se vedno navaja vire in informacije od tam kjer je avtor napisal strojno pogodbo tehnično poročilo ali seminarsko nalogo
Literatura zavzema spletne naslove podjetij gradiv časopisov revij in knjižnih strokovnih knjig
-------------------------------------------------------------------------------------------------------
Velikost pisave je 12 ali 14Pt
Vrsta pisave je Times New Roman
Slogi napisov
Naslov 1 pisava Cambria velikost 14pik krepko
Naslov 2 pisava Cambria velikost 13 pik krepko
Naslov 3 pisava Cambria velikost 12 pik krepko
Jezik
V strokovno-znanstveni literaturi je uporaba knjižnega jezika in urejevalnika besedil smiselna V primeru da je prevod izraza v tujkah se v oklepaju navede vrsto tujega jezika in prevod Primer
RAM (ang Random Access Memory)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 22
Napredno vzdrževanje strojne opreme Učno gradivo
Obseg
Tehnično poročilo je predvideno do 4 strani v primeru modula M8
Vzdrževalna pogodba je kratka in po členih pravno definirana v obliki medsebojnega dogovora naprednega vzdrževanja strojne opreme ter lastnika zastarele strojne opreme
Seminarska naloga je definirana glede na temo ni vrsto seminarske zatorej je priporočljivo imeti navodila strani- obsega ob začetku pisanja
Vprašanja za ponavljanje
Kakšno je tehnično poročilo
Zakaj je strojna oprema potrebna naprednega vzdrževanja ob koncu leta
Kakšne vrste pogodb o namestitvi strojne opreme poznaš v IT-ju
Kako izgleda licenčna namestitev strojne opreme Glej primer HW podjetij ki uporabljajo strojno opremo IBMHPLogitech ipd
Spletni brskalniki
Glede na naravo dela in poznavanje novih strojnih namestitev ter naprednih oprem ki nastajajo v posameznih multunacionalnih laboratorijih in proizvodnih procesih mora računalnikar biti seznanjen z novimi produkti oz strojno opremo v sodobnem času
Uporabo dostopa do wwwgooglecom wwwhpcom wwwibmcom wwwapplecom mu omogočajo pri velikanski izbiri na trgu da poišče primerno opremo proizvajalca zamenjati določen zastarel že servisiran produkt mikroprocesor izh-enoto ipd
Za brskanje po spletu je važno da se spozna na prodajo in uporabo strojne opreme kot tudi posameznih enot Oprema ki jo bo vzdrževal ima neko serijsko številko oziroma namestitveno pogodbo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 23
Napredno vzdrževanje strojne opreme Učno gradivo
Diski in na njem zaupni podatki strojna oprema ponarejanje in zamenjava s slabšimi produkti dolgoročne ne vodi računalnikarja tako do osebnega kot tudi poslovnega uspeha Res je da je mnogo različno kakovostnih produktov strojne opreme na trgu vendar tudi zloraba pri naprednem servisiranju in vzdrževanju prinašata posledice
Računalnikar se bo na terenu srečeval z identitetami računalnikov podjetij organizacij ki so po svoji naravi različna
Kot primer navajam uporabniške skupine strojne opreme ki so privrženci za Apple ter uporabniki oz privrženci za IBM Vsi bodo hvalili in zagotavljali boljšo kvaliteto in kakovost svoje strojne opreme
Zatorej vedno v tehničnem poročilu navedemo stanje strojne opreme pred našim prihodom in po tem ko smo jo le-to vzdrževali
Tako se profesionalno in komunikacijsko obnašamo s stranko kot pravi računalnikar z veliko odgovornostjo
Napredno svetovanje in pomoč uporabnikom strojne opreme
Pri pomembnosti komunikacije s s stranko moramo torej uporabljati pravila profesionalnega vedenja do stranke
Analizirati učinkovitost obstoječe strojne opreme Svetovati napredne matične plošče procesorje vodila Upoštevati različne strojne zahteve glede na namembnost osebnega računalnika Upoštevamo pomembnost shranjevanja dokumentacije vsaj 4 leta
S stranko je važno da vedno komuniciramo prijazno spoštljivo in umirjeno Kot svetovalec oz napredni računalnikar si lahko informacije o strojni opremi izmenjujemo preko strokovnih forumov novičarskih fan-tehničnih skupin (Apple HP Microsoftipd) ali pa smo povezani preko help-desk podpore na lokalnem zaščitenem omrežju kjer odpravljamo napake na terenu takoj
Zelo pomembna je tudi hitra odzivnost hitro in natančno odpravljanje napak poštenost do stranke ter na koncu primerna cena napredne strojne opreme vzdrževanja
Vprašanja za ponavljanje
Kaj je to komplet čipov
Kaj je osveževanje podpisana pogodbe o strojni opremi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 24
Napredno vzdrževanje strojne opreme Učno gradivo
Kaj je to etičnost in morala pravočasne namestitve napredne strojne opreme
4 Tveganje pri upravljanju napredne strojne opreme
Ko izrečemo ali preberemo besedi raquotveganje upravljanja napredne strojne opremelaquo se ne zavedamo da je tveganje skrito že kar v prvi besedi raquoupravljanjelaquo Tisti ki so odgovorni za upravljanje se tega namreč premalo ali sploh ne zavedajo Tveganja ki se v pri strojni opremi ter poslovnih subjektih na tem nivoju kažejo so
- nikoli dovolj resursov- cilji so nejasni- ni definirane politike standardov- število tveganj je preveliko ne ve se katera strojna oprema je najbolj pomembna- ni kulture
Sicer pa prevladuje prepričanje da se verjetno ne bo nič zgodilo Opisano ni zgled vodstvaZato moramo v svojo organizacijo sistematično s celostnim pristopom vpeljatiupravljanje tveganj Za drugo besedo raquotveganjelaquo se lahko vprašamo na kajnajprej pomislimo v vsakodnevnem življenju ko jo slišimo Najbrž pomislimo dalahko nekaj z določeno verjetnostjo izgubimo Preprosto sklepamo kaj in koliko lahko izgubimo ob neljubem dogodku to opredelimo z raquoresnostjolaquo verjetnost da izgubimo paobičajno opredelimo kot raquofrekvencalaquo pojavljanjaTo da se zgodi tisto česar v bistvu ne želimo je naša raquoranljivostlaquo če se ustreznoodzovemo ali reagiramo na tak dogodek pomeni da smo v aktivnostih privzelidoločene raquoobrambnelaquo mehanizme in zmanjšali raquoizpostavljenostlaquo tveganjemPri obravnavanju tveganj se izvajajo procesi analize ocene in rešitve kar lahkoopredelimo kot raquoupravljanjelaquo Resnost se meri z vrednostmi ovrednotimo jo finančnotorej določimo znesek Verjetnost pa merimo oz ocenimo s številom dogodkov včasovnem obdobju največkrat na leto Seveda bomo pozorni in dogodke spremljali dotiste varnosti in zaščite ki sta primerni sprejemljivi in hkrati skladni z našimivrednotami standardi in ekonomskimi zmožnostmi V bistvu so stvari boljkompleksne vsekakor je pomembna hitrost v odzivnosti Če želimo obravnavati inprimerjati tveganja moramo primerjati razsežnosti tveganj Ni rečeno da so tveganjanizka po vrednosti in visoka po frekvenci z enakim učinkom itd Zanimivo je da so vZDA in anglosaksonskem svetu upravljanje s tveganji vzeli kot tekmovalno prednostmedtem ko je v EU to bolj posledica regulative
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 25
Napredno vzdrževanje strojne opreme Učno gradivo
41 Spremembe pri strojni opremi
Spremembe so silovite Hitro se razvijajoča informacijska in telekomunikacijskatehnologija zahteva nove poslovne modele Gonilniki sprememb vplivajo na poslovnesubjekte ki morajo biti prilagodljivi hitri in hkrati varni Vse to med drugim prinašanegotovost znotraj poslovnega sistema pa tudi v zunanjem okolju Obvladovanjesprememb zahteva izjemne intelektualne napore saj so pritiski na poslovne subjekteveliki Prihajajo s strani zahtev regulative zakonodaje varnosti standardov nadzorakontrol konkurence itd Odražajo se v vrednostnih pogajalcih za PS kot soohranjanje rasti stroški in učinkovitost načrtna razdelitev kapitala in prioritetno sejim pridružuje upravljanje s tveganji torej investiranje v varnost Ključna tveganja vteh transformacijah so tako strateška kot procesna Sem sodijo informacijski sistemi(IS) infrastruktura tehnologija stranke partnerji konkurenca in intelektualni kapital -človeški viri itd Vsako od omenjenih tveganj je sicer možno omiliti ali odpravitivendar je potreben holistični pristop standardizacija privzemanje kulture tveganjpotrebno je kreirati program upravljanja tveganj program varnosti vpeljatiupravljanje znanj integralna orodja za tveganja orodja za analize scenarijev insimulacij uvesti nove discipline in metrike ter dobro prakso In kakšna je potem cenavarnosti Ni univerzalnih navodil ni garancij za uspeh ker v globalnem svetunenehno nastajajo nova tveganja V mreži poslovnih verig so medsebojno odvisna Vnadaljevanju je nakazano strukturno razumevanje oziroma pristop k upravljanjutveganj informacijske tehnologije (IT) kot podpore IS-mu in procesom v poslovnihsistemih ne glede na to kateri industriji poslovni subjekt pripada
V področje upravljanja s tveganji IT (UT-IT) vsekakor spadajo informacijski sistemi[1] IT viri procesi projekti in druge danosti ter kategorije povezane z IT Področjezajema vsa operativna tveganja kot posledice Človeških in tehnoloških napak Jeizjemno široko kompleksno interdisciplinarne narave s poudarkom na ustreznemrazumevanju konceptov z več področij (varnost tveganja nadzor (revizije)neprekinjeno poslovanje) Izhodišče so informacije ki jih podpira IS kateregaomogoča informacijska tehnologija v vsaki organizaciji Informacije potrebujejoanalizo tako domene IS kot poslovne domene Informacije so vitalen vir vsakeposlovne enote zato so tudi tarča napadov z različnimi motivi in vplivi na poslovanjeUT-IT tako zajema uporabnike IT organizacijo IT in njeno dejavnost kot storitevkončnim uporabnikom
IT organizacija mora biti ustrezno organizirana da zagotavljaposlanstvo varnosti učinkovitosti IS in dostavo storitev Zato imavarnost v organizacijah več oblik Odvisne so ena od druge inpredstavljalo celotno varnost (fizičnondashtehnično varnost in upravljalnisistem informacijske varnosti)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 26
Napredno vzdrževanje strojne opreme Učno gradivo
Pogled na strukturo IT organizacije je priporočljiv z več vidikov in dimenzijPredstava v prostoru je znana IT raquokockalaquo Med IT vire pa na splošno opredeljujemo
- ljudi- aplikacije- tehnologijo- podatke- Podporo-
Taka struktura je pomembna za odpravljanje tveganj v IT organizacijah namrečzajema tako procese kot več disciplin in upravljanje dejavnosti IT organizacije S temdemonstriramo funkcionalnost ki zagotavlja kvalitetno storitev IT Taka strukturaomogoča boljšo dostavljivost IT rešitev kar pomeni učinkovitost IS in zmanjšanjedoločenih tveganj med njimi tudi usklajevanje poslovnih ciljev najvišjega vodstva zIT
Ker izhajamo iz informacije poglejmo njene lastnosti Glavni kriteriji za ocenjevanjeso zaupnost integriteta in razpoložljivost Metoda UT-IT pa je skupni imenovalec zaanalizo neprekinjenemu poslovanju [4] projektnemu vodenju [5] drugim disciplinamin revizijam ter informacijskim varnostnim tveganjem Tveganja iz naslovainformacijske varnosti lahko do določene stopnje primerjamo s kontrolami [6] S tegavidika kontrole zmanjšujejo tveganja in so povezane z revizijami (notranjimi inzunanjimi) Pri tem se opirajo na preglede v katerih se ugotavljajo primernost inskladnost varnostne arhitekture ter učinkovitosti izvajanja upravljanja tveganjTudi odločitve običajno temeljijo na informacijah če so informacije mehke pride doizraza večja negotovost in odločitve ki se sprejemajo lahko pripeljejo do usodnihdogodkov v katerih se tveganja uresničijo in nastajajo izgube v poslovanjuDefinicij informacije je precej Velja da je to vir vsakega poslovnega subjekta Takopridemo do vrednosti informacije kot vseh drugih vitalnih vrednih virov v poslovnemsistemu Prav neustrezno ravnanje z informacijami povzroča velika tveganja ininformacijsko nestabilnost Dejstvo je da se mora v digitalni ekonomiji in globalnemsvetu poleg socialne finančne in ekonomske stabilnosti upoštevati tudi informacijska
Pri poslovanju so vsekakor pomembni procesi ki so predmet obravnave na področjuupravljanja tveganj IT Tako UT-IT opredeljuje in zajema tudi operativna tveganja Izpraktičnega vidika je v poslovnem sistemu veliko procesov ki se nadalje delijo napodprocese in aktivnosti temeljni in podporni Toda vsi morajo biti raquooptimalnilaquovodeni in nadzorovani Precej kompleksnosti naraste v informacijskem sistemu ki gapodpirata informacijska in telekomunikacijska tehnologija Zato je za področje UT-ITsmiselno uporabiti okvir COBIT Ta standard se lahko uspešno privzame tudi pri samiorganiziranosti in definiciji procesov v organizacijah ITUT-IT je prav tako proces v katerem se proučuje in obravnava IS-me Sem spadajotudi nevarnosti ki pretijo poslovnemu sitemu IS-mu IT organizaciji njeni storitveni
dejavnosti torej vsem virom v sistemu kakor tudi drugim poslovnim subjektom vposlovni verigi V njej so tehnološke razdalje med subjekti izjemno ranljive saj nasvoji poti informacije doživljajo spremembe procesi v katerih se to dogaja pa so semorali razširiti izven okolja posamezne organizacije ali PS Pot je posejana z
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 27
Napredno vzdrževanje strojne opreme Učno gradivo
nevarnostmi različnih izvorov tako da se tudi tveganja in njihovi vplivi na poslovanjeodražajo z različnimi učinki Poglablja se tveganje e-poslovanja gre za takoimenovana e-tveganja Biti brez varnosti v realnem času in hitre odzivne funkcije natveganja ter nepredvidene dogodke je lahko za poslovanje silno usodno Zatoobstajajo različne strategije orodja in načini za zdravljenje tveganj ki skupajpredstavljajo obrambne mehanizme organizacije Pri tem je pomembno zavedanje inizobraževanje ter neprestano usposabljanje strokovnjakov na teh področjihOperativna tveganja so izrazito povezana z internimi procesi in jih posamezneindustrije že obravnavajo vsekakor pa jih bo morala vpeljati finančna industrija zlastiban1048830ni sektor ki bo moral biti skladen z Baselskim II standardom in EU (CAD)direktivami Standard namreč zajema potencialne izgube tudi iz naslova operativnihtveganj ne glede na interne ali zunanje dejavnike Osredotočen je na objavopotencialnih izgub za vse poslovne linije organizacije po določeni strukturi poročanjaglede kapitalske ustreznostiKo pogledamo v bančni sektor je osnovni namen obvladovanja inupravljanja s tveganji v bankah zagotavljanje njene plačilnesposobnosti Med različnimi načini za uresničevanje tega cilja je naprvem mestu institut minimalnega kapitala in zagotavljanje potrebnekapitalske ustreznosti banke o katerem govori Basel IIDelež kapitala v celotni bilančni vsoti je pri bankah mnogo manjši kot pri drugihorganizacijah in podjetjih Tudi njegova funkcija je drugačna Kot najpomembnejšafunkcija bančnega kapitala se ponavadi navaja zaščita vlagateljev Bančni kapitalpoleg tega omogoča nadzornim institucijam omejevati obseg tveganih dejavnosti bankin hkrati omogoča banki financiranje njenih osnovnih sredstev Ker so upniki bankmnožice posameznikov ki imajo pri teh bankah praviloma vloge na vpogled alikratkoročno vezane vloge in ker je takrat ko banka postane nelikvidna ponavadi žeprepozno saj je takrat banka praviloma že nesolventna je velikost bančnega kapitalajavna zadeva
Filozofija današnje bančne regulative je dopustiti zdravo konkurenco med bankami inhkrati zagotoviti njihovo disciplino prek predpisovanja minimalnih kapitalskih zahtevBaselski standardi so vplivali na oblikovanje evropskih smernic za banke Polegstandardizirane metodologije za računanje potrebnega kapitala za pokrivanjeomenjenih tveganj so navedeni potrebni pogoji za uporabo internih modelov bank zamerjenje tveganj med njimi operativno tveganje (uporabniki IT in IT organizacij)
Obseg in narava tveganj s katerima se srečujejo banke sta odvisni od narave njihovihposlov Pri tradicionalnih bančnih poslih (dajanje posojil iz prejetih depozitov) se kotglavna tveganja pojavljajo kreditno tveganje (tveganje dolžnikove nezmožnosti alinepripravljenosti izpolniti obveznosti iz naslova kreditne pogodbe) tržnolikvidnostno tveganje (tveganje da banka v določenem trenutku ne more poravnativseh svojih dospelih plačilnih obveznosti) tveganje spremembe obrestne mere(tveganje da bo postala pogodbeno določena obrestna mera drugačna od tržne in dabo banka utrpela izgubo iz tega naslova) ter operacijsko tveganje (tveganje ki mu jebanka izpostavljena zaradi možnih človeških napak torej internih procesov napaktehnologije in zunanjih dejavnikov (gre tudi za prevare poneverbe pranje denarjaoperativne izgube pravne ter druge stroške ki jih banka nosi v primeru njihoveganastanka)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 28
Napredno vzdrževanje strojne opreme Učno gradivo
Z bankami so povezani poslovni subjekti in vsi morajo zagotavljati varno poslovanjeTveganja so precejšnja saj vsi PS ne morejo zagotavljati enako učinkovitihprotiukrepov in varnostnih mer Pogljablja se tudi STP e-poslovanje nastajajo eskupnostiIS-mi se pogovarjajo med seboj brezžične komunikacije nujno jeprivzemanje standardov in različice XML protokola vse različne storitve potrebujejoUT-IT Področje je v razmahu in lastniki ter nadzorni sveti bodo moralikontrolirati operativne izgube in učinkovitost IS NS bodo imeli vlogo potrditvestrategij UT-IT uprave oz vodstva pa bodo morali dokazati skladnost s standardi inmetodami
Primerov storitev ki jih lahko obsega napredno vzdrževanje strojne opreme v UT-IT
spremljanje tehnoloških novosti povezanih z vzdrževano opremo ter priprava predlogov in ukrepov za nemoteno delovanje oz izboljšanje njenega delovanja
zamenjava delov strojne opreme
namestitev varnostnih popravkov na strežniško infrastrukturo
namestitev varnostnih popravkov na delovne postaje in prenosnike
periodično preventivno vzdrževanje strojne opreme
dokumentiranje storitev vzdrževanja
popravilo in odstranitev vseh pomanjkljivosti odkritih med preventivnim pregledom
pomoč sistemskim administratorjem in uporabnikom odgovori na vprašanja in svetovanje glede uporabe vzdrževane infrastrukturne opreme na lokaciji naročnika oz uporabnika
izredni kontrolni nadzor nad delovanjem infrastrukturne opreme po dogovoru z naročnikom
nadgradnja strežnikov delovnih postaj in prenosnih računalnikov
nadgradnja komunikacijske opreme
daljinska pomoč preko telefona elektronske pošte faksa ali daljinskega dostopa pri reševanju problemov uporabnikov odgovori na vprašanja in svetovanje glede uporabe vzdrževane strojne opreme
Osnovno popraviloStrokovnjak bo preveril delovanje računalnika opredelil napako in jo odpravil V to storitev se uvršča odprava manjših napak na računalniku
Storitev vsebuje diagnostiko težave in njeno odpravo v primeru da gre za manjšo napako Med manjše napake sodi ponovna namestitev gonilnikov popravilo napačnih nastavitev v programski opremi ponovna namestitev programov itd
V primeru da sestavljamo ob nakupu nov računalnik z dodatno opremo moramo poskrbeti da bomo da za nakup dobili najboljšo ponudbo računalnika ali računalniške opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 29
Napredno vzdrževanje strojne opreme Učno gradivo
Pri sestavi sistema bomo upoštevali vaše potrebe ter dosegli najboljše razmerje med ceno in zmogljivostjo Poudarek je na individualnem svetovanju katerega namen je kar najbolje poskrbeti za želje uporabnika V ta sklop sodi poleg svetovanja za nakup računalnika tudi svetovanje o ostalih perifernih napravah (tiskalniki usmerjevalniki itd)
Pristop k osnovanju UT-IT
Težko je odgovoriti ali se odzvati na vsa tveganja brez ustreznega znanja Splošnoznano je tudi da se iz podatkov procesirajo informacije in iz njih znanje ki ga jesmiselno takoj uporabiti Gre za znanje poslovnega subjekta v celoti in nekateraspecialna znanja za katera je potrebno zagotoviti da so v pravilnem kontekstu in napravem mestu Upravljanje znanj (UZ) ima lahko odločilno vlogo pri strategiji zavpeljavo področja upravljanja tveganj IT v vsakodnevnem poslovanju UZ zmanjšaraquokorporacijskolaquo izpostavljenost tveganjem Zato je pametno zbrati vse ustrezneinformacije strukturirati znanje v kontekst ali okvir v katerega bodo vnesene vsebinepotrebne za UT-IT Kreiranje portala in repositorija za upravljanje tveganjopredeljujemo kot podporno infrastrukturo področju V repositoriju sopredefinirane strukture Zaposlenim so na voljo v obliki zemljevidov raquomaplaquo kikažejo na vsebine in povezave med njimi ter omogočajo polnjenje vsebin Pridoločanju vsebin lahko sodelujejo vsi želeno je da se v organizaciji na področjutveganj in varnosti ustvarja intelektualni potencialUpravljanje
Tveganj IT5Varnost
Metoda je opredeljena kot množica korakov (algoritem ali navodilo) uporabljenih zaizvršitev naloge (dela posla) Metodologija je nekako širši pojem in predstavljamnožico orodij lahko raziskovalne metode ali razlago teorije vodenja v vodstvenoprakso Torej metodologija organizira teorijo v nekaj razumljivega Ker je na voljo večpristopov metodologij in metod pri upravljanju tveganj bi torej metodologijopredstavljalo orodje za podporo odločitvenim sistemom iz področja UT-IT Tehnik inmetod je dejansko več katere bomo uporabili za različna področja in položaje toterja tehtni premislek
Slika 4 Zunanji disk WD Passport (klikni na sliko
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 30
Napredno vzdrževanje strojne opreme Učno gradivo
V glavnem so osnovane na točkovnih in statističnih metodah kvalitativni inkvantitativni tehniki Znana je enačba tveganj ALE (letnih pričakovanih izgub)Smiselno pa je privzeti metodo standarda BS7799 [10] ali ISO17799 za informacijskovarnost Smiselno je da bi vse industrije prevzele standard PSIST7799 (prevod) kivelja v državi od 13 6 2000 za bančni sektor (z dopolnitvami)Poslovni subjekti lahko uporabljajo lastno razvite tehnike in tehnologije zaidentifikacijo in analizo tveganj Za različne poslovne procese kot so vodenjesprememb združevanja in prevzemi raquocorporate governancelaquo strateško planiranje invrednotenje lahko privzete kvalitativne ali kvantitativne identifikacije tveganj inanalitske tehnike dodajo značilno vrednost za različne poslovne položaje in področjaUveljavljajo se metode analize scenarijev in raquoscorecardslaquo ter druge statistične metoderazne simulacije (Monte Carlo) itdTipično je da se simulacijski modeli uporabljajo za odločitve o sestavi realnihsistemov in za odločitve o politiki in postopkih ki jih uporabljamo pri delovanjurealnih sistemov Simulacija pomaga pri določanju sestave politike in postopkov vnegotovih torej tveganih pogojih okolja sistema Manager poskuša z modelom kotnadomestkom za realni sistem z uporabo različnih vhodnih podatkov in postopkovdoseči na osnovi dobljenih rezultatov pri simulaciji lažje odločanje pri vodenjurealnega sistema Vendar mora biti pri tem pazljiv in rezultatov dobljenih ssimulacijo ne more kratkomalo prenašati v realni svet Model in simulacija lahkopomagata bolje spoznati delovanje realnega sistema ne moreta pa zagotoviti raquopraveizbirelaquo za realni sistem Pri upravljanju tveganj IT lahko preveč subjektivne ocenepovzročajo nova tveganja predvsem na področju zunanjih virov (outsourcinga) invodenja pogodbZa UT-IT je na voljo dovolj modelov orodij programov in vzorcev ki jih lahkouporabimo v svojem poslovnem okolju Priporoljivo je da vsak poslovni subjektkreira sebi ustrezen model glede na specifiko vendar mora izvajati ovrednotenje da jeskladen s standardi in regulativo Standardi so uveljavljeni in nudijo dovolj velik okvirza njihovo privzemanje in funkcijo uporabe
Pregledni model UT-ITV podporo modelu UT-IT je že potreben omenjeni portal kot rezultat procesov priupravljanju znanj in repositorij kjer se shranjujejo potrebne vsebine in nastaja bazaznanja o dogodkih in tveganjih ter obrambnih mehanizmih Portal služi tudi zaizobraževanje Vsebine predstavljajo sezname in infostrukture od standardov doobrazcev ki se uporabljajo v posameznih fazah ali procesih analize in v obravnavanjutveganj Zbrani so tudi vsi principi zakonodaja politike procedure metrika procesiin tokovi informacij kakor tudi vnos v register tveganj zajem nevarnosti popis vsehkontrol varnostni mehanizmi in seznam protiukrepov vse to za dogodke in scenarijeki se lahko ali so se že zgodiliZa področje UT-IT se kreirajo smernice za posamezne entitete ali subjekte ki sovključeni kot participatorji ter navodila kako se izvajajo aktivnosti Učinkovitost sedoseže s poprej določenimi infostrukturami standardizacijo in povezavami medpodročji ter odnosi med entitetami ali objekti ki tvorijo sistem upravljanja tveganj IT
Kreiranje konteksta ali takšnega okvira je možno ker so v glavnem poznane vsestrukture in gradniki UT-IT in želenega sistema varnosti Dovolj predlog je že naInternetu zato je smiselno področje pregledati in izbrati želene infostrukture Posebnerazlage niso potrebne UT-IT se odvija po projektnih principih s skupinami ki so
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 31
Napredno vzdrževanje strojne opreme Učno gradivo
strokovne na svojih področjih Prav tako se v skupinah (samovodljivo) ocenjujejotveganja in definirajo strategije rešitev za identificirana tveganjaPodročje UT-IT je lahko služba ki je neodvisna in samostojna organizacijska enota v vrhu vodstva organizacijeIZVAJANJEOKVIRKaj kako s 1048830i
- Komunikacijski krogi
Bistven gradnik UT-IT predstavljajo komunikacijski krogi (KK) med področji inodgovornimi ali delegiranimi sodelavci po poslovnih linijah Le-ti predstavljajo raquokomunikatorje tveganjalaquo ki so povezani prek sistema zgodnjega opozarjanja inizvajajo vnos dogodkov ter podatkov za analize tveganj in ocenjevanje vpliva naposlovanje Izkušena skupina določi tudi ustrezne protiukrepe in varnostne mere ter jihposreduje lastnikom tveganj Ti s strokovnjaki za posamezna področja pripravijostrategijo rešitve in jo predstavijo (kot zagovor) odgovornim za področja da se posoglasju lahko izvedejo Področje UT-IT spremlja in spet ocenjuje učinke terrezidualna tveganja Zaradi narave tveganj in inherentnih tveganj IT so tovsakodnevne aktivnosti upravljanje tveganj in varnosti pa je vodstvena funkcijaObstaja še pomembna lastnost in specifika da področja varnosti in tveganj pripadajovsem zaposlenem v organizaciji zato so komunikacijski krogi in pravočasnoinformiranje nujniZa operacijsko kvaliteto v organizaciji je potrebno definirati oz določiti dimenzijo vkateri se meri kvaliteta Značilne so tri dimenzije (kriteriji)
- primernost in funkcionalnost- varnost in zanesljivost- razpoložljivost in dostopnost
- Metrike
-Tveganje je objektivizirane negotovosti glede na možnost pojavitve nezaželenegadogodka merjenje negotovosti in negotovosti izgube Negotovost nastane zaradipomanjkanja informacij o nekdanjih sedanjosti in prihodnjih dogodkih vrednostih inpogojih Ne glede na različne stopnje negotovosti je osnova koncepta negotovosti vpomanjkanju informacij o delih sistema ki ga obravnavamo ali opazujemo Zmanjšanje tveganj mora biti motiv za organizacijo Zmanjšanjestopnje negotovosti je korak k opredelitvi kaj je lahko narejeno zazmanjšanje izpostavljanju tveganj Kakšno metriko uporabimo jeodvisno od tega kaj želimo meriti obravnavati spremljati izboljšatiitdOceniti tveganje pomeni ovrednotiti koliko lahko prenesemo oz izgubimo če seneljubi dogodek zgodi in pri tem izgubimo npr kar posedujemo Ali predstavlja to zanas vrednost in kako pogosto se ti dogodki pojavljajo so začetna razmišljanja ko greza tveganja in reakcije na njihLahko trdimo da je tveganje vedno ocenjeno z analizo scenarijev kar pomenivrednotiti možne izgube in frekvenco verjetnosti možne škode Toda v kakšnemobsegu in po katerih predvidevanjih Vsekakor je pri ocenjevanju tveganj medkvalitativno in kvantitativno analizo razlika Smiselno je obravnavanje analizetveganj Še tako dobro zastavljena varnostna politika brez izvajanja in kontrole ne
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 32
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
Ljudska Univerza Radovljica
Napredno vzdrževanje strojne opreme
RačunalnikarUčno gradivo (v 10)
Igor Šifrer 2011
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 2
Napredno vzdrževanje strojne opreme Učno gradivo
Povzetek
Učno gradivo sledi učnemu načrtu Ministrstva za šolstvo in šport (MŠŠ) za predmet raquoNapredno vzdrževanje strojne opremelaquo za izvedbo programa raquoRačunalnikarlaquo Omenjeno gradivo obravnava strokovno področje računalništva informatike računalniških omrežij vzdrževanja tako strojne opreme kot tudi ukrepi v primeru informacijskih nesreč
Gradivo obravnava zgodovino strojne opreme osnove koncepta računalnika zgradbo mikroprocesorjev zgradba matične plošče sestave in vrste računalnikov izvedbena faza projekta zamenjave strojne opreme pilotna faza naprednega vzdrževanja patenti ter varnost pri strojni opremi informacijske nesreče strojne opreme in kako preprečiti z vzdrževanjem kazenski zakonik z vidika IT prava
Gradivo je v pomoč predavateljem in dijakom da se lahko nemoteno soočijo z strojno opremo v kateremkoli družbenem okolju ali je to v pisarni na delovnem mestu doma ali šoli Vpeljuje dobro poznavanje in kritičnost napredne strojne opreme ki je vedno znova hitrejša zmogljivejša in tehnološko natančna
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 3
Napredno vzdrževanje strojne opreme Učno gradivo
Kazalo
1 Uvod 6
2 Strojna oprema 8
21 Prednosti sodobne strojne opreme
211 Napredno vzdrževanje prenosnih medijev 8
22 Pripravljalne faze naprednega vzdrževanja strojne opreme 9
23 Količinski prevzem 10
24 Pilotni prevzem 10
25 Arhitektura strojnega sistema 11
26 Lociranje strežnikov 12
27 Specifikacije in testiranje protokolov 13
28 Varnost strojne opreme 14
29 Odkrivanje napak 15
3 Načrtovanje strojne opreme 17
34 Napredni operacijski sistemi 1834 1 Navodila za izdelavo tehničnega poročila 20
3 4 2 Napredno svetovanje in pomoč uporabnikov 22
4Tveganje pri upravljanju napredne strojne opreme 2441 Sprememb pri strojni opremi 25
5 Varnost 27- Identifikacija strojne opreme 30- Ocena stroškov potencialnih izgub 33- Tveganje pri namestitvi nove strojne opreme 34
51 Informacijske nesreče varnostna politika in pravo 36
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava 38
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 4
Napredno vzdrževanje strojne opreme Učno gradivo
53 Podatkovne zbirke na diskih strojne opreme 40
54 Patenti 41
55 Blagovne in storitvene znamke ter modeli strojne opreme 42
56 Varstvo zaupnih podatkov na strojni opremi 42
57 Varstvo osebnih podatkov 43
58 Podatkovne zbirke na diskih strojne opreme 44
59 Prekrški in kazniva dejanja v zvezi z podatki na strojni opremi ndashdiskih 44
6 Literatura 45
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 5
Napredno vzdrževanje strojne opreme Učno gradivo
1 Uvod
Računalniki so že zdavnaj postali nepogrešljiv sestavni del poslovanja podjetij Težave z računalniško opremo doma v podjetju šoli povzročajo stroške zato je zanje potrebno ustrezno poskrbeti Napredno vzdrževanje strojne opreme posveča posebno pozornost potrebam majhnih in srednjih podjetij saj je vse večji del vašega poslovanja odvisen od informacijskih tehnologijV praksi se srečujemo z dvema vrstama vzdrževanja in sicer vzdrževanje na klic in pogodbeno vzdrževanje Prvo deluje tako da pokličemo ko gre kaj narobe in napake odpravimo v skladu z našim cenikom pri pogodbenim vzdrževanju pa za vas poskrbimo bolj celovito Pogodbeno vzdrževanje vam prinaša kratke odzivne čase ter roke popravila dosegljivost strokovnjakov ne glede na čas
manjše in pregledne stroške
preventivne preglede katerih namen je pravočasno odkrivanje težav preden se te razvijejo v večje okvare
varnost vaših podatkov
po potrebi nadomestno opremo za nemoteno delo
Ker ima vsako podjetje različne potrebe in izzive je pred podpisom pogodbe potreben natančen ogled opreme na vaši lokaciji na podlagi katerega nato skupaj določimo najbolj primerno obliko sodelovanja Glede brezplačni obisk strokovnjakov se potem rešujejo problemi na strojni opremi
Danes lahko izbiramo izmed ponudnikov strojne opreme veliko proizvodov ki so napredni in tehnološko zmogljivejši
V programu računalnikar je predmet napredno vzdrževanje strojne opreme pomemben del pedagoškega izobraževanja za dijaka
Širina znanja o strojni opremi je seveda kot pri programski opremi zelo široka vendar te znanja dijak lahko pridobi tekom predmeta ali kot interdisciplinarno povezovanje z ostalimi predmeti Menim da je program računalnikar v sozvočju z ostalimi dosedanjimi predmeti primeren za končni produkt programa in opravljenega izpita
Strojne opreme se lahko lotimo z svojo gorečnostjo tako da se jo strokovno lotimo po posameznih modulih M8 - je samo eden izmed njih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 6
Napredno vzdrževanje strojne opreme Učno gradivo
Vpeljani pojmi
Strojna oprema ndash pojem oz področje računalnika združene strojne opreme v nekem zaprtem ohišju modulu ki predstavlja osnovne komponente za primerno delovanje računalnika
Napredno vzdrževanje ndash pojem oz imenovanje vseh vrst pilotskih projektov za izdelavo ali izboljšanje obstoječe strojne opreme matične plošče procesorja vh-izh enot ipd
Vprašanja za ponavljanje
Kaj je to strojna oprema Katera je zastarela strojna oprema in katera napredna Kaj je procesor v matični plošči Napredna strojna oprem ima slogan delovati pomeni živeti Razloži
Razišči in opiši
Poišči vsaj štiri podjetja v Sloveniji ki se ukvarjajo z prodajo strojne opreme Naredi programu Power Point zgradbo svojega osebnega računalnika Katere strokovne revije o računalništvu bi prebral če bi želel izvedeti največ o
napredni strojni računalniški opremi
Spletne povezave virov
Rado Westerbach Informatika učbenik 2009 - Gimnazija Jesenice
httpwwwnauksiračunalništvo za srednje šole
Google httpwwwgooglecom
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 7
Napredno vzdrževanje strojne opreme Učno gradivo
Spletni portal httpwwwpraktiksi
httpwwworiacom
httpwwwibmcom
httpwwwhpcom
Spletna revija COMPUTER WEEKLY ndash VB httpwwwcomputerweeklycomhome
Spletna revija COMPUTERWorld ndash ZDA httpwwwcomputerworldcom
2 Strojna oprema
Beseda strojna oprema izvira bolj iz besednjaka ko popravljamo avtomobil ali dele vrtne opreme vendar je pri tem predmetu to mišljeno predvsem celotno hardwear besedoslovje ki vključuje pojme kot so matična plošča procesor vhodne izhodne enote pomnilnik ohišje delovni pomnilnik ipd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 8
Napredno vzdrževanje strojne opreme Učno gradivo
Z računalniško strojno opremo smo si pripravljeni spremeniti navade odnos življenje Zatorej širimo znanje o kakem prenosu podatka ali odnosu v družbi V dobi informacijskega veka smo za primerne informacije pripravljeni kupiti najnovejšo strojno opremo za veliko denarja V hitrem informacijskem svetu hitro hitrejšo takoj napredno strojno opremo brez komunikacije in sistemov opreme ne moremo uporabiti kot pa so jo to sredi prejšnjega stoletja
Strojna oprema še posebno napredna se razvija iz dneva v dan vse bolj in bolj in vpliva na sodobnega človeka neposredno
21 Prednosti sodobne strojne opreme
Kvalitetna strojna oprema omogoča delo na različnih družbenih področjih kot so
Medicinska strojna oprema
Poslovna in zavarovalniška strojna oprema (delniško poslovanje- Wall Street Bančni poslovni inf sistemiipd)
Robotika
Prostorska in geodetska strojna oprema
Bio-informatika
Napredna izvedba strojne opreme za potrebe Outsourcinga raquood-zunajlaquo
Strojna oprema državni upravi
Strojna oprema namenjena za uporabo zahtevnih raziskav na terenu nemogočih tehničnih pogojev v delovnih okoljih (NASA SHELL FBI ipd)
Zabavna strojna oprema (računalniške igrice z svojo opremo Walt Disney Animirani filmi ipd)
Razpis za izbiro proizvajalcev dobaviteljev in izvajalcev napredne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 9
Napredno vzdrževanje strojne opreme Učno gradivo
Postopek izbiranja je zakonsko opredeljen Seveda kot računalničar ni toliko bistveno zakonsko stališče kot le pravila in izkušnje
A) Pomembno je izbiranje usposobljenih dobaviteljevB) Končno izbiranje proizvajalcev dobaviteljev in izvajalcev
Pri napredni izbiri strojne opreme moramo razlikovati proizvajalce dobavitelje in izvajalce vzpostavljanja komunikacijske infrastrukture Poleg strokovnih in finančnih ter časovnih lastnostih izbire ima vedno večjo težo ponudba napredne strojne opreme Ker želimo ponavadi že na določeno strojno opremo da opremo inštalira isto podjetje ponavadi izberemo ustrezno podjetje ki ponuja nadgradnjo le omenjene
22 Izvedbena faza projekta zamenjave strojne opreme
Tukaj govorimo o fizičnem postavljanju omrežja in strojne namestitve Prvi korak v tej smeri je podpis pogodbe z izbranim dobaviteljem napredne strojne opreme Zavedati se moramo da računalniška strojna oprema predstavlja hrbtenico kompleksnega porazdeljenega sistema zato je priporočljivo da kupec in dobavitelj podrobno opredelita želeno napredno strojno opremo inštalacije oz namestitve testiranje strojne opreme prevzemanje komunikacijske infrastrukture Upoštevati moramo naslednje vprašanja
Kako ugotavljamo ustreznost opreme
Kako ugotavljamo zmogljivost opreme
Kaj pomeni dobaviti določeno opremo
Kako bomo upoštevali zunanje faktorje ki vplivajo na potek izvedbe napredne strojne opreme
23 Količinski prevzem
Potrdi da je dobavitelj fizično dostavil strojno opremo opredeljeno s pogodbo Smiselno je da je naročnik za dobavljeno opremo sprejel le tisto ki je inštalirana na vnaprej opredeljeni lokaciji Inštalacija mora potrditi osnovno lokalno funkcionalnost strojne opreme Kot primer
na določeni lokaciji se nahaja usmerjevalnik z ustrezno linijsko opremo (konvertorji modemi monitorji ipd) ki je priključena na napajanje in prenosne medije Ker je računalniško
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 10
Napredno vzdrževanje strojne opreme Učno gradivo
omrežje kompleksen sistem je potrebno potrditi vsebinsko in funkcionalno ustreznost količinsko prevzete opreme Pogodba mora predpisovati način in pogoje testiranja ustreznosti opreme Običajno priv test napredne strojne opreme opravi naročnik ki lahko ugotovi nepravilnosti ki jih mora dobavitelj odpraviti in se izvajajo vsi naslednji testi na račun dobavitelja Ta predhodni korak prevzemanja zagotovita da oprema količinsko in funkcionalno ustreza naročeni strojni opremi
Preverjanje povezljivosti strojne opreme je proces nastavitve sistemskih parametrov za predvideni način delovanja in testiranja kompatibilnosti lokalne infrastrukture z okolico
Za izvedbo testa strojne opreme je potrebna primerna strojna računalniška oprema
24 Pilotna faza
Pilotna faza je namenjena preverjanju že nameščene strojne opreme kot celote s poudarkom na analizi zmogljivosti napredne strojne opreme saj je konformnost preverjena že v prejšnjih fazah
Pogosto se zgodi da zaradi različnih objektivnih razlogov projekta ni mogoče namestiti v dogovorjenem roku Razlog je lahko primer da za določeno lokacijo ne moremo najti ustreznih prenosnih poti ob tem pa večina lokacij (npr delovnih strojnih postaj) že uspešno deluje V takem primeru bi bilo nesmiselno odlagati nadaljevanje vzpostavljanja hrbtenice to je pilotno fazo delovanja
Pilotna faza namestitve strojne opreme se torej lahko prične ko vse lokacije lokalno privzete in ko ugotovimo dogovorjeni odstotek pogojno prevzetih lokacij hrbtenice računalniškega omrežja
Pilotna faza ni opredeljena samo s testi ampak je njeno bistvo predvsem opazovanje in presojanje delovanja napredne strojne opreme v delovanju V tej fazi končni uporabniki npr dijaki še ne morejo pričakovati predpisane kvalitete in stabilnosti delovanja Pilotna faza se zaključi takrat ko ugotovimo da omrežje določen čas deluje s predvideno zmogljivostjo in razpoložljivostjo npr več kot 95
Prevzem celotnega računalniške strojne opreme pomeni da naročnik dobavitelju prizna izpolnitev vseh pogodbenih obveznosti in obratno Poleg tega pa je potrebno poskrbeti za
- vzpostavitev nadzora in upravljanja omrežja s strani naročnika- zagotavljanje vzdrževanja in servisiranja vzpostavljene infrastrukture- ustrezno podporo končnim uporabnikom
Z zaključkom te faze omrežje pride v produkcijsko fazo s katero se začne normalen življenjski cikel naprednega vzdrževanja strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 11
Napredno vzdrževanje strojne opreme Učno gradivo
25 Arhitektura strojnega sistema
1slikaarhitektura ohišja
Mehanizem odjemalec ndash strežnik
- Izpad odjemalca
Strežnik ki je ostal brez svojih odjemalcev ker so ti nehali delovati ali so nedosegljivi imenujemo sirota
Tak strežnik požira vire lastnega sistema kar pa še ni najhuje Več težav lahko povzroči zmeda ki nastopi v vrstah odjemalcev ki se ponovno vzpostavljajo in dobivajo od strežnika odgovore na svoje zahteve iz časa pred izpadom Teh zahtev se namreč ne raquospominjajolaquo in ne vedo kako naj interpretirajo odgovore
Za reševanje take situacije pri naprednem vzdrževanju strojne opreme poznamo nekaj situacij
- Iztrebljanje je dokaj drakonska strategija takoj ko se odjemalec ndash roditelj procesa ponovno zavre samega sebe strežniku naroči da naj razvrednoti vse njegove morebitne procese Algoritem mora teči ker lahko najdemo v primeru pogostih izpadov na strežniku tudi procese posameznih zahtev
- Reinkarnacija je tretja strategija Odjemalec razseka čas v zaporedne intervale imenovane epohe Če odjemalcu po metodi iztrebljanja ni uspelo ubiti vseh svojih zahtev ndash procesov lahko oznani vsem strežnikom začetek novega obdobja Strežniki uničijo vse tiste zahteve ki ne sodijo v sedanjo uporabo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 12
Napredno vzdrževanje strojne opreme Učno gradivo
26 Lociranje strežnikov
V praksi nameščanja nadomestne strojne opreme je imenski strežnik tisti ki vodi evidenco o vseh ostalih strežnikih Odjemalec se s svojim problemom obrne na imenski strežnik in mu ta predlaga izvajalca Imenski strežniki se uporabljajo za izvedbo elektronske pošte
Ob namestitvi novega strežnika je potrebno ob njegovem obstoju obvestiti imenski strežnik Za to lahko poskrbi sama delovna postaja avtomatsko največkrat pa je potreben poseg vzdrževalca imenskega strežnika
Dostikrat odjemalec želi ugotoviti kateri strežnik je najbolj primeren za izvršitev njegove zahteve
27 Specifikacije in testiranje protokolov
S problemi testiranja komunikacijskih protokolov se soočamo v napredni strojni opremi že od začetkov povezovanja računalniških sistemov v omrežja Področje analize in testiranja komunikacijskih protokolov se je uvrstilo v okvire implementacije komunikacijskega procesa
Izvedba protokola je porazdeljen sistem v katerem ima vsak proces določeno stopnjo lokalne avtonomije in na nek način interakcije z okolico
- Informacijske storitve sistemov
Osnovni namen informacijsko komunikacijskih sistemov je nudenje svojih posrednih ali neposrednih storitev uporabnikov
Med standardne storitve sodijo na primer različne izvedbe računalniško podprtih omrežnih informacijskih sistemov z bolj ali manj decentraliziranimi elementi O splošnih lastnostih teh storitev velja da v vseh operacijskih sistemih podpirajo standardne storitve kjer se stikata lokalni uporabnik računalnik ndash odjemalec in virtualna naprava strežnik
28 Varnost strojne opreme
Varnost nadgradnje strojne opreme je zelo obsežen pojem zato ga je potrebno skrbno prestrukturirati Zanesljivost sistema dosežemo predvsem s skrbnim načrtovanjem nadzorom in upravljanjem sistema Pri tem imata pomembno vlogo organiziranost poslovanja in
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 13
Napredno vzdrževanje strojne opreme Učno gradivo
usposobljenost uporabnikov To področje je izredno široko in ga na tem mestu ne bomo obravnavali saj predstavlja samostojno disciplino sistemskega inženiringa
Zaščita sistema opazujemo z dveh osnovnih zornih kotov
- zaščita na nivoju končnih računalnikov ndash lokalna zaščita- zaščita ki je potrebna zaradi narave decentraliziranih sistemov ndash decentralizirana
zaščita
Iz vsakdanjega življenja vsi poznamo primere v katerih nam zelo veliko pove že dejstvo da vemo med katerimi ljudmi v določenem trenutku poteka komuniciranje ne glede na to da same vsebine ne moremo razbrati Ravno tako v primeru da razpoznamo da strojna oprema pri zagotavljanju kakovostnega komunikacijskega delovanja ne deluje jo nadomestimo z nadgradnjo
29 Odkrivanje napak
Pri uporabi in delovanju strojne opreme pride do napak predvidoma na prenosnih medijih kjer se lahko dogajajo napake Najpreprostejši način je odkrivanje napak v okviru nameščene strojne opreme v kontroli maske kjer je strojna oprema evidentirana kot okolje Windows
Komercialne različice računalniške strojne opreme s skupinskih prenosnim medijem se je pričela tudi kot omrežje
a) brezžičnoJe tisto ki je kot prenosni medij fizično opredeljivo z radijskimi valovi ali svetlobo
b) mobilnoOmrežje ni nujno brezžično bistveno je da podpira selitve računalnikov
Kot primer lahko navedem kombinacijo klasičnega modema in brezžičnega telefona ki ga lahko napredno vzdržujemo preko modema priključenega na modem npr v hotelski sobi in ga preko te linije vstopamo v drug računalnik ki je v povezavi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 14
Napredno vzdrževanje strojne opreme Učno gradivo
2slika diagnostika
- Napredno vzdrževanje prenosnih medijev
Prenosni mediji niso le žice kot pogosto najprej pomislimo Pojem bomo nekoliko razširili saj ne smemo pozabiti na prenosne medije ki nimajo zveze z računalniškimi komunikacijami tičejo pa se računalniških informacijskih sistemov
Z vidika IKS-a je poznavanje prenosnih medijev zanimivo le v toliko kolikor različne oblike prenosnih medijev omogočajo zasnovo prenosnih kanalov z različnimi kapacitetami primernih za različne razdalje in različno ceno Njihova tehnologijama sodi v področja ki so razdeljena
- Koaksialni kabel- Brezžične povezave- Optično vlakno
Optična vlakna so danes najzanesljivejši prenosni medij Prevajajo svetlobne signale ki jih običajno vzbujamo z laserskimi napravami Signal med prenosom po optičnem mediju le malo oslabi Danes dosegamo 100 kilometrske prenose brez ponavlalnikov signala Kaj takega je po parici ali koaksialnemu kablu nedosegljivo Kapaciteta optičnega kanala 100 Mbits na omenjeni razdalji ni vprašljiva na krajših odsekih pa so na pohodu že kapacitete 100 Gbits
- Brezžične povezave
Med brezžične povezave prištevamo več skupin povezav ki so zasnovane na širjenju elektromagnetnega valovanja skozi prostor Tipične oblike so
- Radijske zemeljske povezave
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 15
Napredno vzdrževanje strojne opreme Učno gradivo
- Mikrovalovne usmerjenje povezave- Infrardeče povezave - Satelitske povezave
Poleg brezžičnih povezav spada v nepogrešljivo komunikacijo tudi telefonsko omrežje Vzdrževanje telefonskega omrežja ima dostop večine opisanih graditeljev računalniških omrežij
Pripravljalne faze naprednega vzdrževanja strojne opreme
- Identificirati pristopne točke pokvarjenih delov strojne opreme- Oceniti storitve pokvarljivosti strojne opreme- Oceniti vrednost investicije za namestitev strojne opreme ter infrastrukturo ki bo
zmogla ocenjene napake opredeliti in načrtovati grobe okvire nove infrastrukture- Zagotoviti vire financiranja nameščanja nove strojne opreme
To sicer ni tehničen problem vendar pa navadno predstavlja nepomembnejše in pogosto najzamudnejše opravilo z dokaj nepredvidljivim izidom
- Opredeliti osnovne izvedbe okvire izvedbe Ti so neodvisni od infrastrukture dinamike financiranja in drugih dejavnikov Že v okviru te faze projekta je potrebno vzpostaviti stike z nameščeno strojno opremo
Večina ljudi čuti naraven odpor do razstavljanja električnih naprav in to z razlogom Proizvajalci drugih naprav vedno svarijo naj jih uporabniki ne odpirajo sami Možnost električnega šoka je prisotna pri vsej strojni opremi Vsi računalniki ne sodijo mednje saj so narejeni tako da jih uporabnik lahko do neke mere sam priredi
Ko nameščamo napredno strojno opremo npr v ohišju moramo najprej izključiti vse napeve
Iz vtičnice potegnemo napajanje za računalnik in za vse naprave ki so nanj priključene Nikakor se namešča napredne strojne opreme dokler je vtikač v vtičnici Ne samo da to škoduje računalniku nevarno je tudi za samega vzdrževalca oz uporabnika
Ohišje je lupina v katero so nameščene komponente ki sestavljajo jedro računalnika Napajalnik (ang power supply) pa je naprava ki pretvarja standardno omrežno izmenično napetost v nižje enosmerne napetosti ki jih za delovanje potrebuje računalnik
Čeprav nekateri pravijo da je to smešno sodita ohišje in napajalnik popolnoma upravičeno na vrh seznama obveznih komponent Brez njiju ni nobenega računalnika Včasih sta drug z drugim neločljivo povezana čeprav raquohodita vsak svojo potlaquo Kakršna vrsta strojne opreme se najprej ugotovi po ohišju ki je pri namiznih računalnikih zelo razkošno V ohišju najdemo prostor za osnovno ploščo z potrebnimi komponentami trde diske različne vmesniške kartice
Hrupa ki je pri stojni opremi v računalniku se lotimo ko reže v ohišju skozi katere priteka zrak v računalnik in ventilator napajalnika povečamo Ko nameščamo napredno strojno
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 16
Napredno vzdrževanje strojne opreme Učno gradivo
opremo mora biti tudi ohišje na primernem zračnem mestu To sicer ne pomeni da moramo računalnik spraviti pod mizo vendar moramo poskrbeti za učinkovit zračni preskok
Ohišja namiznih računalnikov se lahko med seboj močno razlikujejo vsa pa so praviloma dokaj velika in vanje je že vgrajen napajalnik Vgrajeni napajalnik je pri namiznih računalnikih najmočnejši ne pa edini vir hrupa Za hrup je ponavadi kriv ventilator ki skrbi za hlajenje napajalnika ohišje pa velikokrat deluje kot kakšen resonator in hrup še veča
Pri napredni strojni opremi ohišja računalnikov razdelimo na tri skupine
- Plosko ohišje
Ima obliko kvadrata z največjo ploskvijo kot osnovno stranico Navadno ga postavimo na eno od stranskih stranic in tako simuliramo ohišje v obliki stolpa Na voljo je več izvedb ploskih ohišij Tako lahko izbiramo med večjimi in manjšimi ohišji ter med bolj in manj primernimi za odpiranje
- Kompaktni sistemi
Pri kompaktnih sistemih je klasično ohišje računalnika združeno z ohišjem monitorja vanj pa so pogosto vgrajeni še zvočniki in mikrofon Ves računalnik je praktično v enem kosu vanj nista le integrirana le tipkovnica in kazalna naprava Čeprav računalniki po kompaktnosti približujejo prenosnim računalnikom Se za stalno prenašanje vseeno nekoliko okrni Kompaktni sistem je prava izbira če računalniku ne želite nameniti več prostora kot ga potrebuje povprečen monitor ali če se vam prenosni računalniki ne zdijo primerni zaradi cene oz premajhne tipkovnice
- Ročni računalniki so strpani v najmanjša ohišja kar jih je To ni nič čudnega saj morajo biti tako majhni da jih je mogoče med uporabo držati v roki Po velikosti lahko računalnike primerjamo z nekoliko boljšimi računali
- Osnovne plošče
Računalnik je skupek komponent
Tako delimo strojno opremo znotraj ohišja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 17
Napredno vzdrževanje strojne opreme Učno gradivo
3 slika pri CD-ju in CD romu je možno popravljanje napak
Če nameščamo vse tiste komponente ki jih osnovne plošče vgradijo izdelovalci računalnika ali jih nanje namestijo sestavljavci računalnikov glede na želje uporabnikov ali želje kupcev
- Procesor
Kljub pomembnosti je procesor najbolj odgovorno in je pri naprednem vzdrževanju potrebno ločeno kupiti ali popraviti od osnovne plošče Na njej je podnožje kamor ga sestavljavec računalnika lahko zamenja ali nadomesti z bolj zmogljivim Izdelovalci plošč skrbijo da je posamezna osnovna plošča uporabna z celo družino procesorjev včasih celo z različnimi družinami Družine se seveda razlikujejo po oznakah Večina korporacij med strojno opremo še posebno v zadnjem času se razlikuje po hitrosti delovnega takta frekvenci prenosa in zmogljivosti
3 NAČRTOVANJE STROJNE OPREME
Načrtovanje strojne opreme lahko izbiramo ob nakupu primernih računalnikov s pomočjo svetovalca serviserja ali vzdrževalca informacijske opreme Uporabe računalnikov in posebnih programov v proizvodnji in arhitekturi postavitve linijskih proizvodnji procesov urejajo posebni programi CAD
Za izdelavo prevodnikov in polprevodnikov na matični plošči oz integriranih vezij lahko srečamo naslednje kovine
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 18
Napredno vzdrževanje strojne opreme Učno gradivo
Krom barij iridij svinec paladij tantal arzen berilij baker zlato kadmij
Pri gradnji informacijske opreme in sistemov na osnovi mikroprocesorjev potrebujemo dodatne elemente rečemo jim raquopodporni elementilaquo To so periferni adapterji časovna vezja DMA krmilniki množilniki frekvence ROM in RAM pomnilniki Na osnovi fizičnih diskov pa imamo povezave IDE ter SATA vmesnikov - RAID diskov v samem ohišju računalnika
V tem času je podjetje Intel še razvilo večjedrsko delitev v enem procesorju kar pomeni da si vsa jedra morajo deliti predpomnilnik dostopnost do pomnilnika ter usklajeno delovati in imeti povezave do ostalih elementov Procesorji s porabo in zmogljivostjo Teraflop že omogočajo prepoznavo govora obraza in rokopisa Hitrost zmogljivosti število jeder ter odvajanje toplote pri mikroprocesorjih se bo eksponentno povečevalo (Intel source view 2010)
Vprašanja za ponavljanje
Kaj je več jedrski procesor Kaj je to napredni RAM Razišči in opiši katera napredna strojna oprema je na slovenskem trgu
34 Napredni operacijski sistemi
V naprednih strojnih vodah je znana večja prepoznavnost Windows XP operacijskega sistema ki ga ob nakupu lahko nastavimo in kasneje enostavno vzdržujemo
Vgrajena orodja znotraj OS-a
Raziskovalec (computer managment ) Register Nadzorna plošča in spremljajoči programi ter nastavitve
Kot pri vsaki informacijski opremi je preventiva vedno najprimernejša
V OS Windows XP_Nadzorni plošči_Computer managment imamo vsa navodila in upravljanje z napakami in popravki tako programske opreme napake na trdih RAID diskov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 19
Napredno vzdrževanje strojne opreme Učno gradivo
namestitev gonilnikov starih verzij programske opreme sistemske in aplikativne napake ter odstranitev vseh uporabnikov ki niso več priključeni v informacijski sistem
Nameščanje in odmeščanje strojne opreme (gonilnikov matične plošče uporabnih vhodnih -izhodnih enot sistemske strojne opreme ter do končnega cilja namestitve Odmeščanje ali odstranitev strojne opreme pri napredni strojni opremi pa je v okolju Windows XP narejeno z posebnimi odnamestitvenimi programi istega proizvajalca oz operacijskega sistema v našem primeru preko Windows nadzorne plošče
Register ki beleži vse namestitve ter spremembe programov znotraj le-tega ima funkcijo spominanja zatorej mora računalnikar uporabiti zmogljiva vzdrževalna orodja ki pretekle namestitve strojne opreme pobrišejo veliko hitreje kot pa uporabnik
Zaščita strojne opreme na uporabniškem nivoju poteka preko dodatnih požarnih zidov z nekaj 1028 bitnim ključi in več V primeru povezav veš računalniških sistemov in mrež znotraj LAN-a imajo najnovejša strojna oprema že nameščene programe za požarni zid znotraj HW proizvoda
3 slika primer brezžične matične plošče
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 20
Napredno vzdrževanje strojne opreme Učno gradivo
i Navodila za izdelavo tehničnega poročila
Kakovostna in po navodilih nadrejenega vzdrževalca - računalnikarja morajo biti zapisana v točno določenem Word formatu z primernim oblikovanjem in zapisom
Struktura naj bo sledeča
Naslovnica
Na njej je logotip Ljudske Univerze Radovljica naziv predmeta ime in priimek dijaka (tehničnega poročila seminarske oz pogodbenika) ime in priimek mentorja mesec in leto izdelave
Povzetek
V nekaj stavkih se povzame vsebino tehničnega poročila seminarske naloge oz naprednega nameščanja strojne opreme
Kazalo vsebine
Je izdelano na podlagi uporabe slogov za naslove Nivoji naslovov naj dosegajo največ nivo 3 (123)
Kazalo slik
Slike ki so uporabljene v nalogi morajo imeti napise Kazalo slik je izdelano na podlagi uporabe sloga za napise (arial 8 pt)
Poglavje uvoda
V tem poglavju se na eni strani strne in izbere kratko in jedrnato uvodna misel avtorja Namen uvoda je da bralca seznani z postopoma brano tematiko v gradivu
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 21
Napredno vzdrževanje strojne opreme Učno gradivo
Ostala poglavja
Nato sledijo ostala poglavja kot si jih je zamislil dijak
Povzetek
V povzetku se na kratko povzame obravnavan tema in nakaže morebitne težave in priložnosti pri obravnavanju tematike
Literatura
Zaradi avtorskih pravic in nelegalnega kopiranja inovacij predvsem tehničnih izumov se vedno navaja vire in informacije od tam kjer je avtor napisal strojno pogodbo tehnično poročilo ali seminarsko nalogo
Literatura zavzema spletne naslove podjetij gradiv časopisov revij in knjižnih strokovnih knjig
-------------------------------------------------------------------------------------------------------
Velikost pisave je 12 ali 14Pt
Vrsta pisave je Times New Roman
Slogi napisov
Naslov 1 pisava Cambria velikost 14pik krepko
Naslov 2 pisava Cambria velikost 13 pik krepko
Naslov 3 pisava Cambria velikost 12 pik krepko
Jezik
V strokovno-znanstveni literaturi je uporaba knjižnega jezika in urejevalnika besedil smiselna V primeru da je prevod izraza v tujkah se v oklepaju navede vrsto tujega jezika in prevod Primer
RAM (ang Random Access Memory)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 22
Napredno vzdrževanje strojne opreme Učno gradivo
Obseg
Tehnično poročilo je predvideno do 4 strani v primeru modula M8
Vzdrževalna pogodba je kratka in po členih pravno definirana v obliki medsebojnega dogovora naprednega vzdrževanja strojne opreme ter lastnika zastarele strojne opreme
Seminarska naloga je definirana glede na temo ni vrsto seminarske zatorej je priporočljivo imeti navodila strani- obsega ob začetku pisanja
Vprašanja za ponavljanje
Kakšno je tehnično poročilo
Zakaj je strojna oprema potrebna naprednega vzdrževanja ob koncu leta
Kakšne vrste pogodb o namestitvi strojne opreme poznaš v IT-ju
Kako izgleda licenčna namestitev strojne opreme Glej primer HW podjetij ki uporabljajo strojno opremo IBMHPLogitech ipd
Spletni brskalniki
Glede na naravo dela in poznavanje novih strojnih namestitev ter naprednih oprem ki nastajajo v posameznih multunacionalnih laboratorijih in proizvodnih procesih mora računalnikar biti seznanjen z novimi produkti oz strojno opremo v sodobnem času
Uporabo dostopa do wwwgooglecom wwwhpcom wwwibmcom wwwapplecom mu omogočajo pri velikanski izbiri na trgu da poišče primerno opremo proizvajalca zamenjati določen zastarel že servisiran produkt mikroprocesor izh-enoto ipd
Za brskanje po spletu je važno da se spozna na prodajo in uporabo strojne opreme kot tudi posameznih enot Oprema ki jo bo vzdrževal ima neko serijsko številko oziroma namestitveno pogodbo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 23
Napredno vzdrževanje strojne opreme Učno gradivo
Diski in na njem zaupni podatki strojna oprema ponarejanje in zamenjava s slabšimi produkti dolgoročne ne vodi računalnikarja tako do osebnega kot tudi poslovnega uspeha Res je da je mnogo različno kakovostnih produktov strojne opreme na trgu vendar tudi zloraba pri naprednem servisiranju in vzdrževanju prinašata posledice
Računalnikar se bo na terenu srečeval z identitetami računalnikov podjetij organizacij ki so po svoji naravi različna
Kot primer navajam uporabniške skupine strojne opreme ki so privrženci za Apple ter uporabniki oz privrženci za IBM Vsi bodo hvalili in zagotavljali boljšo kvaliteto in kakovost svoje strojne opreme
Zatorej vedno v tehničnem poročilu navedemo stanje strojne opreme pred našim prihodom in po tem ko smo jo le-to vzdrževali
Tako se profesionalno in komunikacijsko obnašamo s stranko kot pravi računalnikar z veliko odgovornostjo
Napredno svetovanje in pomoč uporabnikom strojne opreme
Pri pomembnosti komunikacije s s stranko moramo torej uporabljati pravila profesionalnega vedenja do stranke
Analizirati učinkovitost obstoječe strojne opreme Svetovati napredne matične plošče procesorje vodila Upoštevati različne strojne zahteve glede na namembnost osebnega računalnika Upoštevamo pomembnost shranjevanja dokumentacije vsaj 4 leta
S stranko je važno da vedno komuniciramo prijazno spoštljivo in umirjeno Kot svetovalec oz napredni računalnikar si lahko informacije o strojni opremi izmenjujemo preko strokovnih forumov novičarskih fan-tehničnih skupin (Apple HP Microsoftipd) ali pa smo povezani preko help-desk podpore na lokalnem zaščitenem omrežju kjer odpravljamo napake na terenu takoj
Zelo pomembna je tudi hitra odzivnost hitro in natančno odpravljanje napak poštenost do stranke ter na koncu primerna cena napredne strojne opreme vzdrževanja
Vprašanja za ponavljanje
Kaj je to komplet čipov
Kaj je osveževanje podpisana pogodbe o strojni opremi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 24
Napredno vzdrževanje strojne opreme Učno gradivo
Kaj je to etičnost in morala pravočasne namestitve napredne strojne opreme
4 Tveganje pri upravljanju napredne strojne opreme
Ko izrečemo ali preberemo besedi raquotveganje upravljanja napredne strojne opremelaquo se ne zavedamo da je tveganje skrito že kar v prvi besedi raquoupravljanjelaquo Tisti ki so odgovorni za upravljanje se tega namreč premalo ali sploh ne zavedajo Tveganja ki se v pri strojni opremi ter poslovnih subjektih na tem nivoju kažejo so
- nikoli dovolj resursov- cilji so nejasni- ni definirane politike standardov- število tveganj je preveliko ne ve se katera strojna oprema je najbolj pomembna- ni kulture
Sicer pa prevladuje prepričanje da se verjetno ne bo nič zgodilo Opisano ni zgled vodstvaZato moramo v svojo organizacijo sistematično s celostnim pristopom vpeljatiupravljanje tveganj Za drugo besedo raquotveganjelaquo se lahko vprašamo na kajnajprej pomislimo v vsakodnevnem življenju ko jo slišimo Najbrž pomislimo dalahko nekaj z določeno verjetnostjo izgubimo Preprosto sklepamo kaj in koliko lahko izgubimo ob neljubem dogodku to opredelimo z raquoresnostjolaquo verjetnost da izgubimo paobičajno opredelimo kot raquofrekvencalaquo pojavljanjaTo da se zgodi tisto česar v bistvu ne želimo je naša raquoranljivostlaquo če se ustreznoodzovemo ali reagiramo na tak dogodek pomeni da smo v aktivnostih privzelidoločene raquoobrambnelaquo mehanizme in zmanjšali raquoizpostavljenostlaquo tveganjemPri obravnavanju tveganj se izvajajo procesi analize ocene in rešitve kar lahkoopredelimo kot raquoupravljanjelaquo Resnost se meri z vrednostmi ovrednotimo jo finančnotorej določimo znesek Verjetnost pa merimo oz ocenimo s številom dogodkov včasovnem obdobju največkrat na leto Seveda bomo pozorni in dogodke spremljali dotiste varnosti in zaščite ki sta primerni sprejemljivi in hkrati skladni z našimivrednotami standardi in ekonomskimi zmožnostmi V bistvu so stvari boljkompleksne vsekakor je pomembna hitrost v odzivnosti Če želimo obravnavati inprimerjati tveganja moramo primerjati razsežnosti tveganj Ni rečeno da so tveganjanizka po vrednosti in visoka po frekvenci z enakim učinkom itd Zanimivo je da so vZDA in anglosaksonskem svetu upravljanje s tveganji vzeli kot tekmovalno prednostmedtem ko je v EU to bolj posledica regulative
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 25
Napredno vzdrževanje strojne opreme Učno gradivo
41 Spremembe pri strojni opremi
Spremembe so silovite Hitro se razvijajoča informacijska in telekomunikacijskatehnologija zahteva nove poslovne modele Gonilniki sprememb vplivajo na poslovnesubjekte ki morajo biti prilagodljivi hitri in hkrati varni Vse to med drugim prinašanegotovost znotraj poslovnega sistema pa tudi v zunanjem okolju Obvladovanjesprememb zahteva izjemne intelektualne napore saj so pritiski na poslovne subjekteveliki Prihajajo s strani zahtev regulative zakonodaje varnosti standardov nadzorakontrol konkurence itd Odražajo se v vrednostnih pogajalcih za PS kot soohranjanje rasti stroški in učinkovitost načrtna razdelitev kapitala in prioritetno sejim pridružuje upravljanje s tveganji torej investiranje v varnost Ključna tveganja vteh transformacijah so tako strateška kot procesna Sem sodijo informacijski sistemi(IS) infrastruktura tehnologija stranke partnerji konkurenca in intelektualni kapital -človeški viri itd Vsako od omenjenih tveganj je sicer možno omiliti ali odpravitivendar je potreben holistični pristop standardizacija privzemanje kulture tveganjpotrebno je kreirati program upravljanja tveganj program varnosti vpeljatiupravljanje znanj integralna orodja za tveganja orodja za analize scenarijev insimulacij uvesti nove discipline in metrike ter dobro prakso In kakšna je potem cenavarnosti Ni univerzalnih navodil ni garancij za uspeh ker v globalnem svetunenehno nastajajo nova tveganja V mreži poslovnih verig so medsebojno odvisna Vnadaljevanju je nakazano strukturno razumevanje oziroma pristop k upravljanjutveganj informacijske tehnologije (IT) kot podpore IS-mu in procesom v poslovnihsistemih ne glede na to kateri industriji poslovni subjekt pripada
V področje upravljanja s tveganji IT (UT-IT) vsekakor spadajo informacijski sistemi[1] IT viri procesi projekti in druge danosti ter kategorije povezane z IT Področjezajema vsa operativna tveganja kot posledice Človeških in tehnoloških napak Jeizjemno široko kompleksno interdisciplinarne narave s poudarkom na ustreznemrazumevanju konceptov z več področij (varnost tveganja nadzor (revizije)neprekinjeno poslovanje) Izhodišče so informacije ki jih podpira IS kateregaomogoča informacijska tehnologija v vsaki organizaciji Informacije potrebujejoanalizo tako domene IS kot poslovne domene Informacije so vitalen vir vsakeposlovne enote zato so tudi tarča napadov z različnimi motivi in vplivi na poslovanjeUT-IT tako zajema uporabnike IT organizacijo IT in njeno dejavnost kot storitevkončnim uporabnikom
IT organizacija mora biti ustrezno organizirana da zagotavljaposlanstvo varnosti učinkovitosti IS in dostavo storitev Zato imavarnost v organizacijah več oblik Odvisne so ena od druge inpredstavljalo celotno varnost (fizičnondashtehnično varnost in upravljalnisistem informacijske varnosti)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 26
Napredno vzdrževanje strojne opreme Učno gradivo
Pogled na strukturo IT organizacije je priporočljiv z več vidikov in dimenzijPredstava v prostoru je znana IT raquokockalaquo Med IT vire pa na splošno opredeljujemo
- ljudi- aplikacije- tehnologijo- podatke- Podporo-
Taka struktura je pomembna za odpravljanje tveganj v IT organizacijah namrečzajema tako procese kot več disciplin in upravljanje dejavnosti IT organizacije S temdemonstriramo funkcionalnost ki zagotavlja kvalitetno storitev IT Taka strukturaomogoča boljšo dostavljivost IT rešitev kar pomeni učinkovitost IS in zmanjšanjedoločenih tveganj med njimi tudi usklajevanje poslovnih ciljev najvišjega vodstva zIT
Ker izhajamo iz informacije poglejmo njene lastnosti Glavni kriteriji za ocenjevanjeso zaupnost integriteta in razpoložljivost Metoda UT-IT pa je skupni imenovalec zaanalizo neprekinjenemu poslovanju [4] projektnemu vodenju [5] drugim disciplinamin revizijam ter informacijskim varnostnim tveganjem Tveganja iz naslovainformacijske varnosti lahko do določene stopnje primerjamo s kontrolami [6] S tegavidika kontrole zmanjšujejo tveganja in so povezane z revizijami (notranjimi inzunanjimi) Pri tem se opirajo na preglede v katerih se ugotavljajo primernost inskladnost varnostne arhitekture ter učinkovitosti izvajanja upravljanja tveganjTudi odločitve običajno temeljijo na informacijah če so informacije mehke pride doizraza večja negotovost in odločitve ki se sprejemajo lahko pripeljejo do usodnihdogodkov v katerih se tveganja uresničijo in nastajajo izgube v poslovanjuDefinicij informacije je precej Velja da je to vir vsakega poslovnega subjekta Takopridemo do vrednosti informacije kot vseh drugih vitalnih vrednih virov v poslovnemsistemu Prav neustrezno ravnanje z informacijami povzroča velika tveganja ininformacijsko nestabilnost Dejstvo je da se mora v digitalni ekonomiji in globalnemsvetu poleg socialne finančne in ekonomske stabilnosti upoštevati tudi informacijska
Pri poslovanju so vsekakor pomembni procesi ki so predmet obravnave na področjuupravljanja tveganj IT Tako UT-IT opredeljuje in zajema tudi operativna tveganja Izpraktičnega vidika je v poslovnem sistemu veliko procesov ki se nadalje delijo napodprocese in aktivnosti temeljni in podporni Toda vsi morajo biti raquooptimalnilaquovodeni in nadzorovani Precej kompleksnosti naraste v informacijskem sistemu ki gapodpirata informacijska in telekomunikacijska tehnologija Zato je za področje UT-ITsmiselno uporabiti okvir COBIT Ta standard se lahko uspešno privzame tudi pri samiorganiziranosti in definiciji procesov v organizacijah ITUT-IT je prav tako proces v katerem se proučuje in obravnava IS-me Sem spadajotudi nevarnosti ki pretijo poslovnemu sitemu IS-mu IT organizaciji njeni storitveni
dejavnosti torej vsem virom v sistemu kakor tudi drugim poslovnim subjektom vposlovni verigi V njej so tehnološke razdalje med subjekti izjemno ranljive saj nasvoji poti informacije doživljajo spremembe procesi v katerih se to dogaja pa so semorali razširiti izven okolja posamezne organizacije ali PS Pot je posejana z
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 27
Napredno vzdrževanje strojne opreme Učno gradivo
nevarnostmi različnih izvorov tako da se tudi tveganja in njihovi vplivi na poslovanjeodražajo z različnimi učinki Poglablja se tveganje e-poslovanja gre za takoimenovana e-tveganja Biti brez varnosti v realnem času in hitre odzivne funkcije natveganja ter nepredvidene dogodke je lahko za poslovanje silno usodno Zatoobstajajo različne strategije orodja in načini za zdravljenje tveganj ki skupajpredstavljajo obrambne mehanizme organizacije Pri tem je pomembno zavedanje inizobraževanje ter neprestano usposabljanje strokovnjakov na teh področjihOperativna tveganja so izrazito povezana z internimi procesi in jih posamezneindustrije že obravnavajo vsekakor pa jih bo morala vpeljati finančna industrija zlastiban1048830ni sektor ki bo moral biti skladen z Baselskim II standardom in EU (CAD)direktivami Standard namreč zajema potencialne izgube tudi iz naslova operativnihtveganj ne glede na interne ali zunanje dejavnike Osredotočen je na objavopotencialnih izgub za vse poslovne linije organizacije po določeni strukturi poročanjaglede kapitalske ustreznostiKo pogledamo v bančni sektor je osnovni namen obvladovanja inupravljanja s tveganji v bankah zagotavljanje njene plačilnesposobnosti Med različnimi načini za uresničevanje tega cilja je naprvem mestu institut minimalnega kapitala in zagotavljanje potrebnekapitalske ustreznosti banke o katerem govori Basel IIDelež kapitala v celotni bilančni vsoti je pri bankah mnogo manjši kot pri drugihorganizacijah in podjetjih Tudi njegova funkcija je drugačna Kot najpomembnejšafunkcija bančnega kapitala se ponavadi navaja zaščita vlagateljev Bančni kapitalpoleg tega omogoča nadzornim institucijam omejevati obseg tveganih dejavnosti bankin hkrati omogoča banki financiranje njenih osnovnih sredstev Ker so upniki bankmnožice posameznikov ki imajo pri teh bankah praviloma vloge na vpogled alikratkoročno vezane vloge in ker je takrat ko banka postane nelikvidna ponavadi žeprepozno saj je takrat banka praviloma že nesolventna je velikost bančnega kapitalajavna zadeva
Filozofija današnje bančne regulative je dopustiti zdravo konkurenco med bankami inhkrati zagotoviti njihovo disciplino prek predpisovanja minimalnih kapitalskih zahtevBaselski standardi so vplivali na oblikovanje evropskih smernic za banke Polegstandardizirane metodologije za računanje potrebnega kapitala za pokrivanjeomenjenih tveganj so navedeni potrebni pogoji za uporabo internih modelov bank zamerjenje tveganj med njimi operativno tveganje (uporabniki IT in IT organizacij)
Obseg in narava tveganj s katerima se srečujejo banke sta odvisni od narave njihovihposlov Pri tradicionalnih bančnih poslih (dajanje posojil iz prejetih depozitov) se kotglavna tveganja pojavljajo kreditno tveganje (tveganje dolžnikove nezmožnosti alinepripravljenosti izpolniti obveznosti iz naslova kreditne pogodbe) tržnolikvidnostno tveganje (tveganje da banka v določenem trenutku ne more poravnativseh svojih dospelih plačilnih obveznosti) tveganje spremembe obrestne mere(tveganje da bo postala pogodbeno določena obrestna mera drugačna od tržne in dabo banka utrpela izgubo iz tega naslova) ter operacijsko tveganje (tveganje ki mu jebanka izpostavljena zaradi možnih človeških napak torej internih procesov napaktehnologije in zunanjih dejavnikov (gre tudi za prevare poneverbe pranje denarjaoperativne izgube pravne ter druge stroške ki jih banka nosi v primeru njihoveganastanka)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 28
Napredno vzdrževanje strojne opreme Učno gradivo
Z bankami so povezani poslovni subjekti in vsi morajo zagotavljati varno poslovanjeTveganja so precejšnja saj vsi PS ne morejo zagotavljati enako učinkovitihprotiukrepov in varnostnih mer Pogljablja se tudi STP e-poslovanje nastajajo eskupnostiIS-mi se pogovarjajo med seboj brezžične komunikacije nujno jeprivzemanje standardov in različice XML protokola vse različne storitve potrebujejoUT-IT Področje je v razmahu in lastniki ter nadzorni sveti bodo moralikontrolirati operativne izgube in učinkovitost IS NS bodo imeli vlogo potrditvestrategij UT-IT uprave oz vodstva pa bodo morali dokazati skladnost s standardi inmetodami
Primerov storitev ki jih lahko obsega napredno vzdrževanje strojne opreme v UT-IT
spremljanje tehnoloških novosti povezanih z vzdrževano opremo ter priprava predlogov in ukrepov za nemoteno delovanje oz izboljšanje njenega delovanja
zamenjava delov strojne opreme
namestitev varnostnih popravkov na strežniško infrastrukturo
namestitev varnostnih popravkov na delovne postaje in prenosnike
periodično preventivno vzdrževanje strojne opreme
dokumentiranje storitev vzdrževanja
popravilo in odstranitev vseh pomanjkljivosti odkritih med preventivnim pregledom
pomoč sistemskim administratorjem in uporabnikom odgovori na vprašanja in svetovanje glede uporabe vzdrževane infrastrukturne opreme na lokaciji naročnika oz uporabnika
izredni kontrolni nadzor nad delovanjem infrastrukturne opreme po dogovoru z naročnikom
nadgradnja strežnikov delovnih postaj in prenosnih računalnikov
nadgradnja komunikacijske opreme
daljinska pomoč preko telefona elektronske pošte faksa ali daljinskega dostopa pri reševanju problemov uporabnikov odgovori na vprašanja in svetovanje glede uporabe vzdrževane strojne opreme
Osnovno popraviloStrokovnjak bo preveril delovanje računalnika opredelil napako in jo odpravil V to storitev se uvršča odprava manjših napak na računalniku
Storitev vsebuje diagnostiko težave in njeno odpravo v primeru da gre za manjšo napako Med manjše napake sodi ponovna namestitev gonilnikov popravilo napačnih nastavitev v programski opremi ponovna namestitev programov itd
V primeru da sestavljamo ob nakupu nov računalnik z dodatno opremo moramo poskrbeti da bomo da za nakup dobili najboljšo ponudbo računalnika ali računalniške opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 29
Napredno vzdrževanje strojne opreme Učno gradivo
Pri sestavi sistema bomo upoštevali vaše potrebe ter dosegli najboljše razmerje med ceno in zmogljivostjo Poudarek je na individualnem svetovanju katerega namen je kar najbolje poskrbeti za želje uporabnika V ta sklop sodi poleg svetovanja za nakup računalnika tudi svetovanje o ostalih perifernih napravah (tiskalniki usmerjevalniki itd)
Pristop k osnovanju UT-IT
Težko je odgovoriti ali se odzvati na vsa tveganja brez ustreznega znanja Splošnoznano je tudi da se iz podatkov procesirajo informacije in iz njih znanje ki ga jesmiselno takoj uporabiti Gre za znanje poslovnega subjekta v celoti in nekateraspecialna znanja za katera je potrebno zagotoviti da so v pravilnem kontekstu in napravem mestu Upravljanje znanj (UZ) ima lahko odločilno vlogo pri strategiji zavpeljavo področja upravljanja tveganj IT v vsakodnevnem poslovanju UZ zmanjšaraquokorporacijskolaquo izpostavljenost tveganjem Zato je pametno zbrati vse ustrezneinformacije strukturirati znanje v kontekst ali okvir v katerega bodo vnesene vsebinepotrebne za UT-IT Kreiranje portala in repositorija za upravljanje tveganjopredeljujemo kot podporno infrastrukturo področju V repositoriju sopredefinirane strukture Zaposlenim so na voljo v obliki zemljevidov raquomaplaquo kikažejo na vsebine in povezave med njimi ter omogočajo polnjenje vsebin Pridoločanju vsebin lahko sodelujejo vsi želeno je da se v organizaciji na področjutveganj in varnosti ustvarja intelektualni potencialUpravljanje
Tveganj IT5Varnost
Metoda je opredeljena kot množica korakov (algoritem ali navodilo) uporabljenih zaizvršitev naloge (dela posla) Metodologija je nekako širši pojem in predstavljamnožico orodij lahko raziskovalne metode ali razlago teorije vodenja v vodstvenoprakso Torej metodologija organizira teorijo v nekaj razumljivega Ker je na voljo večpristopov metodologij in metod pri upravljanju tveganj bi torej metodologijopredstavljalo orodje za podporo odločitvenim sistemom iz področja UT-IT Tehnik inmetod je dejansko več katere bomo uporabili za različna področja in položaje toterja tehtni premislek
Slika 4 Zunanji disk WD Passport (klikni na sliko
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 30
Napredno vzdrževanje strojne opreme Učno gradivo
V glavnem so osnovane na točkovnih in statističnih metodah kvalitativni inkvantitativni tehniki Znana je enačba tveganj ALE (letnih pričakovanih izgub)Smiselno pa je privzeti metodo standarda BS7799 [10] ali ISO17799 za informacijskovarnost Smiselno je da bi vse industrije prevzele standard PSIST7799 (prevod) kivelja v državi od 13 6 2000 za bančni sektor (z dopolnitvami)Poslovni subjekti lahko uporabljajo lastno razvite tehnike in tehnologije zaidentifikacijo in analizo tveganj Za različne poslovne procese kot so vodenjesprememb združevanja in prevzemi raquocorporate governancelaquo strateško planiranje invrednotenje lahko privzete kvalitativne ali kvantitativne identifikacije tveganj inanalitske tehnike dodajo značilno vrednost za različne poslovne položaje in področjaUveljavljajo se metode analize scenarijev in raquoscorecardslaquo ter druge statistične metoderazne simulacije (Monte Carlo) itdTipično je da se simulacijski modeli uporabljajo za odločitve o sestavi realnihsistemov in za odločitve o politiki in postopkih ki jih uporabljamo pri delovanjurealnih sistemov Simulacija pomaga pri določanju sestave politike in postopkov vnegotovih torej tveganih pogojih okolja sistema Manager poskuša z modelom kotnadomestkom za realni sistem z uporabo različnih vhodnih podatkov in postopkovdoseči na osnovi dobljenih rezultatov pri simulaciji lažje odločanje pri vodenjurealnega sistema Vendar mora biti pri tem pazljiv in rezultatov dobljenih ssimulacijo ne more kratkomalo prenašati v realni svet Model in simulacija lahkopomagata bolje spoznati delovanje realnega sistema ne moreta pa zagotoviti raquopraveizbirelaquo za realni sistem Pri upravljanju tveganj IT lahko preveč subjektivne ocenepovzročajo nova tveganja predvsem na področju zunanjih virov (outsourcinga) invodenja pogodbZa UT-IT je na voljo dovolj modelov orodij programov in vzorcev ki jih lahkouporabimo v svojem poslovnem okolju Priporoljivo je da vsak poslovni subjektkreira sebi ustrezen model glede na specifiko vendar mora izvajati ovrednotenje da jeskladen s standardi in regulativo Standardi so uveljavljeni in nudijo dovolj velik okvirza njihovo privzemanje in funkcijo uporabe
Pregledni model UT-ITV podporo modelu UT-IT je že potreben omenjeni portal kot rezultat procesov priupravljanju znanj in repositorij kjer se shranjujejo potrebne vsebine in nastaja bazaznanja o dogodkih in tveganjih ter obrambnih mehanizmih Portal služi tudi zaizobraževanje Vsebine predstavljajo sezname in infostrukture od standardov doobrazcev ki se uporabljajo v posameznih fazah ali procesih analize in v obravnavanjutveganj Zbrani so tudi vsi principi zakonodaja politike procedure metrika procesiin tokovi informacij kakor tudi vnos v register tveganj zajem nevarnosti popis vsehkontrol varnostni mehanizmi in seznam protiukrepov vse to za dogodke in scenarijeki se lahko ali so se že zgodiliZa področje UT-IT se kreirajo smernice za posamezne entitete ali subjekte ki sovključeni kot participatorji ter navodila kako se izvajajo aktivnosti Učinkovitost sedoseže s poprej določenimi infostrukturami standardizacijo in povezavami medpodročji ter odnosi med entitetami ali objekti ki tvorijo sistem upravljanja tveganj IT
Kreiranje konteksta ali takšnega okvira je možno ker so v glavnem poznane vsestrukture in gradniki UT-IT in želenega sistema varnosti Dovolj predlog je že naInternetu zato je smiselno področje pregledati in izbrati želene infostrukture Posebnerazlage niso potrebne UT-IT se odvija po projektnih principih s skupinami ki so
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 31
Napredno vzdrževanje strojne opreme Učno gradivo
strokovne na svojih področjih Prav tako se v skupinah (samovodljivo) ocenjujejotveganja in definirajo strategije rešitev za identificirana tveganjaPodročje UT-IT je lahko služba ki je neodvisna in samostojna organizacijska enota v vrhu vodstva organizacijeIZVAJANJEOKVIRKaj kako s 1048830i
- Komunikacijski krogi
Bistven gradnik UT-IT predstavljajo komunikacijski krogi (KK) med področji inodgovornimi ali delegiranimi sodelavci po poslovnih linijah Le-ti predstavljajo raquokomunikatorje tveganjalaquo ki so povezani prek sistema zgodnjega opozarjanja inizvajajo vnos dogodkov ter podatkov za analize tveganj in ocenjevanje vpliva naposlovanje Izkušena skupina določi tudi ustrezne protiukrepe in varnostne mere ter jihposreduje lastnikom tveganj Ti s strokovnjaki za posamezna področja pripravijostrategijo rešitve in jo predstavijo (kot zagovor) odgovornim za področja da se posoglasju lahko izvedejo Področje UT-IT spremlja in spet ocenjuje učinke terrezidualna tveganja Zaradi narave tveganj in inherentnih tveganj IT so tovsakodnevne aktivnosti upravljanje tveganj in varnosti pa je vodstvena funkcijaObstaja še pomembna lastnost in specifika da področja varnosti in tveganj pripadajovsem zaposlenem v organizaciji zato so komunikacijski krogi in pravočasnoinformiranje nujniZa operacijsko kvaliteto v organizaciji je potrebno definirati oz določiti dimenzijo vkateri se meri kvaliteta Značilne so tri dimenzije (kriteriji)
- primernost in funkcionalnost- varnost in zanesljivost- razpoložljivost in dostopnost
- Metrike
-Tveganje je objektivizirane negotovosti glede na možnost pojavitve nezaželenegadogodka merjenje negotovosti in negotovosti izgube Negotovost nastane zaradipomanjkanja informacij o nekdanjih sedanjosti in prihodnjih dogodkih vrednostih inpogojih Ne glede na različne stopnje negotovosti je osnova koncepta negotovosti vpomanjkanju informacij o delih sistema ki ga obravnavamo ali opazujemo Zmanjšanje tveganj mora biti motiv za organizacijo Zmanjšanjestopnje negotovosti je korak k opredelitvi kaj je lahko narejeno zazmanjšanje izpostavljanju tveganj Kakšno metriko uporabimo jeodvisno od tega kaj želimo meriti obravnavati spremljati izboljšatiitdOceniti tveganje pomeni ovrednotiti koliko lahko prenesemo oz izgubimo če seneljubi dogodek zgodi in pri tem izgubimo npr kar posedujemo Ali predstavlja to zanas vrednost in kako pogosto se ti dogodki pojavljajo so začetna razmišljanja ko greza tveganja in reakcije na njihLahko trdimo da je tveganje vedno ocenjeno z analizo scenarijev kar pomenivrednotiti možne izgube in frekvenco verjetnosti možne škode Toda v kakšnemobsegu in po katerih predvidevanjih Vsekakor je pri ocenjevanju tveganj medkvalitativno in kvantitativno analizo razlika Smiselno je obravnavanje analizetveganj Še tako dobro zastavljena varnostna politika brez izvajanja in kontrole ne
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 32
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
Povzetek
Učno gradivo sledi učnemu načrtu Ministrstva za šolstvo in šport (MŠŠ) za predmet raquoNapredno vzdrževanje strojne opremelaquo za izvedbo programa raquoRačunalnikarlaquo Omenjeno gradivo obravnava strokovno področje računalništva informatike računalniških omrežij vzdrževanja tako strojne opreme kot tudi ukrepi v primeru informacijskih nesreč
Gradivo obravnava zgodovino strojne opreme osnove koncepta računalnika zgradbo mikroprocesorjev zgradba matične plošče sestave in vrste računalnikov izvedbena faza projekta zamenjave strojne opreme pilotna faza naprednega vzdrževanja patenti ter varnost pri strojni opremi informacijske nesreče strojne opreme in kako preprečiti z vzdrževanjem kazenski zakonik z vidika IT prava
Gradivo je v pomoč predavateljem in dijakom da se lahko nemoteno soočijo z strojno opremo v kateremkoli družbenem okolju ali je to v pisarni na delovnem mestu doma ali šoli Vpeljuje dobro poznavanje in kritičnost napredne strojne opreme ki je vedno znova hitrejša zmogljivejša in tehnološko natančna
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 3
Napredno vzdrževanje strojne opreme Učno gradivo
Kazalo
1 Uvod 6
2 Strojna oprema 8
21 Prednosti sodobne strojne opreme
211 Napredno vzdrževanje prenosnih medijev 8
22 Pripravljalne faze naprednega vzdrževanja strojne opreme 9
23 Količinski prevzem 10
24 Pilotni prevzem 10
25 Arhitektura strojnega sistema 11
26 Lociranje strežnikov 12
27 Specifikacije in testiranje protokolov 13
28 Varnost strojne opreme 14
29 Odkrivanje napak 15
3 Načrtovanje strojne opreme 17
34 Napredni operacijski sistemi 1834 1 Navodila za izdelavo tehničnega poročila 20
3 4 2 Napredno svetovanje in pomoč uporabnikov 22
4Tveganje pri upravljanju napredne strojne opreme 2441 Sprememb pri strojni opremi 25
5 Varnost 27- Identifikacija strojne opreme 30- Ocena stroškov potencialnih izgub 33- Tveganje pri namestitvi nove strojne opreme 34
51 Informacijske nesreče varnostna politika in pravo 36
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava 38
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 4
Napredno vzdrževanje strojne opreme Učno gradivo
53 Podatkovne zbirke na diskih strojne opreme 40
54 Patenti 41
55 Blagovne in storitvene znamke ter modeli strojne opreme 42
56 Varstvo zaupnih podatkov na strojni opremi 42
57 Varstvo osebnih podatkov 43
58 Podatkovne zbirke na diskih strojne opreme 44
59 Prekrški in kazniva dejanja v zvezi z podatki na strojni opremi ndashdiskih 44
6 Literatura 45
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 5
Napredno vzdrževanje strojne opreme Učno gradivo
1 Uvod
Računalniki so že zdavnaj postali nepogrešljiv sestavni del poslovanja podjetij Težave z računalniško opremo doma v podjetju šoli povzročajo stroške zato je zanje potrebno ustrezno poskrbeti Napredno vzdrževanje strojne opreme posveča posebno pozornost potrebam majhnih in srednjih podjetij saj je vse večji del vašega poslovanja odvisen od informacijskih tehnologijV praksi se srečujemo z dvema vrstama vzdrževanja in sicer vzdrževanje na klic in pogodbeno vzdrževanje Prvo deluje tako da pokličemo ko gre kaj narobe in napake odpravimo v skladu z našim cenikom pri pogodbenim vzdrževanju pa za vas poskrbimo bolj celovito Pogodbeno vzdrževanje vam prinaša kratke odzivne čase ter roke popravila dosegljivost strokovnjakov ne glede na čas
manjše in pregledne stroške
preventivne preglede katerih namen je pravočasno odkrivanje težav preden se te razvijejo v večje okvare
varnost vaših podatkov
po potrebi nadomestno opremo za nemoteno delo
Ker ima vsako podjetje različne potrebe in izzive je pred podpisom pogodbe potreben natančen ogled opreme na vaši lokaciji na podlagi katerega nato skupaj določimo najbolj primerno obliko sodelovanja Glede brezplačni obisk strokovnjakov se potem rešujejo problemi na strojni opremi
Danes lahko izbiramo izmed ponudnikov strojne opreme veliko proizvodov ki so napredni in tehnološko zmogljivejši
V programu računalnikar je predmet napredno vzdrževanje strojne opreme pomemben del pedagoškega izobraževanja za dijaka
Širina znanja o strojni opremi je seveda kot pri programski opremi zelo široka vendar te znanja dijak lahko pridobi tekom predmeta ali kot interdisciplinarno povezovanje z ostalimi predmeti Menim da je program računalnikar v sozvočju z ostalimi dosedanjimi predmeti primeren za končni produkt programa in opravljenega izpita
Strojne opreme se lahko lotimo z svojo gorečnostjo tako da se jo strokovno lotimo po posameznih modulih M8 - je samo eden izmed njih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 6
Napredno vzdrževanje strojne opreme Učno gradivo
Vpeljani pojmi
Strojna oprema ndash pojem oz področje računalnika združene strojne opreme v nekem zaprtem ohišju modulu ki predstavlja osnovne komponente za primerno delovanje računalnika
Napredno vzdrževanje ndash pojem oz imenovanje vseh vrst pilotskih projektov za izdelavo ali izboljšanje obstoječe strojne opreme matične plošče procesorja vh-izh enot ipd
Vprašanja za ponavljanje
Kaj je to strojna oprema Katera je zastarela strojna oprema in katera napredna Kaj je procesor v matični plošči Napredna strojna oprem ima slogan delovati pomeni živeti Razloži
Razišči in opiši
Poišči vsaj štiri podjetja v Sloveniji ki se ukvarjajo z prodajo strojne opreme Naredi programu Power Point zgradbo svojega osebnega računalnika Katere strokovne revije o računalništvu bi prebral če bi želel izvedeti največ o
napredni strojni računalniški opremi
Spletne povezave virov
Rado Westerbach Informatika učbenik 2009 - Gimnazija Jesenice
httpwwwnauksiračunalništvo za srednje šole
Google httpwwwgooglecom
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 7
Napredno vzdrževanje strojne opreme Učno gradivo
Spletni portal httpwwwpraktiksi
httpwwworiacom
httpwwwibmcom
httpwwwhpcom
Spletna revija COMPUTER WEEKLY ndash VB httpwwwcomputerweeklycomhome
Spletna revija COMPUTERWorld ndash ZDA httpwwwcomputerworldcom
2 Strojna oprema
Beseda strojna oprema izvira bolj iz besednjaka ko popravljamo avtomobil ali dele vrtne opreme vendar je pri tem predmetu to mišljeno predvsem celotno hardwear besedoslovje ki vključuje pojme kot so matična plošča procesor vhodne izhodne enote pomnilnik ohišje delovni pomnilnik ipd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 8
Napredno vzdrževanje strojne opreme Učno gradivo
Z računalniško strojno opremo smo si pripravljeni spremeniti navade odnos življenje Zatorej širimo znanje o kakem prenosu podatka ali odnosu v družbi V dobi informacijskega veka smo za primerne informacije pripravljeni kupiti najnovejšo strojno opremo za veliko denarja V hitrem informacijskem svetu hitro hitrejšo takoj napredno strojno opremo brez komunikacije in sistemov opreme ne moremo uporabiti kot pa so jo to sredi prejšnjega stoletja
Strojna oprema še posebno napredna se razvija iz dneva v dan vse bolj in bolj in vpliva na sodobnega človeka neposredno
21 Prednosti sodobne strojne opreme
Kvalitetna strojna oprema omogoča delo na različnih družbenih področjih kot so
Medicinska strojna oprema
Poslovna in zavarovalniška strojna oprema (delniško poslovanje- Wall Street Bančni poslovni inf sistemiipd)
Robotika
Prostorska in geodetska strojna oprema
Bio-informatika
Napredna izvedba strojne opreme za potrebe Outsourcinga raquood-zunajlaquo
Strojna oprema državni upravi
Strojna oprema namenjena za uporabo zahtevnih raziskav na terenu nemogočih tehničnih pogojev v delovnih okoljih (NASA SHELL FBI ipd)
Zabavna strojna oprema (računalniške igrice z svojo opremo Walt Disney Animirani filmi ipd)
Razpis za izbiro proizvajalcev dobaviteljev in izvajalcev napredne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 9
Napredno vzdrževanje strojne opreme Učno gradivo
Postopek izbiranja je zakonsko opredeljen Seveda kot računalničar ni toliko bistveno zakonsko stališče kot le pravila in izkušnje
A) Pomembno je izbiranje usposobljenih dobaviteljevB) Končno izbiranje proizvajalcev dobaviteljev in izvajalcev
Pri napredni izbiri strojne opreme moramo razlikovati proizvajalce dobavitelje in izvajalce vzpostavljanja komunikacijske infrastrukture Poleg strokovnih in finančnih ter časovnih lastnostih izbire ima vedno večjo težo ponudba napredne strojne opreme Ker želimo ponavadi že na določeno strojno opremo da opremo inštalira isto podjetje ponavadi izberemo ustrezno podjetje ki ponuja nadgradnjo le omenjene
22 Izvedbena faza projekta zamenjave strojne opreme
Tukaj govorimo o fizičnem postavljanju omrežja in strojne namestitve Prvi korak v tej smeri je podpis pogodbe z izbranim dobaviteljem napredne strojne opreme Zavedati se moramo da računalniška strojna oprema predstavlja hrbtenico kompleksnega porazdeljenega sistema zato je priporočljivo da kupec in dobavitelj podrobno opredelita želeno napredno strojno opremo inštalacije oz namestitve testiranje strojne opreme prevzemanje komunikacijske infrastrukture Upoštevati moramo naslednje vprašanja
Kako ugotavljamo ustreznost opreme
Kako ugotavljamo zmogljivost opreme
Kaj pomeni dobaviti določeno opremo
Kako bomo upoštevali zunanje faktorje ki vplivajo na potek izvedbe napredne strojne opreme
23 Količinski prevzem
Potrdi da je dobavitelj fizično dostavil strojno opremo opredeljeno s pogodbo Smiselno je da je naročnik za dobavljeno opremo sprejel le tisto ki je inštalirana na vnaprej opredeljeni lokaciji Inštalacija mora potrditi osnovno lokalno funkcionalnost strojne opreme Kot primer
na določeni lokaciji se nahaja usmerjevalnik z ustrezno linijsko opremo (konvertorji modemi monitorji ipd) ki je priključena na napajanje in prenosne medije Ker je računalniško
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 10
Napredno vzdrževanje strojne opreme Učno gradivo
omrežje kompleksen sistem je potrebno potrditi vsebinsko in funkcionalno ustreznost količinsko prevzete opreme Pogodba mora predpisovati način in pogoje testiranja ustreznosti opreme Običajno priv test napredne strojne opreme opravi naročnik ki lahko ugotovi nepravilnosti ki jih mora dobavitelj odpraviti in se izvajajo vsi naslednji testi na račun dobavitelja Ta predhodni korak prevzemanja zagotovita da oprema količinsko in funkcionalno ustreza naročeni strojni opremi
Preverjanje povezljivosti strojne opreme je proces nastavitve sistemskih parametrov za predvideni način delovanja in testiranja kompatibilnosti lokalne infrastrukture z okolico
Za izvedbo testa strojne opreme je potrebna primerna strojna računalniška oprema
24 Pilotna faza
Pilotna faza je namenjena preverjanju že nameščene strojne opreme kot celote s poudarkom na analizi zmogljivosti napredne strojne opreme saj je konformnost preverjena že v prejšnjih fazah
Pogosto se zgodi da zaradi različnih objektivnih razlogov projekta ni mogoče namestiti v dogovorjenem roku Razlog je lahko primer da za določeno lokacijo ne moremo najti ustreznih prenosnih poti ob tem pa večina lokacij (npr delovnih strojnih postaj) že uspešno deluje V takem primeru bi bilo nesmiselno odlagati nadaljevanje vzpostavljanja hrbtenice to je pilotno fazo delovanja
Pilotna faza namestitve strojne opreme se torej lahko prične ko vse lokacije lokalno privzete in ko ugotovimo dogovorjeni odstotek pogojno prevzetih lokacij hrbtenice računalniškega omrežja
Pilotna faza ni opredeljena samo s testi ampak je njeno bistvo predvsem opazovanje in presojanje delovanja napredne strojne opreme v delovanju V tej fazi končni uporabniki npr dijaki še ne morejo pričakovati predpisane kvalitete in stabilnosti delovanja Pilotna faza se zaključi takrat ko ugotovimo da omrežje določen čas deluje s predvideno zmogljivostjo in razpoložljivostjo npr več kot 95
Prevzem celotnega računalniške strojne opreme pomeni da naročnik dobavitelju prizna izpolnitev vseh pogodbenih obveznosti in obratno Poleg tega pa je potrebno poskrbeti za
- vzpostavitev nadzora in upravljanja omrežja s strani naročnika- zagotavljanje vzdrževanja in servisiranja vzpostavljene infrastrukture- ustrezno podporo končnim uporabnikom
Z zaključkom te faze omrežje pride v produkcijsko fazo s katero se začne normalen življenjski cikel naprednega vzdrževanja strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 11
Napredno vzdrževanje strojne opreme Učno gradivo
25 Arhitektura strojnega sistema
1slikaarhitektura ohišja
Mehanizem odjemalec ndash strežnik
- Izpad odjemalca
Strežnik ki je ostal brez svojih odjemalcev ker so ti nehali delovati ali so nedosegljivi imenujemo sirota
Tak strežnik požira vire lastnega sistema kar pa še ni najhuje Več težav lahko povzroči zmeda ki nastopi v vrstah odjemalcev ki se ponovno vzpostavljajo in dobivajo od strežnika odgovore na svoje zahteve iz časa pred izpadom Teh zahtev se namreč ne raquospominjajolaquo in ne vedo kako naj interpretirajo odgovore
Za reševanje take situacije pri naprednem vzdrževanju strojne opreme poznamo nekaj situacij
- Iztrebljanje je dokaj drakonska strategija takoj ko se odjemalec ndash roditelj procesa ponovno zavre samega sebe strežniku naroči da naj razvrednoti vse njegove morebitne procese Algoritem mora teči ker lahko najdemo v primeru pogostih izpadov na strežniku tudi procese posameznih zahtev
- Reinkarnacija je tretja strategija Odjemalec razseka čas v zaporedne intervale imenovane epohe Če odjemalcu po metodi iztrebljanja ni uspelo ubiti vseh svojih zahtev ndash procesov lahko oznani vsem strežnikom začetek novega obdobja Strežniki uničijo vse tiste zahteve ki ne sodijo v sedanjo uporabo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 12
Napredno vzdrževanje strojne opreme Učno gradivo
26 Lociranje strežnikov
V praksi nameščanja nadomestne strojne opreme je imenski strežnik tisti ki vodi evidenco o vseh ostalih strežnikih Odjemalec se s svojim problemom obrne na imenski strežnik in mu ta predlaga izvajalca Imenski strežniki se uporabljajo za izvedbo elektronske pošte
Ob namestitvi novega strežnika je potrebno ob njegovem obstoju obvestiti imenski strežnik Za to lahko poskrbi sama delovna postaja avtomatsko največkrat pa je potreben poseg vzdrževalca imenskega strežnika
Dostikrat odjemalec želi ugotoviti kateri strežnik je najbolj primeren za izvršitev njegove zahteve
27 Specifikacije in testiranje protokolov
S problemi testiranja komunikacijskih protokolov se soočamo v napredni strojni opremi že od začetkov povezovanja računalniških sistemov v omrežja Področje analize in testiranja komunikacijskih protokolov se je uvrstilo v okvire implementacije komunikacijskega procesa
Izvedba protokola je porazdeljen sistem v katerem ima vsak proces določeno stopnjo lokalne avtonomije in na nek način interakcije z okolico
- Informacijske storitve sistemov
Osnovni namen informacijsko komunikacijskih sistemov je nudenje svojih posrednih ali neposrednih storitev uporabnikov
Med standardne storitve sodijo na primer različne izvedbe računalniško podprtih omrežnih informacijskih sistemov z bolj ali manj decentraliziranimi elementi O splošnih lastnostih teh storitev velja da v vseh operacijskih sistemih podpirajo standardne storitve kjer se stikata lokalni uporabnik računalnik ndash odjemalec in virtualna naprava strežnik
28 Varnost strojne opreme
Varnost nadgradnje strojne opreme je zelo obsežen pojem zato ga je potrebno skrbno prestrukturirati Zanesljivost sistema dosežemo predvsem s skrbnim načrtovanjem nadzorom in upravljanjem sistema Pri tem imata pomembno vlogo organiziranost poslovanja in
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 13
Napredno vzdrževanje strojne opreme Učno gradivo
usposobljenost uporabnikov To področje je izredno široko in ga na tem mestu ne bomo obravnavali saj predstavlja samostojno disciplino sistemskega inženiringa
Zaščita sistema opazujemo z dveh osnovnih zornih kotov
- zaščita na nivoju končnih računalnikov ndash lokalna zaščita- zaščita ki je potrebna zaradi narave decentraliziranih sistemov ndash decentralizirana
zaščita
Iz vsakdanjega življenja vsi poznamo primere v katerih nam zelo veliko pove že dejstvo da vemo med katerimi ljudmi v določenem trenutku poteka komuniciranje ne glede na to da same vsebine ne moremo razbrati Ravno tako v primeru da razpoznamo da strojna oprema pri zagotavljanju kakovostnega komunikacijskega delovanja ne deluje jo nadomestimo z nadgradnjo
29 Odkrivanje napak
Pri uporabi in delovanju strojne opreme pride do napak predvidoma na prenosnih medijih kjer se lahko dogajajo napake Najpreprostejši način je odkrivanje napak v okviru nameščene strojne opreme v kontroli maske kjer je strojna oprema evidentirana kot okolje Windows
Komercialne različice računalniške strojne opreme s skupinskih prenosnim medijem se je pričela tudi kot omrežje
a) brezžičnoJe tisto ki je kot prenosni medij fizično opredeljivo z radijskimi valovi ali svetlobo
b) mobilnoOmrežje ni nujno brezžično bistveno je da podpira selitve računalnikov
Kot primer lahko navedem kombinacijo klasičnega modema in brezžičnega telefona ki ga lahko napredno vzdržujemo preko modema priključenega na modem npr v hotelski sobi in ga preko te linije vstopamo v drug računalnik ki je v povezavi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 14
Napredno vzdrževanje strojne opreme Učno gradivo
2slika diagnostika
- Napredno vzdrževanje prenosnih medijev
Prenosni mediji niso le žice kot pogosto najprej pomislimo Pojem bomo nekoliko razširili saj ne smemo pozabiti na prenosne medije ki nimajo zveze z računalniškimi komunikacijami tičejo pa se računalniških informacijskih sistemov
Z vidika IKS-a je poznavanje prenosnih medijev zanimivo le v toliko kolikor različne oblike prenosnih medijev omogočajo zasnovo prenosnih kanalov z različnimi kapacitetami primernih za različne razdalje in različno ceno Njihova tehnologijama sodi v področja ki so razdeljena
- Koaksialni kabel- Brezžične povezave- Optično vlakno
Optična vlakna so danes najzanesljivejši prenosni medij Prevajajo svetlobne signale ki jih običajno vzbujamo z laserskimi napravami Signal med prenosom po optičnem mediju le malo oslabi Danes dosegamo 100 kilometrske prenose brez ponavlalnikov signala Kaj takega je po parici ali koaksialnemu kablu nedosegljivo Kapaciteta optičnega kanala 100 Mbits na omenjeni razdalji ni vprašljiva na krajših odsekih pa so na pohodu že kapacitete 100 Gbits
- Brezžične povezave
Med brezžične povezave prištevamo več skupin povezav ki so zasnovane na širjenju elektromagnetnega valovanja skozi prostor Tipične oblike so
- Radijske zemeljske povezave
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 15
Napredno vzdrževanje strojne opreme Učno gradivo
- Mikrovalovne usmerjenje povezave- Infrardeče povezave - Satelitske povezave
Poleg brezžičnih povezav spada v nepogrešljivo komunikacijo tudi telefonsko omrežje Vzdrževanje telefonskega omrežja ima dostop večine opisanih graditeljev računalniških omrežij
Pripravljalne faze naprednega vzdrževanja strojne opreme
- Identificirati pristopne točke pokvarjenih delov strojne opreme- Oceniti storitve pokvarljivosti strojne opreme- Oceniti vrednost investicije za namestitev strojne opreme ter infrastrukturo ki bo
zmogla ocenjene napake opredeliti in načrtovati grobe okvire nove infrastrukture- Zagotoviti vire financiranja nameščanja nove strojne opreme
To sicer ni tehničen problem vendar pa navadno predstavlja nepomembnejše in pogosto najzamudnejše opravilo z dokaj nepredvidljivim izidom
- Opredeliti osnovne izvedbe okvire izvedbe Ti so neodvisni od infrastrukture dinamike financiranja in drugih dejavnikov Že v okviru te faze projekta je potrebno vzpostaviti stike z nameščeno strojno opremo
Večina ljudi čuti naraven odpor do razstavljanja električnih naprav in to z razlogom Proizvajalci drugih naprav vedno svarijo naj jih uporabniki ne odpirajo sami Možnost električnega šoka je prisotna pri vsej strojni opremi Vsi računalniki ne sodijo mednje saj so narejeni tako da jih uporabnik lahko do neke mere sam priredi
Ko nameščamo napredno strojno opremo npr v ohišju moramo najprej izključiti vse napeve
Iz vtičnice potegnemo napajanje za računalnik in za vse naprave ki so nanj priključene Nikakor se namešča napredne strojne opreme dokler je vtikač v vtičnici Ne samo da to škoduje računalniku nevarno je tudi za samega vzdrževalca oz uporabnika
Ohišje je lupina v katero so nameščene komponente ki sestavljajo jedro računalnika Napajalnik (ang power supply) pa je naprava ki pretvarja standardno omrežno izmenično napetost v nižje enosmerne napetosti ki jih za delovanje potrebuje računalnik
Čeprav nekateri pravijo da je to smešno sodita ohišje in napajalnik popolnoma upravičeno na vrh seznama obveznih komponent Brez njiju ni nobenega računalnika Včasih sta drug z drugim neločljivo povezana čeprav raquohodita vsak svojo potlaquo Kakršna vrsta strojne opreme se najprej ugotovi po ohišju ki je pri namiznih računalnikih zelo razkošno V ohišju najdemo prostor za osnovno ploščo z potrebnimi komponentami trde diske različne vmesniške kartice
Hrupa ki je pri stojni opremi v računalniku se lotimo ko reže v ohišju skozi katere priteka zrak v računalnik in ventilator napajalnika povečamo Ko nameščamo napredno strojno
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 16
Napredno vzdrževanje strojne opreme Učno gradivo
opremo mora biti tudi ohišje na primernem zračnem mestu To sicer ne pomeni da moramo računalnik spraviti pod mizo vendar moramo poskrbeti za učinkovit zračni preskok
Ohišja namiznih računalnikov se lahko med seboj močno razlikujejo vsa pa so praviloma dokaj velika in vanje je že vgrajen napajalnik Vgrajeni napajalnik je pri namiznih računalnikih najmočnejši ne pa edini vir hrupa Za hrup je ponavadi kriv ventilator ki skrbi za hlajenje napajalnika ohišje pa velikokrat deluje kot kakšen resonator in hrup še veča
Pri napredni strojni opremi ohišja računalnikov razdelimo na tri skupine
- Plosko ohišje
Ima obliko kvadrata z največjo ploskvijo kot osnovno stranico Navadno ga postavimo na eno od stranskih stranic in tako simuliramo ohišje v obliki stolpa Na voljo je več izvedb ploskih ohišij Tako lahko izbiramo med večjimi in manjšimi ohišji ter med bolj in manj primernimi za odpiranje
- Kompaktni sistemi
Pri kompaktnih sistemih je klasično ohišje računalnika združeno z ohišjem monitorja vanj pa so pogosto vgrajeni še zvočniki in mikrofon Ves računalnik je praktično v enem kosu vanj nista le integrirana le tipkovnica in kazalna naprava Čeprav računalniki po kompaktnosti približujejo prenosnim računalnikom Se za stalno prenašanje vseeno nekoliko okrni Kompaktni sistem je prava izbira če računalniku ne želite nameniti več prostora kot ga potrebuje povprečen monitor ali če se vam prenosni računalniki ne zdijo primerni zaradi cene oz premajhne tipkovnice
- Ročni računalniki so strpani v najmanjša ohišja kar jih je To ni nič čudnega saj morajo biti tako majhni da jih je mogoče med uporabo držati v roki Po velikosti lahko računalnike primerjamo z nekoliko boljšimi računali
- Osnovne plošče
Računalnik je skupek komponent
Tako delimo strojno opremo znotraj ohišja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 17
Napredno vzdrževanje strojne opreme Učno gradivo
3 slika pri CD-ju in CD romu je možno popravljanje napak
Če nameščamo vse tiste komponente ki jih osnovne plošče vgradijo izdelovalci računalnika ali jih nanje namestijo sestavljavci računalnikov glede na želje uporabnikov ali želje kupcev
- Procesor
Kljub pomembnosti je procesor najbolj odgovorno in je pri naprednem vzdrževanju potrebno ločeno kupiti ali popraviti od osnovne plošče Na njej je podnožje kamor ga sestavljavec računalnika lahko zamenja ali nadomesti z bolj zmogljivim Izdelovalci plošč skrbijo da je posamezna osnovna plošča uporabna z celo družino procesorjev včasih celo z različnimi družinami Družine se seveda razlikujejo po oznakah Večina korporacij med strojno opremo še posebno v zadnjem času se razlikuje po hitrosti delovnega takta frekvenci prenosa in zmogljivosti
3 NAČRTOVANJE STROJNE OPREME
Načrtovanje strojne opreme lahko izbiramo ob nakupu primernih računalnikov s pomočjo svetovalca serviserja ali vzdrževalca informacijske opreme Uporabe računalnikov in posebnih programov v proizvodnji in arhitekturi postavitve linijskih proizvodnji procesov urejajo posebni programi CAD
Za izdelavo prevodnikov in polprevodnikov na matični plošči oz integriranih vezij lahko srečamo naslednje kovine
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 18
Napredno vzdrževanje strojne opreme Učno gradivo
Krom barij iridij svinec paladij tantal arzen berilij baker zlato kadmij
Pri gradnji informacijske opreme in sistemov na osnovi mikroprocesorjev potrebujemo dodatne elemente rečemo jim raquopodporni elementilaquo To so periferni adapterji časovna vezja DMA krmilniki množilniki frekvence ROM in RAM pomnilniki Na osnovi fizičnih diskov pa imamo povezave IDE ter SATA vmesnikov - RAID diskov v samem ohišju računalnika
V tem času je podjetje Intel še razvilo večjedrsko delitev v enem procesorju kar pomeni da si vsa jedra morajo deliti predpomnilnik dostopnost do pomnilnika ter usklajeno delovati in imeti povezave do ostalih elementov Procesorji s porabo in zmogljivostjo Teraflop že omogočajo prepoznavo govora obraza in rokopisa Hitrost zmogljivosti število jeder ter odvajanje toplote pri mikroprocesorjih se bo eksponentno povečevalo (Intel source view 2010)
Vprašanja za ponavljanje
Kaj je več jedrski procesor Kaj je to napredni RAM Razišči in opiši katera napredna strojna oprema je na slovenskem trgu
34 Napredni operacijski sistemi
V naprednih strojnih vodah je znana večja prepoznavnost Windows XP operacijskega sistema ki ga ob nakupu lahko nastavimo in kasneje enostavno vzdržujemo
Vgrajena orodja znotraj OS-a
Raziskovalec (computer managment ) Register Nadzorna plošča in spremljajoči programi ter nastavitve
Kot pri vsaki informacijski opremi je preventiva vedno najprimernejša
V OS Windows XP_Nadzorni plošči_Computer managment imamo vsa navodila in upravljanje z napakami in popravki tako programske opreme napake na trdih RAID diskov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 19
Napredno vzdrževanje strojne opreme Učno gradivo
namestitev gonilnikov starih verzij programske opreme sistemske in aplikativne napake ter odstranitev vseh uporabnikov ki niso več priključeni v informacijski sistem
Nameščanje in odmeščanje strojne opreme (gonilnikov matične plošče uporabnih vhodnih -izhodnih enot sistemske strojne opreme ter do končnega cilja namestitve Odmeščanje ali odstranitev strojne opreme pri napredni strojni opremi pa je v okolju Windows XP narejeno z posebnimi odnamestitvenimi programi istega proizvajalca oz operacijskega sistema v našem primeru preko Windows nadzorne plošče
Register ki beleži vse namestitve ter spremembe programov znotraj le-tega ima funkcijo spominanja zatorej mora računalnikar uporabiti zmogljiva vzdrževalna orodja ki pretekle namestitve strojne opreme pobrišejo veliko hitreje kot pa uporabnik
Zaščita strojne opreme na uporabniškem nivoju poteka preko dodatnih požarnih zidov z nekaj 1028 bitnim ključi in več V primeru povezav veš računalniških sistemov in mrež znotraj LAN-a imajo najnovejša strojna oprema že nameščene programe za požarni zid znotraj HW proizvoda
3 slika primer brezžične matične plošče
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 20
Napredno vzdrževanje strojne opreme Učno gradivo
i Navodila za izdelavo tehničnega poročila
Kakovostna in po navodilih nadrejenega vzdrževalca - računalnikarja morajo biti zapisana v točno določenem Word formatu z primernim oblikovanjem in zapisom
Struktura naj bo sledeča
Naslovnica
Na njej je logotip Ljudske Univerze Radovljica naziv predmeta ime in priimek dijaka (tehničnega poročila seminarske oz pogodbenika) ime in priimek mentorja mesec in leto izdelave
Povzetek
V nekaj stavkih se povzame vsebino tehničnega poročila seminarske naloge oz naprednega nameščanja strojne opreme
Kazalo vsebine
Je izdelano na podlagi uporabe slogov za naslove Nivoji naslovov naj dosegajo največ nivo 3 (123)
Kazalo slik
Slike ki so uporabljene v nalogi morajo imeti napise Kazalo slik je izdelano na podlagi uporabe sloga za napise (arial 8 pt)
Poglavje uvoda
V tem poglavju se na eni strani strne in izbere kratko in jedrnato uvodna misel avtorja Namen uvoda je da bralca seznani z postopoma brano tematiko v gradivu
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 21
Napredno vzdrževanje strojne opreme Učno gradivo
Ostala poglavja
Nato sledijo ostala poglavja kot si jih je zamislil dijak
Povzetek
V povzetku se na kratko povzame obravnavan tema in nakaže morebitne težave in priložnosti pri obravnavanju tematike
Literatura
Zaradi avtorskih pravic in nelegalnega kopiranja inovacij predvsem tehničnih izumov se vedno navaja vire in informacije od tam kjer je avtor napisal strojno pogodbo tehnično poročilo ali seminarsko nalogo
Literatura zavzema spletne naslove podjetij gradiv časopisov revij in knjižnih strokovnih knjig
-------------------------------------------------------------------------------------------------------
Velikost pisave je 12 ali 14Pt
Vrsta pisave je Times New Roman
Slogi napisov
Naslov 1 pisava Cambria velikost 14pik krepko
Naslov 2 pisava Cambria velikost 13 pik krepko
Naslov 3 pisava Cambria velikost 12 pik krepko
Jezik
V strokovno-znanstveni literaturi je uporaba knjižnega jezika in urejevalnika besedil smiselna V primeru da je prevod izraza v tujkah se v oklepaju navede vrsto tujega jezika in prevod Primer
RAM (ang Random Access Memory)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 22
Napredno vzdrževanje strojne opreme Učno gradivo
Obseg
Tehnično poročilo je predvideno do 4 strani v primeru modula M8
Vzdrževalna pogodba je kratka in po členih pravno definirana v obliki medsebojnega dogovora naprednega vzdrževanja strojne opreme ter lastnika zastarele strojne opreme
Seminarska naloga je definirana glede na temo ni vrsto seminarske zatorej je priporočljivo imeti navodila strani- obsega ob začetku pisanja
Vprašanja za ponavljanje
Kakšno je tehnično poročilo
Zakaj je strojna oprema potrebna naprednega vzdrževanja ob koncu leta
Kakšne vrste pogodb o namestitvi strojne opreme poznaš v IT-ju
Kako izgleda licenčna namestitev strojne opreme Glej primer HW podjetij ki uporabljajo strojno opremo IBMHPLogitech ipd
Spletni brskalniki
Glede na naravo dela in poznavanje novih strojnih namestitev ter naprednih oprem ki nastajajo v posameznih multunacionalnih laboratorijih in proizvodnih procesih mora računalnikar biti seznanjen z novimi produkti oz strojno opremo v sodobnem času
Uporabo dostopa do wwwgooglecom wwwhpcom wwwibmcom wwwapplecom mu omogočajo pri velikanski izbiri na trgu da poišče primerno opremo proizvajalca zamenjati določen zastarel že servisiran produkt mikroprocesor izh-enoto ipd
Za brskanje po spletu je važno da se spozna na prodajo in uporabo strojne opreme kot tudi posameznih enot Oprema ki jo bo vzdrževal ima neko serijsko številko oziroma namestitveno pogodbo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 23
Napredno vzdrževanje strojne opreme Učno gradivo
Diski in na njem zaupni podatki strojna oprema ponarejanje in zamenjava s slabšimi produkti dolgoročne ne vodi računalnikarja tako do osebnega kot tudi poslovnega uspeha Res je da je mnogo različno kakovostnih produktov strojne opreme na trgu vendar tudi zloraba pri naprednem servisiranju in vzdrževanju prinašata posledice
Računalnikar se bo na terenu srečeval z identitetami računalnikov podjetij organizacij ki so po svoji naravi različna
Kot primer navajam uporabniške skupine strojne opreme ki so privrženci za Apple ter uporabniki oz privrženci za IBM Vsi bodo hvalili in zagotavljali boljšo kvaliteto in kakovost svoje strojne opreme
Zatorej vedno v tehničnem poročilu navedemo stanje strojne opreme pred našim prihodom in po tem ko smo jo le-to vzdrževali
Tako se profesionalno in komunikacijsko obnašamo s stranko kot pravi računalnikar z veliko odgovornostjo
Napredno svetovanje in pomoč uporabnikom strojne opreme
Pri pomembnosti komunikacije s s stranko moramo torej uporabljati pravila profesionalnega vedenja do stranke
Analizirati učinkovitost obstoječe strojne opreme Svetovati napredne matične plošče procesorje vodila Upoštevati različne strojne zahteve glede na namembnost osebnega računalnika Upoštevamo pomembnost shranjevanja dokumentacije vsaj 4 leta
S stranko je važno da vedno komuniciramo prijazno spoštljivo in umirjeno Kot svetovalec oz napredni računalnikar si lahko informacije o strojni opremi izmenjujemo preko strokovnih forumov novičarskih fan-tehničnih skupin (Apple HP Microsoftipd) ali pa smo povezani preko help-desk podpore na lokalnem zaščitenem omrežju kjer odpravljamo napake na terenu takoj
Zelo pomembna je tudi hitra odzivnost hitro in natančno odpravljanje napak poštenost do stranke ter na koncu primerna cena napredne strojne opreme vzdrževanja
Vprašanja za ponavljanje
Kaj je to komplet čipov
Kaj je osveževanje podpisana pogodbe o strojni opremi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 24
Napredno vzdrževanje strojne opreme Učno gradivo
Kaj je to etičnost in morala pravočasne namestitve napredne strojne opreme
4 Tveganje pri upravljanju napredne strojne opreme
Ko izrečemo ali preberemo besedi raquotveganje upravljanja napredne strojne opremelaquo se ne zavedamo da je tveganje skrito že kar v prvi besedi raquoupravljanjelaquo Tisti ki so odgovorni za upravljanje se tega namreč premalo ali sploh ne zavedajo Tveganja ki se v pri strojni opremi ter poslovnih subjektih na tem nivoju kažejo so
- nikoli dovolj resursov- cilji so nejasni- ni definirane politike standardov- število tveganj je preveliko ne ve se katera strojna oprema je najbolj pomembna- ni kulture
Sicer pa prevladuje prepričanje da se verjetno ne bo nič zgodilo Opisano ni zgled vodstvaZato moramo v svojo organizacijo sistematično s celostnim pristopom vpeljatiupravljanje tveganj Za drugo besedo raquotveganjelaquo se lahko vprašamo na kajnajprej pomislimo v vsakodnevnem življenju ko jo slišimo Najbrž pomislimo dalahko nekaj z določeno verjetnostjo izgubimo Preprosto sklepamo kaj in koliko lahko izgubimo ob neljubem dogodku to opredelimo z raquoresnostjolaquo verjetnost da izgubimo paobičajno opredelimo kot raquofrekvencalaquo pojavljanjaTo da se zgodi tisto česar v bistvu ne želimo je naša raquoranljivostlaquo če se ustreznoodzovemo ali reagiramo na tak dogodek pomeni da smo v aktivnostih privzelidoločene raquoobrambnelaquo mehanizme in zmanjšali raquoizpostavljenostlaquo tveganjemPri obravnavanju tveganj se izvajajo procesi analize ocene in rešitve kar lahkoopredelimo kot raquoupravljanjelaquo Resnost se meri z vrednostmi ovrednotimo jo finančnotorej določimo znesek Verjetnost pa merimo oz ocenimo s številom dogodkov včasovnem obdobju največkrat na leto Seveda bomo pozorni in dogodke spremljali dotiste varnosti in zaščite ki sta primerni sprejemljivi in hkrati skladni z našimivrednotami standardi in ekonomskimi zmožnostmi V bistvu so stvari boljkompleksne vsekakor je pomembna hitrost v odzivnosti Če želimo obravnavati inprimerjati tveganja moramo primerjati razsežnosti tveganj Ni rečeno da so tveganjanizka po vrednosti in visoka po frekvenci z enakim učinkom itd Zanimivo je da so vZDA in anglosaksonskem svetu upravljanje s tveganji vzeli kot tekmovalno prednostmedtem ko je v EU to bolj posledica regulative
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 25
Napredno vzdrževanje strojne opreme Učno gradivo
41 Spremembe pri strojni opremi
Spremembe so silovite Hitro se razvijajoča informacijska in telekomunikacijskatehnologija zahteva nove poslovne modele Gonilniki sprememb vplivajo na poslovnesubjekte ki morajo biti prilagodljivi hitri in hkrati varni Vse to med drugim prinašanegotovost znotraj poslovnega sistema pa tudi v zunanjem okolju Obvladovanjesprememb zahteva izjemne intelektualne napore saj so pritiski na poslovne subjekteveliki Prihajajo s strani zahtev regulative zakonodaje varnosti standardov nadzorakontrol konkurence itd Odražajo se v vrednostnih pogajalcih za PS kot soohranjanje rasti stroški in učinkovitost načrtna razdelitev kapitala in prioritetno sejim pridružuje upravljanje s tveganji torej investiranje v varnost Ključna tveganja vteh transformacijah so tako strateška kot procesna Sem sodijo informacijski sistemi(IS) infrastruktura tehnologija stranke partnerji konkurenca in intelektualni kapital -človeški viri itd Vsako od omenjenih tveganj je sicer možno omiliti ali odpravitivendar je potreben holistični pristop standardizacija privzemanje kulture tveganjpotrebno je kreirati program upravljanja tveganj program varnosti vpeljatiupravljanje znanj integralna orodja za tveganja orodja za analize scenarijev insimulacij uvesti nove discipline in metrike ter dobro prakso In kakšna je potem cenavarnosti Ni univerzalnih navodil ni garancij za uspeh ker v globalnem svetunenehno nastajajo nova tveganja V mreži poslovnih verig so medsebojno odvisna Vnadaljevanju je nakazano strukturno razumevanje oziroma pristop k upravljanjutveganj informacijske tehnologije (IT) kot podpore IS-mu in procesom v poslovnihsistemih ne glede na to kateri industriji poslovni subjekt pripada
V področje upravljanja s tveganji IT (UT-IT) vsekakor spadajo informacijski sistemi[1] IT viri procesi projekti in druge danosti ter kategorije povezane z IT Področjezajema vsa operativna tveganja kot posledice Človeških in tehnoloških napak Jeizjemno široko kompleksno interdisciplinarne narave s poudarkom na ustreznemrazumevanju konceptov z več področij (varnost tveganja nadzor (revizije)neprekinjeno poslovanje) Izhodišče so informacije ki jih podpira IS kateregaomogoča informacijska tehnologija v vsaki organizaciji Informacije potrebujejoanalizo tako domene IS kot poslovne domene Informacije so vitalen vir vsakeposlovne enote zato so tudi tarča napadov z različnimi motivi in vplivi na poslovanjeUT-IT tako zajema uporabnike IT organizacijo IT in njeno dejavnost kot storitevkončnim uporabnikom
IT organizacija mora biti ustrezno organizirana da zagotavljaposlanstvo varnosti učinkovitosti IS in dostavo storitev Zato imavarnost v organizacijah več oblik Odvisne so ena od druge inpredstavljalo celotno varnost (fizičnondashtehnično varnost in upravljalnisistem informacijske varnosti)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 26
Napredno vzdrževanje strojne opreme Učno gradivo
Pogled na strukturo IT organizacije je priporočljiv z več vidikov in dimenzijPredstava v prostoru je znana IT raquokockalaquo Med IT vire pa na splošno opredeljujemo
- ljudi- aplikacije- tehnologijo- podatke- Podporo-
Taka struktura je pomembna za odpravljanje tveganj v IT organizacijah namrečzajema tako procese kot več disciplin in upravljanje dejavnosti IT organizacije S temdemonstriramo funkcionalnost ki zagotavlja kvalitetno storitev IT Taka strukturaomogoča boljšo dostavljivost IT rešitev kar pomeni učinkovitost IS in zmanjšanjedoločenih tveganj med njimi tudi usklajevanje poslovnih ciljev najvišjega vodstva zIT
Ker izhajamo iz informacije poglejmo njene lastnosti Glavni kriteriji za ocenjevanjeso zaupnost integriteta in razpoložljivost Metoda UT-IT pa je skupni imenovalec zaanalizo neprekinjenemu poslovanju [4] projektnemu vodenju [5] drugim disciplinamin revizijam ter informacijskim varnostnim tveganjem Tveganja iz naslovainformacijske varnosti lahko do določene stopnje primerjamo s kontrolami [6] S tegavidika kontrole zmanjšujejo tveganja in so povezane z revizijami (notranjimi inzunanjimi) Pri tem se opirajo na preglede v katerih se ugotavljajo primernost inskladnost varnostne arhitekture ter učinkovitosti izvajanja upravljanja tveganjTudi odločitve običajno temeljijo na informacijah če so informacije mehke pride doizraza večja negotovost in odločitve ki se sprejemajo lahko pripeljejo do usodnihdogodkov v katerih se tveganja uresničijo in nastajajo izgube v poslovanjuDefinicij informacije je precej Velja da je to vir vsakega poslovnega subjekta Takopridemo do vrednosti informacije kot vseh drugih vitalnih vrednih virov v poslovnemsistemu Prav neustrezno ravnanje z informacijami povzroča velika tveganja ininformacijsko nestabilnost Dejstvo je da se mora v digitalni ekonomiji in globalnemsvetu poleg socialne finančne in ekonomske stabilnosti upoštevati tudi informacijska
Pri poslovanju so vsekakor pomembni procesi ki so predmet obravnave na področjuupravljanja tveganj IT Tako UT-IT opredeljuje in zajema tudi operativna tveganja Izpraktičnega vidika je v poslovnem sistemu veliko procesov ki se nadalje delijo napodprocese in aktivnosti temeljni in podporni Toda vsi morajo biti raquooptimalnilaquovodeni in nadzorovani Precej kompleksnosti naraste v informacijskem sistemu ki gapodpirata informacijska in telekomunikacijska tehnologija Zato je za področje UT-ITsmiselno uporabiti okvir COBIT Ta standard se lahko uspešno privzame tudi pri samiorganiziranosti in definiciji procesov v organizacijah ITUT-IT je prav tako proces v katerem se proučuje in obravnava IS-me Sem spadajotudi nevarnosti ki pretijo poslovnemu sitemu IS-mu IT organizaciji njeni storitveni
dejavnosti torej vsem virom v sistemu kakor tudi drugim poslovnim subjektom vposlovni verigi V njej so tehnološke razdalje med subjekti izjemno ranljive saj nasvoji poti informacije doživljajo spremembe procesi v katerih se to dogaja pa so semorali razširiti izven okolja posamezne organizacije ali PS Pot je posejana z
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 27
Napredno vzdrževanje strojne opreme Učno gradivo
nevarnostmi različnih izvorov tako da se tudi tveganja in njihovi vplivi na poslovanjeodražajo z različnimi učinki Poglablja se tveganje e-poslovanja gre za takoimenovana e-tveganja Biti brez varnosti v realnem času in hitre odzivne funkcije natveganja ter nepredvidene dogodke je lahko za poslovanje silno usodno Zatoobstajajo različne strategije orodja in načini za zdravljenje tveganj ki skupajpredstavljajo obrambne mehanizme organizacije Pri tem je pomembno zavedanje inizobraževanje ter neprestano usposabljanje strokovnjakov na teh področjihOperativna tveganja so izrazito povezana z internimi procesi in jih posamezneindustrije že obravnavajo vsekakor pa jih bo morala vpeljati finančna industrija zlastiban1048830ni sektor ki bo moral biti skladen z Baselskim II standardom in EU (CAD)direktivami Standard namreč zajema potencialne izgube tudi iz naslova operativnihtveganj ne glede na interne ali zunanje dejavnike Osredotočen je na objavopotencialnih izgub za vse poslovne linije organizacije po določeni strukturi poročanjaglede kapitalske ustreznostiKo pogledamo v bančni sektor je osnovni namen obvladovanja inupravljanja s tveganji v bankah zagotavljanje njene plačilnesposobnosti Med različnimi načini za uresničevanje tega cilja je naprvem mestu institut minimalnega kapitala in zagotavljanje potrebnekapitalske ustreznosti banke o katerem govori Basel IIDelež kapitala v celotni bilančni vsoti je pri bankah mnogo manjši kot pri drugihorganizacijah in podjetjih Tudi njegova funkcija je drugačna Kot najpomembnejšafunkcija bančnega kapitala se ponavadi navaja zaščita vlagateljev Bančni kapitalpoleg tega omogoča nadzornim institucijam omejevati obseg tveganih dejavnosti bankin hkrati omogoča banki financiranje njenih osnovnih sredstev Ker so upniki bankmnožice posameznikov ki imajo pri teh bankah praviloma vloge na vpogled alikratkoročno vezane vloge in ker je takrat ko banka postane nelikvidna ponavadi žeprepozno saj je takrat banka praviloma že nesolventna je velikost bančnega kapitalajavna zadeva
Filozofija današnje bančne regulative je dopustiti zdravo konkurenco med bankami inhkrati zagotoviti njihovo disciplino prek predpisovanja minimalnih kapitalskih zahtevBaselski standardi so vplivali na oblikovanje evropskih smernic za banke Polegstandardizirane metodologije za računanje potrebnega kapitala za pokrivanjeomenjenih tveganj so navedeni potrebni pogoji za uporabo internih modelov bank zamerjenje tveganj med njimi operativno tveganje (uporabniki IT in IT organizacij)
Obseg in narava tveganj s katerima se srečujejo banke sta odvisni od narave njihovihposlov Pri tradicionalnih bančnih poslih (dajanje posojil iz prejetih depozitov) se kotglavna tveganja pojavljajo kreditno tveganje (tveganje dolžnikove nezmožnosti alinepripravljenosti izpolniti obveznosti iz naslova kreditne pogodbe) tržnolikvidnostno tveganje (tveganje da banka v določenem trenutku ne more poravnativseh svojih dospelih plačilnih obveznosti) tveganje spremembe obrestne mere(tveganje da bo postala pogodbeno določena obrestna mera drugačna od tržne in dabo banka utrpela izgubo iz tega naslova) ter operacijsko tveganje (tveganje ki mu jebanka izpostavljena zaradi možnih človeških napak torej internih procesov napaktehnologije in zunanjih dejavnikov (gre tudi za prevare poneverbe pranje denarjaoperativne izgube pravne ter druge stroške ki jih banka nosi v primeru njihoveganastanka)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 28
Napredno vzdrževanje strojne opreme Učno gradivo
Z bankami so povezani poslovni subjekti in vsi morajo zagotavljati varno poslovanjeTveganja so precejšnja saj vsi PS ne morejo zagotavljati enako učinkovitihprotiukrepov in varnostnih mer Pogljablja se tudi STP e-poslovanje nastajajo eskupnostiIS-mi se pogovarjajo med seboj brezžične komunikacije nujno jeprivzemanje standardov in različice XML protokola vse različne storitve potrebujejoUT-IT Področje je v razmahu in lastniki ter nadzorni sveti bodo moralikontrolirati operativne izgube in učinkovitost IS NS bodo imeli vlogo potrditvestrategij UT-IT uprave oz vodstva pa bodo morali dokazati skladnost s standardi inmetodami
Primerov storitev ki jih lahko obsega napredno vzdrževanje strojne opreme v UT-IT
spremljanje tehnoloških novosti povezanih z vzdrževano opremo ter priprava predlogov in ukrepov za nemoteno delovanje oz izboljšanje njenega delovanja
zamenjava delov strojne opreme
namestitev varnostnih popravkov na strežniško infrastrukturo
namestitev varnostnih popravkov na delovne postaje in prenosnike
periodično preventivno vzdrževanje strojne opreme
dokumentiranje storitev vzdrževanja
popravilo in odstranitev vseh pomanjkljivosti odkritih med preventivnim pregledom
pomoč sistemskim administratorjem in uporabnikom odgovori na vprašanja in svetovanje glede uporabe vzdrževane infrastrukturne opreme na lokaciji naročnika oz uporabnika
izredni kontrolni nadzor nad delovanjem infrastrukturne opreme po dogovoru z naročnikom
nadgradnja strežnikov delovnih postaj in prenosnih računalnikov
nadgradnja komunikacijske opreme
daljinska pomoč preko telefona elektronske pošte faksa ali daljinskega dostopa pri reševanju problemov uporabnikov odgovori na vprašanja in svetovanje glede uporabe vzdrževane strojne opreme
Osnovno popraviloStrokovnjak bo preveril delovanje računalnika opredelil napako in jo odpravil V to storitev se uvršča odprava manjših napak na računalniku
Storitev vsebuje diagnostiko težave in njeno odpravo v primeru da gre za manjšo napako Med manjše napake sodi ponovna namestitev gonilnikov popravilo napačnih nastavitev v programski opremi ponovna namestitev programov itd
V primeru da sestavljamo ob nakupu nov računalnik z dodatno opremo moramo poskrbeti da bomo da za nakup dobili najboljšo ponudbo računalnika ali računalniške opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 29
Napredno vzdrževanje strojne opreme Učno gradivo
Pri sestavi sistema bomo upoštevali vaše potrebe ter dosegli najboljše razmerje med ceno in zmogljivostjo Poudarek je na individualnem svetovanju katerega namen je kar najbolje poskrbeti za želje uporabnika V ta sklop sodi poleg svetovanja za nakup računalnika tudi svetovanje o ostalih perifernih napravah (tiskalniki usmerjevalniki itd)
Pristop k osnovanju UT-IT
Težko je odgovoriti ali se odzvati na vsa tveganja brez ustreznega znanja Splošnoznano je tudi da se iz podatkov procesirajo informacije in iz njih znanje ki ga jesmiselno takoj uporabiti Gre za znanje poslovnega subjekta v celoti in nekateraspecialna znanja za katera je potrebno zagotoviti da so v pravilnem kontekstu in napravem mestu Upravljanje znanj (UZ) ima lahko odločilno vlogo pri strategiji zavpeljavo področja upravljanja tveganj IT v vsakodnevnem poslovanju UZ zmanjšaraquokorporacijskolaquo izpostavljenost tveganjem Zato je pametno zbrati vse ustrezneinformacije strukturirati znanje v kontekst ali okvir v katerega bodo vnesene vsebinepotrebne za UT-IT Kreiranje portala in repositorija za upravljanje tveganjopredeljujemo kot podporno infrastrukturo področju V repositoriju sopredefinirane strukture Zaposlenim so na voljo v obliki zemljevidov raquomaplaquo kikažejo na vsebine in povezave med njimi ter omogočajo polnjenje vsebin Pridoločanju vsebin lahko sodelujejo vsi želeno je da se v organizaciji na področjutveganj in varnosti ustvarja intelektualni potencialUpravljanje
Tveganj IT5Varnost
Metoda je opredeljena kot množica korakov (algoritem ali navodilo) uporabljenih zaizvršitev naloge (dela posla) Metodologija je nekako širši pojem in predstavljamnožico orodij lahko raziskovalne metode ali razlago teorije vodenja v vodstvenoprakso Torej metodologija organizira teorijo v nekaj razumljivega Ker je na voljo večpristopov metodologij in metod pri upravljanju tveganj bi torej metodologijopredstavljalo orodje za podporo odločitvenim sistemom iz področja UT-IT Tehnik inmetod je dejansko več katere bomo uporabili za različna področja in položaje toterja tehtni premislek
Slika 4 Zunanji disk WD Passport (klikni na sliko
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 30
Napredno vzdrževanje strojne opreme Učno gradivo
V glavnem so osnovane na točkovnih in statističnih metodah kvalitativni inkvantitativni tehniki Znana je enačba tveganj ALE (letnih pričakovanih izgub)Smiselno pa je privzeti metodo standarda BS7799 [10] ali ISO17799 za informacijskovarnost Smiselno je da bi vse industrije prevzele standard PSIST7799 (prevod) kivelja v državi od 13 6 2000 za bančni sektor (z dopolnitvami)Poslovni subjekti lahko uporabljajo lastno razvite tehnike in tehnologije zaidentifikacijo in analizo tveganj Za različne poslovne procese kot so vodenjesprememb združevanja in prevzemi raquocorporate governancelaquo strateško planiranje invrednotenje lahko privzete kvalitativne ali kvantitativne identifikacije tveganj inanalitske tehnike dodajo značilno vrednost za različne poslovne položaje in področjaUveljavljajo se metode analize scenarijev in raquoscorecardslaquo ter druge statistične metoderazne simulacije (Monte Carlo) itdTipično je da se simulacijski modeli uporabljajo za odločitve o sestavi realnihsistemov in za odločitve o politiki in postopkih ki jih uporabljamo pri delovanjurealnih sistemov Simulacija pomaga pri določanju sestave politike in postopkov vnegotovih torej tveganih pogojih okolja sistema Manager poskuša z modelom kotnadomestkom za realni sistem z uporabo različnih vhodnih podatkov in postopkovdoseči na osnovi dobljenih rezultatov pri simulaciji lažje odločanje pri vodenjurealnega sistema Vendar mora biti pri tem pazljiv in rezultatov dobljenih ssimulacijo ne more kratkomalo prenašati v realni svet Model in simulacija lahkopomagata bolje spoznati delovanje realnega sistema ne moreta pa zagotoviti raquopraveizbirelaquo za realni sistem Pri upravljanju tveganj IT lahko preveč subjektivne ocenepovzročajo nova tveganja predvsem na področju zunanjih virov (outsourcinga) invodenja pogodbZa UT-IT je na voljo dovolj modelov orodij programov in vzorcev ki jih lahkouporabimo v svojem poslovnem okolju Priporoljivo je da vsak poslovni subjektkreira sebi ustrezen model glede na specifiko vendar mora izvajati ovrednotenje da jeskladen s standardi in regulativo Standardi so uveljavljeni in nudijo dovolj velik okvirza njihovo privzemanje in funkcijo uporabe
Pregledni model UT-ITV podporo modelu UT-IT je že potreben omenjeni portal kot rezultat procesov priupravljanju znanj in repositorij kjer se shranjujejo potrebne vsebine in nastaja bazaznanja o dogodkih in tveganjih ter obrambnih mehanizmih Portal služi tudi zaizobraževanje Vsebine predstavljajo sezname in infostrukture od standardov doobrazcev ki se uporabljajo v posameznih fazah ali procesih analize in v obravnavanjutveganj Zbrani so tudi vsi principi zakonodaja politike procedure metrika procesiin tokovi informacij kakor tudi vnos v register tveganj zajem nevarnosti popis vsehkontrol varnostni mehanizmi in seznam protiukrepov vse to za dogodke in scenarijeki se lahko ali so se že zgodiliZa področje UT-IT se kreirajo smernice za posamezne entitete ali subjekte ki sovključeni kot participatorji ter navodila kako se izvajajo aktivnosti Učinkovitost sedoseže s poprej določenimi infostrukturami standardizacijo in povezavami medpodročji ter odnosi med entitetami ali objekti ki tvorijo sistem upravljanja tveganj IT
Kreiranje konteksta ali takšnega okvira je možno ker so v glavnem poznane vsestrukture in gradniki UT-IT in želenega sistema varnosti Dovolj predlog je že naInternetu zato je smiselno področje pregledati in izbrati želene infostrukture Posebnerazlage niso potrebne UT-IT se odvija po projektnih principih s skupinami ki so
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 31
Napredno vzdrževanje strojne opreme Učno gradivo
strokovne na svojih področjih Prav tako se v skupinah (samovodljivo) ocenjujejotveganja in definirajo strategije rešitev za identificirana tveganjaPodročje UT-IT je lahko služba ki je neodvisna in samostojna organizacijska enota v vrhu vodstva organizacijeIZVAJANJEOKVIRKaj kako s 1048830i
- Komunikacijski krogi
Bistven gradnik UT-IT predstavljajo komunikacijski krogi (KK) med področji inodgovornimi ali delegiranimi sodelavci po poslovnih linijah Le-ti predstavljajo raquokomunikatorje tveganjalaquo ki so povezani prek sistema zgodnjega opozarjanja inizvajajo vnos dogodkov ter podatkov za analize tveganj in ocenjevanje vpliva naposlovanje Izkušena skupina določi tudi ustrezne protiukrepe in varnostne mere ter jihposreduje lastnikom tveganj Ti s strokovnjaki za posamezna področja pripravijostrategijo rešitve in jo predstavijo (kot zagovor) odgovornim za področja da se posoglasju lahko izvedejo Področje UT-IT spremlja in spet ocenjuje učinke terrezidualna tveganja Zaradi narave tveganj in inherentnih tveganj IT so tovsakodnevne aktivnosti upravljanje tveganj in varnosti pa je vodstvena funkcijaObstaja še pomembna lastnost in specifika da področja varnosti in tveganj pripadajovsem zaposlenem v organizaciji zato so komunikacijski krogi in pravočasnoinformiranje nujniZa operacijsko kvaliteto v organizaciji je potrebno definirati oz določiti dimenzijo vkateri se meri kvaliteta Značilne so tri dimenzije (kriteriji)
- primernost in funkcionalnost- varnost in zanesljivost- razpoložljivost in dostopnost
- Metrike
-Tveganje je objektivizirane negotovosti glede na možnost pojavitve nezaželenegadogodka merjenje negotovosti in negotovosti izgube Negotovost nastane zaradipomanjkanja informacij o nekdanjih sedanjosti in prihodnjih dogodkih vrednostih inpogojih Ne glede na različne stopnje negotovosti je osnova koncepta negotovosti vpomanjkanju informacij o delih sistema ki ga obravnavamo ali opazujemo Zmanjšanje tveganj mora biti motiv za organizacijo Zmanjšanjestopnje negotovosti je korak k opredelitvi kaj je lahko narejeno zazmanjšanje izpostavljanju tveganj Kakšno metriko uporabimo jeodvisno od tega kaj želimo meriti obravnavati spremljati izboljšatiitdOceniti tveganje pomeni ovrednotiti koliko lahko prenesemo oz izgubimo če seneljubi dogodek zgodi in pri tem izgubimo npr kar posedujemo Ali predstavlja to zanas vrednost in kako pogosto se ti dogodki pojavljajo so začetna razmišljanja ko greza tveganja in reakcije na njihLahko trdimo da je tveganje vedno ocenjeno z analizo scenarijev kar pomenivrednotiti možne izgube in frekvenco verjetnosti možne škode Toda v kakšnemobsegu in po katerih predvidevanjih Vsekakor je pri ocenjevanju tveganj medkvalitativno in kvantitativno analizo razlika Smiselno je obravnavanje analizetveganj Še tako dobro zastavljena varnostna politika brez izvajanja in kontrole ne
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 32
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
Kazalo
1 Uvod 6
2 Strojna oprema 8
21 Prednosti sodobne strojne opreme
211 Napredno vzdrževanje prenosnih medijev 8
22 Pripravljalne faze naprednega vzdrževanja strojne opreme 9
23 Količinski prevzem 10
24 Pilotni prevzem 10
25 Arhitektura strojnega sistema 11
26 Lociranje strežnikov 12
27 Specifikacije in testiranje protokolov 13
28 Varnost strojne opreme 14
29 Odkrivanje napak 15
3 Načrtovanje strojne opreme 17
34 Napredni operacijski sistemi 1834 1 Navodila za izdelavo tehničnega poročila 20
3 4 2 Napredno svetovanje in pomoč uporabnikov 22
4Tveganje pri upravljanju napredne strojne opreme 2441 Sprememb pri strojni opremi 25
5 Varnost 27- Identifikacija strojne opreme 30- Ocena stroškov potencialnih izgub 33- Tveganje pri namestitvi nove strojne opreme 34
51 Informacijske nesreče varnostna politika in pravo 36
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava 38
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 4
Napredno vzdrževanje strojne opreme Učno gradivo
53 Podatkovne zbirke na diskih strojne opreme 40
54 Patenti 41
55 Blagovne in storitvene znamke ter modeli strojne opreme 42
56 Varstvo zaupnih podatkov na strojni opremi 42
57 Varstvo osebnih podatkov 43
58 Podatkovne zbirke na diskih strojne opreme 44
59 Prekrški in kazniva dejanja v zvezi z podatki na strojni opremi ndashdiskih 44
6 Literatura 45
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 5
Napredno vzdrževanje strojne opreme Učno gradivo
1 Uvod
Računalniki so že zdavnaj postali nepogrešljiv sestavni del poslovanja podjetij Težave z računalniško opremo doma v podjetju šoli povzročajo stroške zato je zanje potrebno ustrezno poskrbeti Napredno vzdrževanje strojne opreme posveča posebno pozornost potrebam majhnih in srednjih podjetij saj je vse večji del vašega poslovanja odvisen od informacijskih tehnologijV praksi se srečujemo z dvema vrstama vzdrževanja in sicer vzdrževanje na klic in pogodbeno vzdrževanje Prvo deluje tako da pokličemo ko gre kaj narobe in napake odpravimo v skladu z našim cenikom pri pogodbenim vzdrževanju pa za vas poskrbimo bolj celovito Pogodbeno vzdrževanje vam prinaša kratke odzivne čase ter roke popravila dosegljivost strokovnjakov ne glede na čas
manjše in pregledne stroške
preventivne preglede katerih namen je pravočasno odkrivanje težav preden se te razvijejo v večje okvare
varnost vaših podatkov
po potrebi nadomestno opremo za nemoteno delo
Ker ima vsako podjetje različne potrebe in izzive je pred podpisom pogodbe potreben natančen ogled opreme na vaši lokaciji na podlagi katerega nato skupaj določimo najbolj primerno obliko sodelovanja Glede brezplačni obisk strokovnjakov se potem rešujejo problemi na strojni opremi
Danes lahko izbiramo izmed ponudnikov strojne opreme veliko proizvodov ki so napredni in tehnološko zmogljivejši
V programu računalnikar je predmet napredno vzdrževanje strojne opreme pomemben del pedagoškega izobraževanja za dijaka
Širina znanja o strojni opremi je seveda kot pri programski opremi zelo široka vendar te znanja dijak lahko pridobi tekom predmeta ali kot interdisciplinarno povezovanje z ostalimi predmeti Menim da je program računalnikar v sozvočju z ostalimi dosedanjimi predmeti primeren za končni produkt programa in opravljenega izpita
Strojne opreme se lahko lotimo z svojo gorečnostjo tako da se jo strokovno lotimo po posameznih modulih M8 - je samo eden izmed njih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 6
Napredno vzdrževanje strojne opreme Učno gradivo
Vpeljani pojmi
Strojna oprema ndash pojem oz področje računalnika združene strojne opreme v nekem zaprtem ohišju modulu ki predstavlja osnovne komponente za primerno delovanje računalnika
Napredno vzdrževanje ndash pojem oz imenovanje vseh vrst pilotskih projektov za izdelavo ali izboljšanje obstoječe strojne opreme matične plošče procesorja vh-izh enot ipd
Vprašanja za ponavljanje
Kaj je to strojna oprema Katera je zastarela strojna oprema in katera napredna Kaj je procesor v matični plošči Napredna strojna oprem ima slogan delovati pomeni živeti Razloži
Razišči in opiši
Poišči vsaj štiri podjetja v Sloveniji ki se ukvarjajo z prodajo strojne opreme Naredi programu Power Point zgradbo svojega osebnega računalnika Katere strokovne revije o računalništvu bi prebral če bi želel izvedeti največ o
napredni strojni računalniški opremi
Spletne povezave virov
Rado Westerbach Informatika učbenik 2009 - Gimnazija Jesenice
httpwwwnauksiračunalništvo za srednje šole
Google httpwwwgooglecom
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 7
Napredno vzdrževanje strojne opreme Učno gradivo
Spletni portal httpwwwpraktiksi
httpwwworiacom
httpwwwibmcom
httpwwwhpcom
Spletna revija COMPUTER WEEKLY ndash VB httpwwwcomputerweeklycomhome
Spletna revija COMPUTERWorld ndash ZDA httpwwwcomputerworldcom
2 Strojna oprema
Beseda strojna oprema izvira bolj iz besednjaka ko popravljamo avtomobil ali dele vrtne opreme vendar je pri tem predmetu to mišljeno predvsem celotno hardwear besedoslovje ki vključuje pojme kot so matična plošča procesor vhodne izhodne enote pomnilnik ohišje delovni pomnilnik ipd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 8
Napredno vzdrževanje strojne opreme Učno gradivo
Z računalniško strojno opremo smo si pripravljeni spremeniti navade odnos življenje Zatorej širimo znanje o kakem prenosu podatka ali odnosu v družbi V dobi informacijskega veka smo za primerne informacije pripravljeni kupiti najnovejšo strojno opremo za veliko denarja V hitrem informacijskem svetu hitro hitrejšo takoj napredno strojno opremo brez komunikacije in sistemov opreme ne moremo uporabiti kot pa so jo to sredi prejšnjega stoletja
Strojna oprema še posebno napredna se razvija iz dneva v dan vse bolj in bolj in vpliva na sodobnega človeka neposredno
21 Prednosti sodobne strojne opreme
Kvalitetna strojna oprema omogoča delo na različnih družbenih področjih kot so
Medicinska strojna oprema
Poslovna in zavarovalniška strojna oprema (delniško poslovanje- Wall Street Bančni poslovni inf sistemiipd)
Robotika
Prostorska in geodetska strojna oprema
Bio-informatika
Napredna izvedba strojne opreme za potrebe Outsourcinga raquood-zunajlaquo
Strojna oprema državni upravi
Strojna oprema namenjena za uporabo zahtevnih raziskav na terenu nemogočih tehničnih pogojev v delovnih okoljih (NASA SHELL FBI ipd)
Zabavna strojna oprema (računalniške igrice z svojo opremo Walt Disney Animirani filmi ipd)
Razpis za izbiro proizvajalcev dobaviteljev in izvajalcev napredne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 9
Napredno vzdrževanje strojne opreme Učno gradivo
Postopek izbiranja je zakonsko opredeljen Seveda kot računalničar ni toliko bistveno zakonsko stališče kot le pravila in izkušnje
A) Pomembno je izbiranje usposobljenih dobaviteljevB) Končno izbiranje proizvajalcev dobaviteljev in izvajalcev
Pri napredni izbiri strojne opreme moramo razlikovati proizvajalce dobavitelje in izvajalce vzpostavljanja komunikacijske infrastrukture Poleg strokovnih in finančnih ter časovnih lastnostih izbire ima vedno večjo težo ponudba napredne strojne opreme Ker želimo ponavadi že na določeno strojno opremo da opremo inštalira isto podjetje ponavadi izberemo ustrezno podjetje ki ponuja nadgradnjo le omenjene
22 Izvedbena faza projekta zamenjave strojne opreme
Tukaj govorimo o fizičnem postavljanju omrežja in strojne namestitve Prvi korak v tej smeri je podpis pogodbe z izbranim dobaviteljem napredne strojne opreme Zavedati se moramo da računalniška strojna oprema predstavlja hrbtenico kompleksnega porazdeljenega sistema zato je priporočljivo da kupec in dobavitelj podrobno opredelita želeno napredno strojno opremo inštalacije oz namestitve testiranje strojne opreme prevzemanje komunikacijske infrastrukture Upoštevati moramo naslednje vprašanja
Kako ugotavljamo ustreznost opreme
Kako ugotavljamo zmogljivost opreme
Kaj pomeni dobaviti določeno opremo
Kako bomo upoštevali zunanje faktorje ki vplivajo na potek izvedbe napredne strojne opreme
23 Količinski prevzem
Potrdi da je dobavitelj fizično dostavil strojno opremo opredeljeno s pogodbo Smiselno je da je naročnik za dobavljeno opremo sprejel le tisto ki je inštalirana na vnaprej opredeljeni lokaciji Inštalacija mora potrditi osnovno lokalno funkcionalnost strojne opreme Kot primer
na določeni lokaciji se nahaja usmerjevalnik z ustrezno linijsko opremo (konvertorji modemi monitorji ipd) ki je priključena na napajanje in prenosne medije Ker je računalniško
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 10
Napredno vzdrževanje strojne opreme Učno gradivo
omrežje kompleksen sistem je potrebno potrditi vsebinsko in funkcionalno ustreznost količinsko prevzete opreme Pogodba mora predpisovati način in pogoje testiranja ustreznosti opreme Običajno priv test napredne strojne opreme opravi naročnik ki lahko ugotovi nepravilnosti ki jih mora dobavitelj odpraviti in se izvajajo vsi naslednji testi na račun dobavitelja Ta predhodni korak prevzemanja zagotovita da oprema količinsko in funkcionalno ustreza naročeni strojni opremi
Preverjanje povezljivosti strojne opreme je proces nastavitve sistemskih parametrov za predvideni način delovanja in testiranja kompatibilnosti lokalne infrastrukture z okolico
Za izvedbo testa strojne opreme je potrebna primerna strojna računalniška oprema
24 Pilotna faza
Pilotna faza je namenjena preverjanju že nameščene strojne opreme kot celote s poudarkom na analizi zmogljivosti napredne strojne opreme saj je konformnost preverjena že v prejšnjih fazah
Pogosto se zgodi da zaradi različnih objektivnih razlogov projekta ni mogoče namestiti v dogovorjenem roku Razlog je lahko primer da za določeno lokacijo ne moremo najti ustreznih prenosnih poti ob tem pa večina lokacij (npr delovnih strojnih postaj) že uspešno deluje V takem primeru bi bilo nesmiselno odlagati nadaljevanje vzpostavljanja hrbtenice to je pilotno fazo delovanja
Pilotna faza namestitve strojne opreme se torej lahko prične ko vse lokacije lokalno privzete in ko ugotovimo dogovorjeni odstotek pogojno prevzetih lokacij hrbtenice računalniškega omrežja
Pilotna faza ni opredeljena samo s testi ampak je njeno bistvo predvsem opazovanje in presojanje delovanja napredne strojne opreme v delovanju V tej fazi končni uporabniki npr dijaki še ne morejo pričakovati predpisane kvalitete in stabilnosti delovanja Pilotna faza se zaključi takrat ko ugotovimo da omrežje določen čas deluje s predvideno zmogljivostjo in razpoložljivostjo npr več kot 95
Prevzem celotnega računalniške strojne opreme pomeni da naročnik dobavitelju prizna izpolnitev vseh pogodbenih obveznosti in obratno Poleg tega pa je potrebno poskrbeti za
- vzpostavitev nadzora in upravljanja omrežja s strani naročnika- zagotavljanje vzdrževanja in servisiranja vzpostavljene infrastrukture- ustrezno podporo končnim uporabnikom
Z zaključkom te faze omrežje pride v produkcijsko fazo s katero se začne normalen življenjski cikel naprednega vzdrževanja strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 11
Napredno vzdrževanje strojne opreme Učno gradivo
25 Arhitektura strojnega sistema
1slikaarhitektura ohišja
Mehanizem odjemalec ndash strežnik
- Izpad odjemalca
Strežnik ki je ostal brez svojih odjemalcev ker so ti nehali delovati ali so nedosegljivi imenujemo sirota
Tak strežnik požira vire lastnega sistema kar pa še ni najhuje Več težav lahko povzroči zmeda ki nastopi v vrstah odjemalcev ki se ponovno vzpostavljajo in dobivajo od strežnika odgovore na svoje zahteve iz časa pred izpadom Teh zahtev se namreč ne raquospominjajolaquo in ne vedo kako naj interpretirajo odgovore
Za reševanje take situacije pri naprednem vzdrževanju strojne opreme poznamo nekaj situacij
- Iztrebljanje je dokaj drakonska strategija takoj ko se odjemalec ndash roditelj procesa ponovno zavre samega sebe strežniku naroči da naj razvrednoti vse njegove morebitne procese Algoritem mora teči ker lahko najdemo v primeru pogostih izpadov na strežniku tudi procese posameznih zahtev
- Reinkarnacija je tretja strategija Odjemalec razseka čas v zaporedne intervale imenovane epohe Če odjemalcu po metodi iztrebljanja ni uspelo ubiti vseh svojih zahtev ndash procesov lahko oznani vsem strežnikom začetek novega obdobja Strežniki uničijo vse tiste zahteve ki ne sodijo v sedanjo uporabo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 12
Napredno vzdrževanje strojne opreme Učno gradivo
26 Lociranje strežnikov
V praksi nameščanja nadomestne strojne opreme je imenski strežnik tisti ki vodi evidenco o vseh ostalih strežnikih Odjemalec se s svojim problemom obrne na imenski strežnik in mu ta predlaga izvajalca Imenski strežniki se uporabljajo za izvedbo elektronske pošte
Ob namestitvi novega strežnika je potrebno ob njegovem obstoju obvestiti imenski strežnik Za to lahko poskrbi sama delovna postaja avtomatsko največkrat pa je potreben poseg vzdrževalca imenskega strežnika
Dostikrat odjemalec želi ugotoviti kateri strežnik je najbolj primeren za izvršitev njegove zahteve
27 Specifikacije in testiranje protokolov
S problemi testiranja komunikacijskih protokolov se soočamo v napredni strojni opremi že od začetkov povezovanja računalniških sistemov v omrežja Področje analize in testiranja komunikacijskih protokolov se je uvrstilo v okvire implementacije komunikacijskega procesa
Izvedba protokola je porazdeljen sistem v katerem ima vsak proces določeno stopnjo lokalne avtonomije in na nek način interakcije z okolico
- Informacijske storitve sistemov
Osnovni namen informacijsko komunikacijskih sistemov je nudenje svojih posrednih ali neposrednih storitev uporabnikov
Med standardne storitve sodijo na primer različne izvedbe računalniško podprtih omrežnih informacijskih sistemov z bolj ali manj decentraliziranimi elementi O splošnih lastnostih teh storitev velja da v vseh operacijskih sistemih podpirajo standardne storitve kjer se stikata lokalni uporabnik računalnik ndash odjemalec in virtualna naprava strežnik
28 Varnost strojne opreme
Varnost nadgradnje strojne opreme je zelo obsežen pojem zato ga je potrebno skrbno prestrukturirati Zanesljivost sistema dosežemo predvsem s skrbnim načrtovanjem nadzorom in upravljanjem sistema Pri tem imata pomembno vlogo organiziranost poslovanja in
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 13
Napredno vzdrževanje strojne opreme Učno gradivo
usposobljenost uporabnikov To področje je izredno široko in ga na tem mestu ne bomo obravnavali saj predstavlja samostojno disciplino sistemskega inženiringa
Zaščita sistema opazujemo z dveh osnovnih zornih kotov
- zaščita na nivoju končnih računalnikov ndash lokalna zaščita- zaščita ki je potrebna zaradi narave decentraliziranih sistemov ndash decentralizirana
zaščita
Iz vsakdanjega življenja vsi poznamo primere v katerih nam zelo veliko pove že dejstvo da vemo med katerimi ljudmi v določenem trenutku poteka komuniciranje ne glede na to da same vsebine ne moremo razbrati Ravno tako v primeru da razpoznamo da strojna oprema pri zagotavljanju kakovostnega komunikacijskega delovanja ne deluje jo nadomestimo z nadgradnjo
29 Odkrivanje napak
Pri uporabi in delovanju strojne opreme pride do napak predvidoma na prenosnih medijih kjer se lahko dogajajo napake Najpreprostejši način je odkrivanje napak v okviru nameščene strojne opreme v kontroli maske kjer je strojna oprema evidentirana kot okolje Windows
Komercialne različice računalniške strojne opreme s skupinskih prenosnim medijem se je pričela tudi kot omrežje
a) brezžičnoJe tisto ki je kot prenosni medij fizično opredeljivo z radijskimi valovi ali svetlobo
b) mobilnoOmrežje ni nujno brezžično bistveno je da podpira selitve računalnikov
Kot primer lahko navedem kombinacijo klasičnega modema in brezžičnega telefona ki ga lahko napredno vzdržujemo preko modema priključenega na modem npr v hotelski sobi in ga preko te linije vstopamo v drug računalnik ki je v povezavi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 14
Napredno vzdrževanje strojne opreme Učno gradivo
2slika diagnostika
- Napredno vzdrževanje prenosnih medijev
Prenosni mediji niso le žice kot pogosto najprej pomislimo Pojem bomo nekoliko razširili saj ne smemo pozabiti na prenosne medije ki nimajo zveze z računalniškimi komunikacijami tičejo pa se računalniških informacijskih sistemov
Z vidika IKS-a je poznavanje prenosnih medijev zanimivo le v toliko kolikor različne oblike prenosnih medijev omogočajo zasnovo prenosnih kanalov z različnimi kapacitetami primernih za različne razdalje in različno ceno Njihova tehnologijama sodi v področja ki so razdeljena
- Koaksialni kabel- Brezžične povezave- Optično vlakno
Optična vlakna so danes najzanesljivejši prenosni medij Prevajajo svetlobne signale ki jih običajno vzbujamo z laserskimi napravami Signal med prenosom po optičnem mediju le malo oslabi Danes dosegamo 100 kilometrske prenose brez ponavlalnikov signala Kaj takega je po parici ali koaksialnemu kablu nedosegljivo Kapaciteta optičnega kanala 100 Mbits na omenjeni razdalji ni vprašljiva na krajših odsekih pa so na pohodu že kapacitete 100 Gbits
- Brezžične povezave
Med brezžične povezave prištevamo več skupin povezav ki so zasnovane na širjenju elektromagnetnega valovanja skozi prostor Tipične oblike so
- Radijske zemeljske povezave
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 15
Napredno vzdrževanje strojne opreme Učno gradivo
- Mikrovalovne usmerjenje povezave- Infrardeče povezave - Satelitske povezave
Poleg brezžičnih povezav spada v nepogrešljivo komunikacijo tudi telefonsko omrežje Vzdrževanje telefonskega omrežja ima dostop večine opisanih graditeljev računalniških omrežij
Pripravljalne faze naprednega vzdrževanja strojne opreme
- Identificirati pristopne točke pokvarjenih delov strojne opreme- Oceniti storitve pokvarljivosti strojne opreme- Oceniti vrednost investicije za namestitev strojne opreme ter infrastrukturo ki bo
zmogla ocenjene napake opredeliti in načrtovati grobe okvire nove infrastrukture- Zagotoviti vire financiranja nameščanja nove strojne opreme
To sicer ni tehničen problem vendar pa navadno predstavlja nepomembnejše in pogosto najzamudnejše opravilo z dokaj nepredvidljivim izidom
- Opredeliti osnovne izvedbe okvire izvedbe Ti so neodvisni od infrastrukture dinamike financiranja in drugih dejavnikov Že v okviru te faze projekta je potrebno vzpostaviti stike z nameščeno strojno opremo
Večina ljudi čuti naraven odpor do razstavljanja električnih naprav in to z razlogom Proizvajalci drugih naprav vedno svarijo naj jih uporabniki ne odpirajo sami Možnost električnega šoka je prisotna pri vsej strojni opremi Vsi računalniki ne sodijo mednje saj so narejeni tako da jih uporabnik lahko do neke mere sam priredi
Ko nameščamo napredno strojno opremo npr v ohišju moramo najprej izključiti vse napeve
Iz vtičnice potegnemo napajanje za računalnik in za vse naprave ki so nanj priključene Nikakor se namešča napredne strojne opreme dokler je vtikač v vtičnici Ne samo da to škoduje računalniku nevarno je tudi za samega vzdrževalca oz uporabnika
Ohišje je lupina v katero so nameščene komponente ki sestavljajo jedro računalnika Napajalnik (ang power supply) pa je naprava ki pretvarja standardno omrežno izmenično napetost v nižje enosmerne napetosti ki jih za delovanje potrebuje računalnik
Čeprav nekateri pravijo da je to smešno sodita ohišje in napajalnik popolnoma upravičeno na vrh seznama obveznih komponent Brez njiju ni nobenega računalnika Včasih sta drug z drugim neločljivo povezana čeprav raquohodita vsak svojo potlaquo Kakršna vrsta strojne opreme se najprej ugotovi po ohišju ki je pri namiznih računalnikih zelo razkošno V ohišju najdemo prostor za osnovno ploščo z potrebnimi komponentami trde diske različne vmesniške kartice
Hrupa ki je pri stojni opremi v računalniku se lotimo ko reže v ohišju skozi katere priteka zrak v računalnik in ventilator napajalnika povečamo Ko nameščamo napredno strojno
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 16
Napredno vzdrževanje strojne opreme Učno gradivo
opremo mora biti tudi ohišje na primernem zračnem mestu To sicer ne pomeni da moramo računalnik spraviti pod mizo vendar moramo poskrbeti za učinkovit zračni preskok
Ohišja namiznih računalnikov se lahko med seboj močno razlikujejo vsa pa so praviloma dokaj velika in vanje je že vgrajen napajalnik Vgrajeni napajalnik je pri namiznih računalnikih najmočnejši ne pa edini vir hrupa Za hrup je ponavadi kriv ventilator ki skrbi za hlajenje napajalnika ohišje pa velikokrat deluje kot kakšen resonator in hrup še veča
Pri napredni strojni opremi ohišja računalnikov razdelimo na tri skupine
- Plosko ohišje
Ima obliko kvadrata z največjo ploskvijo kot osnovno stranico Navadno ga postavimo na eno od stranskih stranic in tako simuliramo ohišje v obliki stolpa Na voljo je več izvedb ploskih ohišij Tako lahko izbiramo med večjimi in manjšimi ohišji ter med bolj in manj primernimi za odpiranje
- Kompaktni sistemi
Pri kompaktnih sistemih je klasično ohišje računalnika združeno z ohišjem monitorja vanj pa so pogosto vgrajeni še zvočniki in mikrofon Ves računalnik je praktično v enem kosu vanj nista le integrirana le tipkovnica in kazalna naprava Čeprav računalniki po kompaktnosti približujejo prenosnim računalnikom Se za stalno prenašanje vseeno nekoliko okrni Kompaktni sistem je prava izbira če računalniku ne želite nameniti več prostora kot ga potrebuje povprečen monitor ali če se vam prenosni računalniki ne zdijo primerni zaradi cene oz premajhne tipkovnice
- Ročni računalniki so strpani v najmanjša ohišja kar jih je To ni nič čudnega saj morajo biti tako majhni da jih je mogoče med uporabo držati v roki Po velikosti lahko računalnike primerjamo z nekoliko boljšimi računali
- Osnovne plošče
Računalnik je skupek komponent
Tako delimo strojno opremo znotraj ohišja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 17
Napredno vzdrževanje strojne opreme Učno gradivo
3 slika pri CD-ju in CD romu je možno popravljanje napak
Če nameščamo vse tiste komponente ki jih osnovne plošče vgradijo izdelovalci računalnika ali jih nanje namestijo sestavljavci računalnikov glede na želje uporabnikov ali želje kupcev
- Procesor
Kljub pomembnosti je procesor najbolj odgovorno in je pri naprednem vzdrževanju potrebno ločeno kupiti ali popraviti od osnovne plošče Na njej je podnožje kamor ga sestavljavec računalnika lahko zamenja ali nadomesti z bolj zmogljivim Izdelovalci plošč skrbijo da je posamezna osnovna plošča uporabna z celo družino procesorjev včasih celo z različnimi družinami Družine se seveda razlikujejo po oznakah Večina korporacij med strojno opremo še posebno v zadnjem času se razlikuje po hitrosti delovnega takta frekvenci prenosa in zmogljivosti
3 NAČRTOVANJE STROJNE OPREME
Načrtovanje strojne opreme lahko izbiramo ob nakupu primernih računalnikov s pomočjo svetovalca serviserja ali vzdrževalca informacijske opreme Uporabe računalnikov in posebnih programov v proizvodnji in arhitekturi postavitve linijskih proizvodnji procesov urejajo posebni programi CAD
Za izdelavo prevodnikov in polprevodnikov na matični plošči oz integriranih vezij lahko srečamo naslednje kovine
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 18
Napredno vzdrževanje strojne opreme Učno gradivo
Krom barij iridij svinec paladij tantal arzen berilij baker zlato kadmij
Pri gradnji informacijske opreme in sistemov na osnovi mikroprocesorjev potrebujemo dodatne elemente rečemo jim raquopodporni elementilaquo To so periferni adapterji časovna vezja DMA krmilniki množilniki frekvence ROM in RAM pomnilniki Na osnovi fizičnih diskov pa imamo povezave IDE ter SATA vmesnikov - RAID diskov v samem ohišju računalnika
V tem času je podjetje Intel še razvilo večjedrsko delitev v enem procesorju kar pomeni da si vsa jedra morajo deliti predpomnilnik dostopnost do pomnilnika ter usklajeno delovati in imeti povezave do ostalih elementov Procesorji s porabo in zmogljivostjo Teraflop že omogočajo prepoznavo govora obraza in rokopisa Hitrost zmogljivosti število jeder ter odvajanje toplote pri mikroprocesorjih se bo eksponentno povečevalo (Intel source view 2010)
Vprašanja za ponavljanje
Kaj je več jedrski procesor Kaj je to napredni RAM Razišči in opiši katera napredna strojna oprema je na slovenskem trgu
34 Napredni operacijski sistemi
V naprednih strojnih vodah je znana večja prepoznavnost Windows XP operacijskega sistema ki ga ob nakupu lahko nastavimo in kasneje enostavno vzdržujemo
Vgrajena orodja znotraj OS-a
Raziskovalec (computer managment ) Register Nadzorna plošča in spremljajoči programi ter nastavitve
Kot pri vsaki informacijski opremi je preventiva vedno najprimernejša
V OS Windows XP_Nadzorni plošči_Computer managment imamo vsa navodila in upravljanje z napakami in popravki tako programske opreme napake na trdih RAID diskov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 19
Napredno vzdrževanje strojne opreme Učno gradivo
namestitev gonilnikov starih verzij programske opreme sistemske in aplikativne napake ter odstranitev vseh uporabnikov ki niso več priključeni v informacijski sistem
Nameščanje in odmeščanje strojne opreme (gonilnikov matične plošče uporabnih vhodnih -izhodnih enot sistemske strojne opreme ter do končnega cilja namestitve Odmeščanje ali odstranitev strojne opreme pri napredni strojni opremi pa je v okolju Windows XP narejeno z posebnimi odnamestitvenimi programi istega proizvajalca oz operacijskega sistema v našem primeru preko Windows nadzorne plošče
Register ki beleži vse namestitve ter spremembe programov znotraj le-tega ima funkcijo spominanja zatorej mora računalnikar uporabiti zmogljiva vzdrževalna orodja ki pretekle namestitve strojne opreme pobrišejo veliko hitreje kot pa uporabnik
Zaščita strojne opreme na uporabniškem nivoju poteka preko dodatnih požarnih zidov z nekaj 1028 bitnim ključi in več V primeru povezav veš računalniških sistemov in mrež znotraj LAN-a imajo najnovejša strojna oprema že nameščene programe za požarni zid znotraj HW proizvoda
3 slika primer brezžične matične plošče
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 20
Napredno vzdrževanje strojne opreme Učno gradivo
i Navodila za izdelavo tehničnega poročila
Kakovostna in po navodilih nadrejenega vzdrževalca - računalnikarja morajo biti zapisana v točno določenem Word formatu z primernim oblikovanjem in zapisom
Struktura naj bo sledeča
Naslovnica
Na njej je logotip Ljudske Univerze Radovljica naziv predmeta ime in priimek dijaka (tehničnega poročila seminarske oz pogodbenika) ime in priimek mentorja mesec in leto izdelave
Povzetek
V nekaj stavkih se povzame vsebino tehničnega poročila seminarske naloge oz naprednega nameščanja strojne opreme
Kazalo vsebine
Je izdelano na podlagi uporabe slogov za naslove Nivoji naslovov naj dosegajo največ nivo 3 (123)
Kazalo slik
Slike ki so uporabljene v nalogi morajo imeti napise Kazalo slik je izdelano na podlagi uporabe sloga za napise (arial 8 pt)
Poglavje uvoda
V tem poglavju se na eni strani strne in izbere kratko in jedrnato uvodna misel avtorja Namen uvoda je da bralca seznani z postopoma brano tematiko v gradivu
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 21
Napredno vzdrževanje strojne opreme Učno gradivo
Ostala poglavja
Nato sledijo ostala poglavja kot si jih je zamislil dijak
Povzetek
V povzetku se na kratko povzame obravnavan tema in nakaže morebitne težave in priložnosti pri obravnavanju tematike
Literatura
Zaradi avtorskih pravic in nelegalnega kopiranja inovacij predvsem tehničnih izumov se vedno navaja vire in informacije od tam kjer je avtor napisal strojno pogodbo tehnično poročilo ali seminarsko nalogo
Literatura zavzema spletne naslove podjetij gradiv časopisov revij in knjižnih strokovnih knjig
-------------------------------------------------------------------------------------------------------
Velikost pisave je 12 ali 14Pt
Vrsta pisave je Times New Roman
Slogi napisov
Naslov 1 pisava Cambria velikost 14pik krepko
Naslov 2 pisava Cambria velikost 13 pik krepko
Naslov 3 pisava Cambria velikost 12 pik krepko
Jezik
V strokovno-znanstveni literaturi je uporaba knjižnega jezika in urejevalnika besedil smiselna V primeru da je prevod izraza v tujkah se v oklepaju navede vrsto tujega jezika in prevod Primer
RAM (ang Random Access Memory)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 22
Napredno vzdrževanje strojne opreme Učno gradivo
Obseg
Tehnično poročilo je predvideno do 4 strani v primeru modula M8
Vzdrževalna pogodba je kratka in po členih pravno definirana v obliki medsebojnega dogovora naprednega vzdrževanja strojne opreme ter lastnika zastarele strojne opreme
Seminarska naloga je definirana glede na temo ni vrsto seminarske zatorej je priporočljivo imeti navodila strani- obsega ob začetku pisanja
Vprašanja za ponavljanje
Kakšno je tehnično poročilo
Zakaj je strojna oprema potrebna naprednega vzdrževanja ob koncu leta
Kakšne vrste pogodb o namestitvi strojne opreme poznaš v IT-ju
Kako izgleda licenčna namestitev strojne opreme Glej primer HW podjetij ki uporabljajo strojno opremo IBMHPLogitech ipd
Spletni brskalniki
Glede na naravo dela in poznavanje novih strojnih namestitev ter naprednih oprem ki nastajajo v posameznih multunacionalnih laboratorijih in proizvodnih procesih mora računalnikar biti seznanjen z novimi produkti oz strojno opremo v sodobnem času
Uporabo dostopa do wwwgooglecom wwwhpcom wwwibmcom wwwapplecom mu omogočajo pri velikanski izbiri na trgu da poišče primerno opremo proizvajalca zamenjati določen zastarel že servisiran produkt mikroprocesor izh-enoto ipd
Za brskanje po spletu je važno da se spozna na prodajo in uporabo strojne opreme kot tudi posameznih enot Oprema ki jo bo vzdrževal ima neko serijsko številko oziroma namestitveno pogodbo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 23
Napredno vzdrževanje strojne opreme Učno gradivo
Diski in na njem zaupni podatki strojna oprema ponarejanje in zamenjava s slabšimi produkti dolgoročne ne vodi računalnikarja tako do osebnega kot tudi poslovnega uspeha Res je da je mnogo različno kakovostnih produktov strojne opreme na trgu vendar tudi zloraba pri naprednem servisiranju in vzdrževanju prinašata posledice
Računalnikar se bo na terenu srečeval z identitetami računalnikov podjetij organizacij ki so po svoji naravi različna
Kot primer navajam uporabniške skupine strojne opreme ki so privrženci za Apple ter uporabniki oz privrženci za IBM Vsi bodo hvalili in zagotavljali boljšo kvaliteto in kakovost svoje strojne opreme
Zatorej vedno v tehničnem poročilu navedemo stanje strojne opreme pred našim prihodom in po tem ko smo jo le-to vzdrževali
Tako se profesionalno in komunikacijsko obnašamo s stranko kot pravi računalnikar z veliko odgovornostjo
Napredno svetovanje in pomoč uporabnikom strojne opreme
Pri pomembnosti komunikacije s s stranko moramo torej uporabljati pravila profesionalnega vedenja do stranke
Analizirati učinkovitost obstoječe strojne opreme Svetovati napredne matične plošče procesorje vodila Upoštevati različne strojne zahteve glede na namembnost osebnega računalnika Upoštevamo pomembnost shranjevanja dokumentacije vsaj 4 leta
S stranko je važno da vedno komuniciramo prijazno spoštljivo in umirjeno Kot svetovalec oz napredni računalnikar si lahko informacije o strojni opremi izmenjujemo preko strokovnih forumov novičarskih fan-tehničnih skupin (Apple HP Microsoftipd) ali pa smo povezani preko help-desk podpore na lokalnem zaščitenem omrežju kjer odpravljamo napake na terenu takoj
Zelo pomembna je tudi hitra odzivnost hitro in natančno odpravljanje napak poštenost do stranke ter na koncu primerna cena napredne strojne opreme vzdrževanja
Vprašanja za ponavljanje
Kaj je to komplet čipov
Kaj je osveževanje podpisana pogodbe o strojni opremi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 24
Napredno vzdrževanje strojne opreme Učno gradivo
Kaj je to etičnost in morala pravočasne namestitve napredne strojne opreme
4 Tveganje pri upravljanju napredne strojne opreme
Ko izrečemo ali preberemo besedi raquotveganje upravljanja napredne strojne opremelaquo se ne zavedamo da je tveganje skrito že kar v prvi besedi raquoupravljanjelaquo Tisti ki so odgovorni za upravljanje se tega namreč premalo ali sploh ne zavedajo Tveganja ki se v pri strojni opremi ter poslovnih subjektih na tem nivoju kažejo so
- nikoli dovolj resursov- cilji so nejasni- ni definirane politike standardov- število tveganj je preveliko ne ve se katera strojna oprema je najbolj pomembna- ni kulture
Sicer pa prevladuje prepričanje da se verjetno ne bo nič zgodilo Opisano ni zgled vodstvaZato moramo v svojo organizacijo sistematično s celostnim pristopom vpeljatiupravljanje tveganj Za drugo besedo raquotveganjelaquo se lahko vprašamo na kajnajprej pomislimo v vsakodnevnem življenju ko jo slišimo Najbrž pomislimo dalahko nekaj z določeno verjetnostjo izgubimo Preprosto sklepamo kaj in koliko lahko izgubimo ob neljubem dogodku to opredelimo z raquoresnostjolaquo verjetnost da izgubimo paobičajno opredelimo kot raquofrekvencalaquo pojavljanjaTo da se zgodi tisto česar v bistvu ne želimo je naša raquoranljivostlaquo če se ustreznoodzovemo ali reagiramo na tak dogodek pomeni da smo v aktivnostih privzelidoločene raquoobrambnelaquo mehanizme in zmanjšali raquoizpostavljenostlaquo tveganjemPri obravnavanju tveganj se izvajajo procesi analize ocene in rešitve kar lahkoopredelimo kot raquoupravljanjelaquo Resnost se meri z vrednostmi ovrednotimo jo finančnotorej določimo znesek Verjetnost pa merimo oz ocenimo s številom dogodkov včasovnem obdobju največkrat na leto Seveda bomo pozorni in dogodke spremljali dotiste varnosti in zaščite ki sta primerni sprejemljivi in hkrati skladni z našimivrednotami standardi in ekonomskimi zmožnostmi V bistvu so stvari boljkompleksne vsekakor je pomembna hitrost v odzivnosti Če želimo obravnavati inprimerjati tveganja moramo primerjati razsežnosti tveganj Ni rečeno da so tveganjanizka po vrednosti in visoka po frekvenci z enakim učinkom itd Zanimivo je da so vZDA in anglosaksonskem svetu upravljanje s tveganji vzeli kot tekmovalno prednostmedtem ko je v EU to bolj posledica regulative
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 25
Napredno vzdrževanje strojne opreme Učno gradivo
41 Spremembe pri strojni opremi
Spremembe so silovite Hitro se razvijajoča informacijska in telekomunikacijskatehnologija zahteva nove poslovne modele Gonilniki sprememb vplivajo na poslovnesubjekte ki morajo biti prilagodljivi hitri in hkrati varni Vse to med drugim prinašanegotovost znotraj poslovnega sistema pa tudi v zunanjem okolju Obvladovanjesprememb zahteva izjemne intelektualne napore saj so pritiski na poslovne subjekteveliki Prihajajo s strani zahtev regulative zakonodaje varnosti standardov nadzorakontrol konkurence itd Odražajo se v vrednostnih pogajalcih za PS kot soohranjanje rasti stroški in učinkovitost načrtna razdelitev kapitala in prioritetno sejim pridružuje upravljanje s tveganji torej investiranje v varnost Ključna tveganja vteh transformacijah so tako strateška kot procesna Sem sodijo informacijski sistemi(IS) infrastruktura tehnologija stranke partnerji konkurenca in intelektualni kapital -človeški viri itd Vsako od omenjenih tveganj je sicer možno omiliti ali odpravitivendar je potreben holistični pristop standardizacija privzemanje kulture tveganjpotrebno je kreirati program upravljanja tveganj program varnosti vpeljatiupravljanje znanj integralna orodja za tveganja orodja za analize scenarijev insimulacij uvesti nove discipline in metrike ter dobro prakso In kakšna je potem cenavarnosti Ni univerzalnih navodil ni garancij za uspeh ker v globalnem svetunenehno nastajajo nova tveganja V mreži poslovnih verig so medsebojno odvisna Vnadaljevanju je nakazano strukturno razumevanje oziroma pristop k upravljanjutveganj informacijske tehnologije (IT) kot podpore IS-mu in procesom v poslovnihsistemih ne glede na to kateri industriji poslovni subjekt pripada
V področje upravljanja s tveganji IT (UT-IT) vsekakor spadajo informacijski sistemi[1] IT viri procesi projekti in druge danosti ter kategorije povezane z IT Področjezajema vsa operativna tveganja kot posledice Človeških in tehnoloških napak Jeizjemno široko kompleksno interdisciplinarne narave s poudarkom na ustreznemrazumevanju konceptov z več področij (varnost tveganja nadzor (revizije)neprekinjeno poslovanje) Izhodišče so informacije ki jih podpira IS kateregaomogoča informacijska tehnologija v vsaki organizaciji Informacije potrebujejoanalizo tako domene IS kot poslovne domene Informacije so vitalen vir vsakeposlovne enote zato so tudi tarča napadov z različnimi motivi in vplivi na poslovanjeUT-IT tako zajema uporabnike IT organizacijo IT in njeno dejavnost kot storitevkončnim uporabnikom
IT organizacija mora biti ustrezno organizirana da zagotavljaposlanstvo varnosti učinkovitosti IS in dostavo storitev Zato imavarnost v organizacijah več oblik Odvisne so ena od druge inpredstavljalo celotno varnost (fizičnondashtehnično varnost in upravljalnisistem informacijske varnosti)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 26
Napredno vzdrževanje strojne opreme Učno gradivo
Pogled na strukturo IT organizacije je priporočljiv z več vidikov in dimenzijPredstava v prostoru je znana IT raquokockalaquo Med IT vire pa na splošno opredeljujemo
- ljudi- aplikacije- tehnologijo- podatke- Podporo-
Taka struktura je pomembna za odpravljanje tveganj v IT organizacijah namrečzajema tako procese kot več disciplin in upravljanje dejavnosti IT organizacije S temdemonstriramo funkcionalnost ki zagotavlja kvalitetno storitev IT Taka strukturaomogoča boljšo dostavljivost IT rešitev kar pomeni učinkovitost IS in zmanjšanjedoločenih tveganj med njimi tudi usklajevanje poslovnih ciljev najvišjega vodstva zIT
Ker izhajamo iz informacije poglejmo njene lastnosti Glavni kriteriji za ocenjevanjeso zaupnost integriteta in razpoložljivost Metoda UT-IT pa je skupni imenovalec zaanalizo neprekinjenemu poslovanju [4] projektnemu vodenju [5] drugim disciplinamin revizijam ter informacijskim varnostnim tveganjem Tveganja iz naslovainformacijske varnosti lahko do določene stopnje primerjamo s kontrolami [6] S tegavidika kontrole zmanjšujejo tveganja in so povezane z revizijami (notranjimi inzunanjimi) Pri tem se opirajo na preglede v katerih se ugotavljajo primernost inskladnost varnostne arhitekture ter učinkovitosti izvajanja upravljanja tveganjTudi odločitve običajno temeljijo na informacijah če so informacije mehke pride doizraza večja negotovost in odločitve ki se sprejemajo lahko pripeljejo do usodnihdogodkov v katerih se tveganja uresničijo in nastajajo izgube v poslovanjuDefinicij informacije je precej Velja da je to vir vsakega poslovnega subjekta Takopridemo do vrednosti informacije kot vseh drugih vitalnih vrednih virov v poslovnemsistemu Prav neustrezno ravnanje z informacijami povzroča velika tveganja ininformacijsko nestabilnost Dejstvo je da se mora v digitalni ekonomiji in globalnemsvetu poleg socialne finančne in ekonomske stabilnosti upoštevati tudi informacijska
Pri poslovanju so vsekakor pomembni procesi ki so predmet obravnave na področjuupravljanja tveganj IT Tako UT-IT opredeljuje in zajema tudi operativna tveganja Izpraktičnega vidika je v poslovnem sistemu veliko procesov ki se nadalje delijo napodprocese in aktivnosti temeljni in podporni Toda vsi morajo biti raquooptimalnilaquovodeni in nadzorovani Precej kompleksnosti naraste v informacijskem sistemu ki gapodpirata informacijska in telekomunikacijska tehnologija Zato je za področje UT-ITsmiselno uporabiti okvir COBIT Ta standard se lahko uspešno privzame tudi pri samiorganiziranosti in definiciji procesov v organizacijah ITUT-IT je prav tako proces v katerem se proučuje in obravnava IS-me Sem spadajotudi nevarnosti ki pretijo poslovnemu sitemu IS-mu IT organizaciji njeni storitveni
dejavnosti torej vsem virom v sistemu kakor tudi drugim poslovnim subjektom vposlovni verigi V njej so tehnološke razdalje med subjekti izjemno ranljive saj nasvoji poti informacije doživljajo spremembe procesi v katerih se to dogaja pa so semorali razširiti izven okolja posamezne organizacije ali PS Pot je posejana z
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 27
Napredno vzdrževanje strojne opreme Učno gradivo
nevarnostmi različnih izvorov tako da se tudi tveganja in njihovi vplivi na poslovanjeodražajo z različnimi učinki Poglablja se tveganje e-poslovanja gre za takoimenovana e-tveganja Biti brez varnosti v realnem času in hitre odzivne funkcije natveganja ter nepredvidene dogodke je lahko za poslovanje silno usodno Zatoobstajajo različne strategije orodja in načini za zdravljenje tveganj ki skupajpredstavljajo obrambne mehanizme organizacije Pri tem je pomembno zavedanje inizobraževanje ter neprestano usposabljanje strokovnjakov na teh področjihOperativna tveganja so izrazito povezana z internimi procesi in jih posamezneindustrije že obravnavajo vsekakor pa jih bo morala vpeljati finančna industrija zlastiban1048830ni sektor ki bo moral biti skladen z Baselskim II standardom in EU (CAD)direktivami Standard namreč zajema potencialne izgube tudi iz naslova operativnihtveganj ne glede na interne ali zunanje dejavnike Osredotočen je na objavopotencialnih izgub za vse poslovne linije organizacije po določeni strukturi poročanjaglede kapitalske ustreznostiKo pogledamo v bančni sektor je osnovni namen obvladovanja inupravljanja s tveganji v bankah zagotavljanje njene plačilnesposobnosti Med različnimi načini za uresničevanje tega cilja je naprvem mestu institut minimalnega kapitala in zagotavljanje potrebnekapitalske ustreznosti banke o katerem govori Basel IIDelež kapitala v celotni bilančni vsoti je pri bankah mnogo manjši kot pri drugihorganizacijah in podjetjih Tudi njegova funkcija je drugačna Kot najpomembnejšafunkcija bančnega kapitala se ponavadi navaja zaščita vlagateljev Bančni kapitalpoleg tega omogoča nadzornim institucijam omejevati obseg tveganih dejavnosti bankin hkrati omogoča banki financiranje njenih osnovnih sredstev Ker so upniki bankmnožice posameznikov ki imajo pri teh bankah praviloma vloge na vpogled alikratkoročno vezane vloge in ker je takrat ko banka postane nelikvidna ponavadi žeprepozno saj je takrat banka praviloma že nesolventna je velikost bančnega kapitalajavna zadeva
Filozofija današnje bančne regulative je dopustiti zdravo konkurenco med bankami inhkrati zagotoviti njihovo disciplino prek predpisovanja minimalnih kapitalskih zahtevBaselski standardi so vplivali na oblikovanje evropskih smernic za banke Polegstandardizirane metodologije za računanje potrebnega kapitala za pokrivanjeomenjenih tveganj so navedeni potrebni pogoji za uporabo internih modelov bank zamerjenje tveganj med njimi operativno tveganje (uporabniki IT in IT organizacij)
Obseg in narava tveganj s katerima se srečujejo banke sta odvisni od narave njihovihposlov Pri tradicionalnih bančnih poslih (dajanje posojil iz prejetih depozitov) se kotglavna tveganja pojavljajo kreditno tveganje (tveganje dolžnikove nezmožnosti alinepripravljenosti izpolniti obveznosti iz naslova kreditne pogodbe) tržnolikvidnostno tveganje (tveganje da banka v določenem trenutku ne more poravnativseh svojih dospelih plačilnih obveznosti) tveganje spremembe obrestne mere(tveganje da bo postala pogodbeno določena obrestna mera drugačna od tržne in dabo banka utrpela izgubo iz tega naslova) ter operacijsko tveganje (tveganje ki mu jebanka izpostavljena zaradi možnih človeških napak torej internih procesov napaktehnologije in zunanjih dejavnikov (gre tudi za prevare poneverbe pranje denarjaoperativne izgube pravne ter druge stroške ki jih banka nosi v primeru njihoveganastanka)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 28
Napredno vzdrževanje strojne opreme Učno gradivo
Z bankami so povezani poslovni subjekti in vsi morajo zagotavljati varno poslovanjeTveganja so precejšnja saj vsi PS ne morejo zagotavljati enako učinkovitihprotiukrepov in varnostnih mer Pogljablja se tudi STP e-poslovanje nastajajo eskupnostiIS-mi se pogovarjajo med seboj brezžične komunikacije nujno jeprivzemanje standardov in različice XML protokola vse različne storitve potrebujejoUT-IT Področje je v razmahu in lastniki ter nadzorni sveti bodo moralikontrolirati operativne izgube in učinkovitost IS NS bodo imeli vlogo potrditvestrategij UT-IT uprave oz vodstva pa bodo morali dokazati skladnost s standardi inmetodami
Primerov storitev ki jih lahko obsega napredno vzdrževanje strojne opreme v UT-IT
spremljanje tehnoloških novosti povezanih z vzdrževano opremo ter priprava predlogov in ukrepov za nemoteno delovanje oz izboljšanje njenega delovanja
zamenjava delov strojne opreme
namestitev varnostnih popravkov na strežniško infrastrukturo
namestitev varnostnih popravkov na delovne postaje in prenosnike
periodično preventivno vzdrževanje strojne opreme
dokumentiranje storitev vzdrževanja
popravilo in odstranitev vseh pomanjkljivosti odkritih med preventivnim pregledom
pomoč sistemskim administratorjem in uporabnikom odgovori na vprašanja in svetovanje glede uporabe vzdrževane infrastrukturne opreme na lokaciji naročnika oz uporabnika
izredni kontrolni nadzor nad delovanjem infrastrukturne opreme po dogovoru z naročnikom
nadgradnja strežnikov delovnih postaj in prenosnih računalnikov
nadgradnja komunikacijske opreme
daljinska pomoč preko telefona elektronske pošte faksa ali daljinskega dostopa pri reševanju problemov uporabnikov odgovori na vprašanja in svetovanje glede uporabe vzdrževane strojne opreme
Osnovno popraviloStrokovnjak bo preveril delovanje računalnika opredelil napako in jo odpravil V to storitev se uvršča odprava manjših napak na računalniku
Storitev vsebuje diagnostiko težave in njeno odpravo v primeru da gre za manjšo napako Med manjše napake sodi ponovna namestitev gonilnikov popravilo napačnih nastavitev v programski opremi ponovna namestitev programov itd
V primeru da sestavljamo ob nakupu nov računalnik z dodatno opremo moramo poskrbeti da bomo da za nakup dobili najboljšo ponudbo računalnika ali računalniške opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 29
Napredno vzdrževanje strojne opreme Učno gradivo
Pri sestavi sistema bomo upoštevali vaše potrebe ter dosegli najboljše razmerje med ceno in zmogljivostjo Poudarek je na individualnem svetovanju katerega namen je kar najbolje poskrbeti za želje uporabnika V ta sklop sodi poleg svetovanja za nakup računalnika tudi svetovanje o ostalih perifernih napravah (tiskalniki usmerjevalniki itd)
Pristop k osnovanju UT-IT
Težko je odgovoriti ali se odzvati na vsa tveganja brez ustreznega znanja Splošnoznano je tudi da se iz podatkov procesirajo informacije in iz njih znanje ki ga jesmiselno takoj uporabiti Gre za znanje poslovnega subjekta v celoti in nekateraspecialna znanja za katera je potrebno zagotoviti da so v pravilnem kontekstu in napravem mestu Upravljanje znanj (UZ) ima lahko odločilno vlogo pri strategiji zavpeljavo področja upravljanja tveganj IT v vsakodnevnem poslovanju UZ zmanjšaraquokorporacijskolaquo izpostavljenost tveganjem Zato je pametno zbrati vse ustrezneinformacije strukturirati znanje v kontekst ali okvir v katerega bodo vnesene vsebinepotrebne za UT-IT Kreiranje portala in repositorija za upravljanje tveganjopredeljujemo kot podporno infrastrukturo področju V repositoriju sopredefinirane strukture Zaposlenim so na voljo v obliki zemljevidov raquomaplaquo kikažejo na vsebine in povezave med njimi ter omogočajo polnjenje vsebin Pridoločanju vsebin lahko sodelujejo vsi želeno je da se v organizaciji na področjutveganj in varnosti ustvarja intelektualni potencialUpravljanje
Tveganj IT5Varnost
Metoda je opredeljena kot množica korakov (algoritem ali navodilo) uporabljenih zaizvršitev naloge (dela posla) Metodologija je nekako širši pojem in predstavljamnožico orodij lahko raziskovalne metode ali razlago teorije vodenja v vodstvenoprakso Torej metodologija organizira teorijo v nekaj razumljivega Ker je na voljo večpristopov metodologij in metod pri upravljanju tveganj bi torej metodologijopredstavljalo orodje za podporo odločitvenim sistemom iz področja UT-IT Tehnik inmetod je dejansko več katere bomo uporabili za različna področja in položaje toterja tehtni premislek
Slika 4 Zunanji disk WD Passport (klikni na sliko
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 30
Napredno vzdrževanje strojne opreme Učno gradivo
V glavnem so osnovane na točkovnih in statističnih metodah kvalitativni inkvantitativni tehniki Znana je enačba tveganj ALE (letnih pričakovanih izgub)Smiselno pa je privzeti metodo standarda BS7799 [10] ali ISO17799 za informacijskovarnost Smiselno je da bi vse industrije prevzele standard PSIST7799 (prevod) kivelja v državi od 13 6 2000 za bančni sektor (z dopolnitvami)Poslovni subjekti lahko uporabljajo lastno razvite tehnike in tehnologije zaidentifikacijo in analizo tveganj Za različne poslovne procese kot so vodenjesprememb združevanja in prevzemi raquocorporate governancelaquo strateško planiranje invrednotenje lahko privzete kvalitativne ali kvantitativne identifikacije tveganj inanalitske tehnike dodajo značilno vrednost za različne poslovne položaje in področjaUveljavljajo se metode analize scenarijev in raquoscorecardslaquo ter druge statistične metoderazne simulacije (Monte Carlo) itdTipično je da se simulacijski modeli uporabljajo za odločitve o sestavi realnihsistemov in za odločitve o politiki in postopkih ki jih uporabljamo pri delovanjurealnih sistemov Simulacija pomaga pri določanju sestave politike in postopkov vnegotovih torej tveganih pogojih okolja sistema Manager poskuša z modelom kotnadomestkom za realni sistem z uporabo različnih vhodnih podatkov in postopkovdoseči na osnovi dobljenih rezultatov pri simulaciji lažje odločanje pri vodenjurealnega sistema Vendar mora biti pri tem pazljiv in rezultatov dobljenih ssimulacijo ne more kratkomalo prenašati v realni svet Model in simulacija lahkopomagata bolje spoznati delovanje realnega sistema ne moreta pa zagotoviti raquopraveizbirelaquo za realni sistem Pri upravljanju tveganj IT lahko preveč subjektivne ocenepovzročajo nova tveganja predvsem na področju zunanjih virov (outsourcinga) invodenja pogodbZa UT-IT je na voljo dovolj modelov orodij programov in vzorcev ki jih lahkouporabimo v svojem poslovnem okolju Priporoljivo je da vsak poslovni subjektkreira sebi ustrezen model glede na specifiko vendar mora izvajati ovrednotenje da jeskladen s standardi in regulativo Standardi so uveljavljeni in nudijo dovolj velik okvirza njihovo privzemanje in funkcijo uporabe
Pregledni model UT-ITV podporo modelu UT-IT je že potreben omenjeni portal kot rezultat procesov priupravljanju znanj in repositorij kjer se shranjujejo potrebne vsebine in nastaja bazaznanja o dogodkih in tveganjih ter obrambnih mehanizmih Portal služi tudi zaizobraževanje Vsebine predstavljajo sezname in infostrukture od standardov doobrazcev ki se uporabljajo v posameznih fazah ali procesih analize in v obravnavanjutveganj Zbrani so tudi vsi principi zakonodaja politike procedure metrika procesiin tokovi informacij kakor tudi vnos v register tveganj zajem nevarnosti popis vsehkontrol varnostni mehanizmi in seznam protiukrepov vse to za dogodke in scenarijeki se lahko ali so se že zgodiliZa področje UT-IT se kreirajo smernice za posamezne entitete ali subjekte ki sovključeni kot participatorji ter navodila kako se izvajajo aktivnosti Učinkovitost sedoseže s poprej določenimi infostrukturami standardizacijo in povezavami medpodročji ter odnosi med entitetami ali objekti ki tvorijo sistem upravljanja tveganj IT
Kreiranje konteksta ali takšnega okvira je možno ker so v glavnem poznane vsestrukture in gradniki UT-IT in želenega sistema varnosti Dovolj predlog je že naInternetu zato je smiselno področje pregledati in izbrati želene infostrukture Posebnerazlage niso potrebne UT-IT se odvija po projektnih principih s skupinami ki so
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 31
Napredno vzdrževanje strojne opreme Učno gradivo
strokovne na svojih področjih Prav tako se v skupinah (samovodljivo) ocenjujejotveganja in definirajo strategije rešitev za identificirana tveganjaPodročje UT-IT je lahko služba ki je neodvisna in samostojna organizacijska enota v vrhu vodstva organizacijeIZVAJANJEOKVIRKaj kako s 1048830i
- Komunikacijski krogi
Bistven gradnik UT-IT predstavljajo komunikacijski krogi (KK) med področji inodgovornimi ali delegiranimi sodelavci po poslovnih linijah Le-ti predstavljajo raquokomunikatorje tveganjalaquo ki so povezani prek sistema zgodnjega opozarjanja inizvajajo vnos dogodkov ter podatkov za analize tveganj in ocenjevanje vpliva naposlovanje Izkušena skupina določi tudi ustrezne protiukrepe in varnostne mere ter jihposreduje lastnikom tveganj Ti s strokovnjaki za posamezna področja pripravijostrategijo rešitve in jo predstavijo (kot zagovor) odgovornim za področja da se posoglasju lahko izvedejo Področje UT-IT spremlja in spet ocenjuje učinke terrezidualna tveganja Zaradi narave tveganj in inherentnih tveganj IT so tovsakodnevne aktivnosti upravljanje tveganj in varnosti pa je vodstvena funkcijaObstaja še pomembna lastnost in specifika da področja varnosti in tveganj pripadajovsem zaposlenem v organizaciji zato so komunikacijski krogi in pravočasnoinformiranje nujniZa operacijsko kvaliteto v organizaciji je potrebno definirati oz določiti dimenzijo vkateri se meri kvaliteta Značilne so tri dimenzije (kriteriji)
- primernost in funkcionalnost- varnost in zanesljivost- razpoložljivost in dostopnost
- Metrike
-Tveganje je objektivizirane negotovosti glede na možnost pojavitve nezaželenegadogodka merjenje negotovosti in negotovosti izgube Negotovost nastane zaradipomanjkanja informacij o nekdanjih sedanjosti in prihodnjih dogodkih vrednostih inpogojih Ne glede na različne stopnje negotovosti je osnova koncepta negotovosti vpomanjkanju informacij o delih sistema ki ga obravnavamo ali opazujemo Zmanjšanje tveganj mora biti motiv za organizacijo Zmanjšanjestopnje negotovosti je korak k opredelitvi kaj je lahko narejeno zazmanjšanje izpostavljanju tveganj Kakšno metriko uporabimo jeodvisno od tega kaj želimo meriti obravnavati spremljati izboljšatiitdOceniti tveganje pomeni ovrednotiti koliko lahko prenesemo oz izgubimo če seneljubi dogodek zgodi in pri tem izgubimo npr kar posedujemo Ali predstavlja to zanas vrednost in kako pogosto se ti dogodki pojavljajo so začetna razmišljanja ko greza tveganja in reakcije na njihLahko trdimo da je tveganje vedno ocenjeno z analizo scenarijev kar pomenivrednotiti možne izgube in frekvenco verjetnosti možne škode Toda v kakšnemobsegu in po katerih predvidevanjih Vsekakor je pri ocenjevanju tveganj medkvalitativno in kvantitativno analizo razlika Smiselno je obravnavanje analizetveganj Še tako dobro zastavljena varnostna politika brez izvajanja in kontrole ne
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 32
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
53 Podatkovne zbirke na diskih strojne opreme 40
54 Patenti 41
55 Blagovne in storitvene znamke ter modeli strojne opreme 42
56 Varstvo zaupnih podatkov na strojni opremi 42
57 Varstvo osebnih podatkov 43
58 Podatkovne zbirke na diskih strojne opreme 44
59 Prekrški in kazniva dejanja v zvezi z podatki na strojni opremi ndashdiskih 44
6 Literatura 45
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 5
Napredno vzdrževanje strojne opreme Učno gradivo
1 Uvod
Računalniki so že zdavnaj postali nepogrešljiv sestavni del poslovanja podjetij Težave z računalniško opremo doma v podjetju šoli povzročajo stroške zato je zanje potrebno ustrezno poskrbeti Napredno vzdrževanje strojne opreme posveča posebno pozornost potrebam majhnih in srednjih podjetij saj je vse večji del vašega poslovanja odvisen od informacijskih tehnologijV praksi se srečujemo z dvema vrstama vzdrževanja in sicer vzdrževanje na klic in pogodbeno vzdrževanje Prvo deluje tako da pokličemo ko gre kaj narobe in napake odpravimo v skladu z našim cenikom pri pogodbenim vzdrževanju pa za vas poskrbimo bolj celovito Pogodbeno vzdrževanje vam prinaša kratke odzivne čase ter roke popravila dosegljivost strokovnjakov ne glede na čas
manjše in pregledne stroške
preventivne preglede katerih namen je pravočasno odkrivanje težav preden se te razvijejo v večje okvare
varnost vaših podatkov
po potrebi nadomestno opremo za nemoteno delo
Ker ima vsako podjetje različne potrebe in izzive je pred podpisom pogodbe potreben natančen ogled opreme na vaši lokaciji na podlagi katerega nato skupaj določimo najbolj primerno obliko sodelovanja Glede brezplačni obisk strokovnjakov se potem rešujejo problemi na strojni opremi
Danes lahko izbiramo izmed ponudnikov strojne opreme veliko proizvodov ki so napredni in tehnološko zmogljivejši
V programu računalnikar je predmet napredno vzdrževanje strojne opreme pomemben del pedagoškega izobraževanja za dijaka
Širina znanja o strojni opremi je seveda kot pri programski opremi zelo široka vendar te znanja dijak lahko pridobi tekom predmeta ali kot interdisciplinarno povezovanje z ostalimi predmeti Menim da je program računalnikar v sozvočju z ostalimi dosedanjimi predmeti primeren za končni produkt programa in opravljenega izpita
Strojne opreme se lahko lotimo z svojo gorečnostjo tako da se jo strokovno lotimo po posameznih modulih M8 - je samo eden izmed njih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 6
Napredno vzdrževanje strojne opreme Učno gradivo
Vpeljani pojmi
Strojna oprema ndash pojem oz področje računalnika združene strojne opreme v nekem zaprtem ohišju modulu ki predstavlja osnovne komponente za primerno delovanje računalnika
Napredno vzdrževanje ndash pojem oz imenovanje vseh vrst pilotskih projektov za izdelavo ali izboljšanje obstoječe strojne opreme matične plošče procesorja vh-izh enot ipd
Vprašanja za ponavljanje
Kaj je to strojna oprema Katera je zastarela strojna oprema in katera napredna Kaj je procesor v matični plošči Napredna strojna oprem ima slogan delovati pomeni živeti Razloži
Razišči in opiši
Poišči vsaj štiri podjetja v Sloveniji ki se ukvarjajo z prodajo strojne opreme Naredi programu Power Point zgradbo svojega osebnega računalnika Katere strokovne revije o računalništvu bi prebral če bi želel izvedeti največ o
napredni strojni računalniški opremi
Spletne povezave virov
Rado Westerbach Informatika učbenik 2009 - Gimnazija Jesenice
httpwwwnauksiračunalništvo za srednje šole
Google httpwwwgooglecom
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 7
Napredno vzdrževanje strojne opreme Učno gradivo
Spletni portal httpwwwpraktiksi
httpwwworiacom
httpwwwibmcom
httpwwwhpcom
Spletna revija COMPUTER WEEKLY ndash VB httpwwwcomputerweeklycomhome
Spletna revija COMPUTERWorld ndash ZDA httpwwwcomputerworldcom
2 Strojna oprema
Beseda strojna oprema izvira bolj iz besednjaka ko popravljamo avtomobil ali dele vrtne opreme vendar je pri tem predmetu to mišljeno predvsem celotno hardwear besedoslovje ki vključuje pojme kot so matična plošča procesor vhodne izhodne enote pomnilnik ohišje delovni pomnilnik ipd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 8
Napredno vzdrževanje strojne opreme Učno gradivo
Z računalniško strojno opremo smo si pripravljeni spremeniti navade odnos življenje Zatorej širimo znanje o kakem prenosu podatka ali odnosu v družbi V dobi informacijskega veka smo za primerne informacije pripravljeni kupiti najnovejšo strojno opremo za veliko denarja V hitrem informacijskem svetu hitro hitrejšo takoj napredno strojno opremo brez komunikacije in sistemov opreme ne moremo uporabiti kot pa so jo to sredi prejšnjega stoletja
Strojna oprema še posebno napredna se razvija iz dneva v dan vse bolj in bolj in vpliva na sodobnega človeka neposredno
21 Prednosti sodobne strojne opreme
Kvalitetna strojna oprema omogoča delo na različnih družbenih področjih kot so
Medicinska strojna oprema
Poslovna in zavarovalniška strojna oprema (delniško poslovanje- Wall Street Bančni poslovni inf sistemiipd)
Robotika
Prostorska in geodetska strojna oprema
Bio-informatika
Napredna izvedba strojne opreme za potrebe Outsourcinga raquood-zunajlaquo
Strojna oprema državni upravi
Strojna oprema namenjena za uporabo zahtevnih raziskav na terenu nemogočih tehničnih pogojev v delovnih okoljih (NASA SHELL FBI ipd)
Zabavna strojna oprema (računalniške igrice z svojo opremo Walt Disney Animirani filmi ipd)
Razpis za izbiro proizvajalcev dobaviteljev in izvajalcev napredne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 9
Napredno vzdrževanje strojne opreme Učno gradivo
Postopek izbiranja je zakonsko opredeljen Seveda kot računalničar ni toliko bistveno zakonsko stališče kot le pravila in izkušnje
A) Pomembno je izbiranje usposobljenih dobaviteljevB) Končno izbiranje proizvajalcev dobaviteljev in izvajalcev
Pri napredni izbiri strojne opreme moramo razlikovati proizvajalce dobavitelje in izvajalce vzpostavljanja komunikacijske infrastrukture Poleg strokovnih in finančnih ter časovnih lastnostih izbire ima vedno večjo težo ponudba napredne strojne opreme Ker želimo ponavadi že na določeno strojno opremo da opremo inštalira isto podjetje ponavadi izberemo ustrezno podjetje ki ponuja nadgradnjo le omenjene
22 Izvedbena faza projekta zamenjave strojne opreme
Tukaj govorimo o fizičnem postavljanju omrežja in strojne namestitve Prvi korak v tej smeri je podpis pogodbe z izbranim dobaviteljem napredne strojne opreme Zavedati se moramo da računalniška strojna oprema predstavlja hrbtenico kompleksnega porazdeljenega sistema zato je priporočljivo da kupec in dobavitelj podrobno opredelita želeno napredno strojno opremo inštalacije oz namestitve testiranje strojne opreme prevzemanje komunikacijske infrastrukture Upoštevati moramo naslednje vprašanja
Kako ugotavljamo ustreznost opreme
Kako ugotavljamo zmogljivost opreme
Kaj pomeni dobaviti določeno opremo
Kako bomo upoštevali zunanje faktorje ki vplivajo na potek izvedbe napredne strojne opreme
23 Količinski prevzem
Potrdi da je dobavitelj fizično dostavil strojno opremo opredeljeno s pogodbo Smiselno je da je naročnik za dobavljeno opremo sprejel le tisto ki je inštalirana na vnaprej opredeljeni lokaciji Inštalacija mora potrditi osnovno lokalno funkcionalnost strojne opreme Kot primer
na določeni lokaciji se nahaja usmerjevalnik z ustrezno linijsko opremo (konvertorji modemi monitorji ipd) ki je priključena na napajanje in prenosne medije Ker je računalniško
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 10
Napredno vzdrževanje strojne opreme Učno gradivo
omrežje kompleksen sistem je potrebno potrditi vsebinsko in funkcionalno ustreznost količinsko prevzete opreme Pogodba mora predpisovati način in pogoje testiranja ustreznosti opreme Običajno priv test napredne strojne opreme opravi naročnik ki lahko ugotovi nepravilnosti ki jih mora dobavitelj odpraviti in se izvajajo vsi naslednji testi na račun dobavitelja Ta predhodni korak prevzemanja zagotovita da oprema količinsko in funkcionalno ustreza naročeni strojni opremi
Preverjanje povezljivosti strojne opreme je proces nastavitve sistemskih parametrov za predvideni način delovanja in testiranja kompatibilnosti lokalne infrastrukture z okolico
Za izvedbo testa strojne opreme je potrebna primerna strojna računalniška oprema
24 Pilotna faza
Pilotna faza je namenjena preverjanju že nameščene strojne opreme kot celote s poudarkom na analizi zmogljivosti napredne strojne opreme saj je konformnost preverjena že v prejšnjih fazah
Pogosto se zgodi da zaradi različnih objektivnih razlogov projekta ni mogoče namestiti v dogovorjenem roku Razlog je lahko primer da za določeno lokacijo ne moremo najti ustreznih prenosnih poti ob tem pa večina lokacij (npr delovnih strojnih postaj) že uspešno deluje V takem primeru bi bilo nesmiselno odlagati nadaljevanje vzpostavljanja hrbtenice to je pilotno fazo delovanja
Pilotna faza namestitve strojne opreme se torej lahko prične ko vse lokacije lokalno privzete in ko ugotovimo dogovorjeni odstotek pogojno prevzetih lokacij hrbtenice računalniškega omrežja
Pilotna faza ni opredeljena samo s testi ampak je njeno bistvo predvsem opazovanje in presojanje delovanja napredne strojne opreme v delovanju V tej fazi končni uporabniki npr dijaki še ne morejo pričakovati predpisane kvalitete in stabilnosti delovanja Pilotna faza se zaključi takrat ko ugotovimo da omrežje določen čas deluje s predvideno zmogljivostjo in razpoložljivostjo npr več kot 95
Prevzem celotnega računalniške strojne opreme pomeni da naročnik dobavitelju prizna izpolnitev vseh pogodbenih obveznosti in obratno Poleg tega pa je potrebno poskrbeti za
- vzpostavitev nadzora in upravljanja omrežja s strani naročnika- zagotavljanje vzdrževanja in servisiranja vzpostavljene infrastrukture- ustrezno podporo končnim uporabnikom
Z zaključkom te faze omrežje pride v produkcijsko fazo s katero se začne normalen življenjski cikel naprednega vzdrževanja strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 11
Napredno vzdrževanje strojne opreme Učno gradivo
25 Arhitektura strojnega sistema
1slikaarhitektura ohišja
Mehanizem odjemalec ndash strežnik
- Izpad odjemalca
Strežnik ki je ostal brez svojih odjemalcev ker so ti nehali delovati ali so nedosegljivi imenujemo sirota
Tak strežnik požira vire lastnega sistema kar pa še ni najhuje Več težav lahko povzroči zmeda ki nastopi v vrstah odjemalcev ki se ponovno vzpostavljajo in dobivajo od strežnika odgovore na svoje zahteve iz časa pred izpadom Teh zahtev se namreč ne raquospominjajolaquo in ne vedo kako naj interpretirajo odgovore
Za reševanje take situacije pri naprednem vzdrževanju strojne opreme poznamo nekaj situacij
- Iztrebljanje je dokaj drakonska strategija takoj ko se odjemalec ndash roditelj procesa ponovno zavre samega sebe strežniku naroči da naj razvrednoti vse njegove morebitne procese Algoritem mora teči ker lahko najdemo v primeru pogostih izpadov na strežniku tudi procese posameznih zahtev
- Reinkarnacija je tretja strategija Odjemalec razseka čas v zaporedne intervale imenovane epohe Če odjemalcu po metodi iztrebljanja ni uspelo ubiti vseh svojih zahtev ndash procesov lahko oznani vsem strežnikom začetek novega obdobja Strežniki uničijo vse tiste zahteve ki ne sodijo v sedanjo uporabo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 12
Napredno vzdrževanje strojne opreme Učno gradivo
26 Lociranje strežnikov
V praksi nameščanja nadomestne strojne opreme je imenski strežnik tisti ki vodi evidenco o vseh ostalih strežnikih Odjemalec se s svojim problemom obrne na imenski strežnik in mu ta predlaga izvajalca Imenski strežniki se uporabljajo za izvedbo elektronske pošte
Ob namestitvi novega strežnika je potrebno ob njegovem obstoju obvestiti imenski strežnik Za to lahko poskrbi sama delovna postaja avtomatsko največkrat pa je potreben poseg vzdrževalca imenskega strežnika
Dostikrat odjemalec želi ugotoviti kateri strežnik je najbolj primeren za izvršitev njegove zahteve
27 Specifikacije in testiranje protokolov
S problemi testiranja komunikacijskih protokolov se soočamo v napredni strojni opremi že od začetkov povezovanja računalniških sistemov v omrežja Področje analize in testiranja komunikacijskih protokolov se je uvrstilo v okvire implementacije komunikacijskega procesa
Izvedba protokola je porazdeljen sistem v katerem ima vsak proces določeno stopnjo lokalne avtonomije in na nek način interakcije z okolico
- Informacijske storitve sistemov
Osnovni namen informacijsko komunikacijskih sistemov je nudenje svojih posrednih ali neposrednih storitev uporabnikov
Med standardne storitve sodijo na primer različne izvedbe računalniško podprtih omrežnih informacijskih sistemov z bolj ali manj decentraliziranimi elementi O splošnih lastnostih teh storitev velja da v vseh operacijskih sistemih podpirajo standardne storitve kjer se stikata lokalni uporabnik računalnik ndash odjemalec in virtualna naprava strežnik
28 Varnost strojne opreme
Varnost nadgradnje strojne opreme je zelo obsežen pojem zato ga je potrebno skrbno prestrukturirati Zanesljivost sistema dosežemo predvsem s skrbnim načrtovanjem nadzorom in upravljanjem sistema Pri tem imata pomembno vlogo organiziranost poslovanja in
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 13
Napredno vzdrževanje strojne opreme Učno gradivo
usposobljenost uporabnikov To področje je izredno široko in ga na tem mestu ne bomo obravnavali saj predstavlja samostojno disciplino sistemskega inženiringa
Zaščita sistema opazujemo z dveh osnovnih zornih kotov
- zaščita na nivoju končnih računalnikov ndash lokalna zaščita- zaščita ki je potrebna zaradi narave decentraliziranih sistemov ndash decentralizirana
zaščita
Iz vsakdanjega življenja vsi poznamo primere v katerih nam zelo veliko pove že dejstvo da vemo med katerimi ljudmi v določenem trenutku poteka komuniciranje ne glede na to da same vsebine ne moremo razbrati Ravno tako v primeru da razpoznamo da strojna oprema pri zagotavljanju kakovostnega komunikacijskega delovanja ne deluje jo nadomestimo z nadgradnjo
29 Odkrivanje napak
Pri uporabi in delovanju strojne opreme pride do napak predvidoma na prenosnih medijih kjer se lahko dogajajo napake Najpreprostejši način je odkrivanje napak v okviru nameščene strojne opreme v kontroli maske kjer je strojna oprema evidentirana kot okolje Windows
Komercialne različice računalniške strojne opreme s skupinskih prenosnim medijem se je pričela tudi kot omrežje
a) brezžičnoJe tisto ki je kot prenosni medij fizično opredeljivo z radijskimi valovi ali svetlobo
b) mobilnoOmrežje ni nujno brezžično bistveno je da podpira selitve računalnikov
Kot primer lahko navedem kombinacijo klasičnega modema in brezžičnega telefona ki ga lahko napredno vzdržujemo preko modema priključenega na modem npr v hotelski sobi in ga preko te linije vstopamo v drug računalnik ki je v povezavi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 14
Napredno vzdrževanje strojne opreme Učno gradivo
2slika diagnostika
- Napredno vzdrževanje prenosnih medijev
Prenosni mediji niso le žice kot pogosto najprej pomislimo Pojem bomo nekoliko razširili saj ne smemo pozabiti na prenosne medije ki nimajo zveze z računalniškimi komunikacijami tičejo pa se računalniških informacijskih sistemov
Z vidika IKS-a je poznavanje prenosnih medijev zanimivo le v toliko kolikor različne oblike prenosnih medijev omogočajo zasnovo prenosnih kanalov z različnimi kapacitetami primernih za različne razdalje in različno ceno Njihova tehnologijama sodi v področja ki so razdeljena
- Koaksialni kabel- Brezžične povezave- Optično vlakno
Optična vlakna so danes najzanesljivejši prenosni medij Prevajajo svetlobne signale ki jih običajno vzbujamo z laserskimi napravami Signal med prenosom po optičnem mediju le malo oslabi Danes dosegamo 100 kilometrske prenose brez ponavlalnikov signala Kaj takega je po parici ali koaksialnemu kablu nedosegljivo Kapaciteta optičnega kanala 100 Mbits na omenjeni razdalji ni vprašljiva na krajših odsekih pa so na pohodu že kapacitete 100 Gbits
- Brezžične povezave
Med brezžične povezave prištevamo več skupin povezav ki so zasnovane na širjenju elektromagnetnega valovanja skozi prostor Tipične oblike so
- Radijske zemeljske povezave
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 15
Napredno vzdrževanje strojne opreme Učno gradivo
- Mikrovalovne usmerjenje povezave- Infrardeče povezave - Satelitske povezave
Poleg brezžičnih povezav spada v nepogrešljivo komunikacijo tudi telefonsko omrežje Vzdrževanje telefonskega omrežja ima dostop večine opisanih graditeljev računalniških omrežij
Pripravljalne faze naprednega vzdrževanja strojne opreme
- Identificirati pristopne točke pokvarjenih delov strojne opreme- Oceniti storitve pokvarljivosti strojne opreme- Oceniti vrednost investicije za namestitev strojne opreme ter infrastrukturo ki bo
zmogla ocenjene napake opredeliti in načrtovati grobe okvire nove infrastrukture- Zagotoviti vire financiranja nameščanja nove strojne opreme
To sicer ni tehničen problem vendar pa navadno predstavlja nepomembnejše in pogosto najzamudnejše opravilo z dokaj nepredvidljivim izidom
- Opredeliti osnovne izvedbe okvire izvedbe Ti so neodvisni od infrastrukture dinamike financiranja in drugih dejavnikov Že v okviru te faze projekta je potrebno vzpostaviti stike z nameščeno strojno opremo
Večina ljudi čuti naraven odpor do razstavljanja električnih naprav in to z razlogom Proizvajalci drugih naprav vedno svarijo naj jih uporabniki ne odpirajo sami Možnost električnega šoka je prisotna pri vsej strojni opremi Vsi računalniki ne sodijo mednje saj so narejeni tako da jih uporabnik lahko do neke mere sam priredi
Ko nameščamo napredno strojno opremo npr v ohišju moramo najprej izključiti vse napeve
Iz vtičnice potegnemo napajanje za računalnik in za vse naprave ki so nanj priključene Nikakor se namešča napredne strojne opreme dokler je vtikač v vtičnici Ne samo da to škoduje računalniku nevarno je tudi za samega vzdrževalca oz uporabnika
Ohišje je lupina v katero so nameščene komponente ki sestavljajo jedro računalnika Napajalnik (ang power supply) pa je naprava ki pretvarja standardno omrežno izmenično napetost v nižje enosmerne napetosti ki jih za delovanje potrebuje računalnik
Čeprav nekateri pravijo da je to smešno sodita ohišje in napajalnik popolnoma upravičeno na vrh seznama obveznih komponent Brez njiju ni nobenega računalnika Včasih sta drug z drugim neločljivo povezana čeprav raquohodita vsak svojo potlaquo Kakršna vrsta strojne opreme se najprej ugotovi po ohišju ki je pri namiznih računalnikih zelo razkošno V ohišju najdemo prostor za osnovno ploščo z potrebnimi komponentami trde diske različne vmesniške kartice
Hrupa ki je pri stojni opremi v računalniku se lotimo ko reže v ohišju skozi katere priteka zrak v računalnik in ventilator napajalnika povečamo Ko nameščamo napredno strojno
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 16
Napredno vzdrževanje strojne opreme Učno gradivo
opremo mora biti tudi ohišje na primernem zračnem mestu To sicer ne pomeni da moramo računalnik spraviti pod mizo vendar moramo poskrbeti za učinkovit zračni preskok
Ohišja namiznih računalnikov se lahko med seboj močno razlikujejo vsa pa so praviloma dokaj velika in vanje je že vgrajen napajalnik Vgrajeni napajalnik je pri namiznih računalnikih najmočnejši ne pa edini vir hrupa Za hrup je ponavadi kriv ventilator ki skrbi za hlajenje napajalnika ohišje pa velikokrat deluje kot kakšen resonator in hrup še veča
Pri napredni strojni opremi ohišja računalnikov razdelimo na tri skupine
- Plosko ohišje
Ima obliko kvadrata z največjo ploskvijo kot osnovno stranico Navadno ga postavimo na eno od stranskih stranic in tako simuliramo ohišje v obliki stolpa Na voljo je več izvedb ploskih ohišij Tako lahko izbiramo med večjimi in manjšimi ohišji ter med bolj in manj primernimi za odpiranje
- Kompaktni sistemi
Pri kompaktnih sistemih je klasično ohišje računalnika združeno z ohišjem monitorja vanj pa so pogosto vgrajeni še zvočniki in mikrofon Ves računalnik je praktično v enem kosu vanj nista le integrirana le tipkovnica in kazalna naprava Čeprav računalniki po kompaktnosti približujejo prenosnim računalnikom Se za stalno prenašanje vseeno nekoliko okrni Kompaktni sistem je prava izbira če računalniku ne želite nameniti več prostora kot ga potrebuje povprečen monitor ali če se vam prenosni računalniki ne zdijo primerni zaradi cene oz premajhne tipkovnice
- Ročni računalniki so strpani v najmanjša ohišja kar jih je To ni nič čudnega saj morajo biti tako majhni da jih je mogoče med uporabo držati v roki Po velikosti lahko računalnike primerjamo z nekoliko boljšimi računali
- Osnovne plošče
Računalnik je skupek komponent
Tako delimo strojno opremo znotraj ohišja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 17
Napredno vzdrževanje strojne opreme Učno gradivo
3 slika pri CD-ju in CD romu je možno popravljanje napak
Če nameščamo vse tiste komponente ki jih osnovne plošče vgradijo izdelovalci računalnika ali jih nanje namestijo sestavljavci računalnikov glede na želje uporabnikov ali želje kupcev
- Procesor
Kljub pomembnosti je procesor najbolj odgovorno in je pri naprednem vzdrževanju potrebno ločeno kupiti ali popraviti od osnovne plošče Na njej je podnožje kamor ga sestavljavec računalnika lahko zamenja ali nadomesti z bolj zmogljivim Izdelovalci plošč skrbijo da je posamezna osnovna plošča uporabna z celo družino procesorjev včasih celo z različnimi družinami Družine se seveda razlikujejo po oznakah Večina korporacij med strojno opremo še posebno v zadnjem času se razlikuje po hitrosti delovnega takta frekvenci prenosa in zmogljivosti
3 NAČRTOVANJE STROJNE OPREME
Načrtovanje strojne opreme lahko izbiramo ob nakupu primernih računalnikov s pomočjo svetovalca serviserja ali vzdrževalca informacijske opreme Uporabe računalnikov in posebnih programov v proizvodnji in arhitekturi postavitve linijskih proizvodnji procesov urejajo posebni programi CAD
Za izdelavo prevodnikov in polprevodnikov na matični plošči oz integriranih vezij lahko srečamo naslednje kovine
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 18
Napredno vzdrževanje strojne opreme Učno gradivo
Krom barij iridij svinec paladij tantal arzen berilij baker zlato kadmij
Pri gradnji informacijske opreme in sistemov na osnovi mikroprocesorjev potrebujemo dodatne elemente rečemo jim raquopodporni elementilaquo To so periferni adapterji časovna vezja DMA krmilniki množilniki frekvence ROM in RAM pomnilniki Na osnovi fizičnih diskov pa imamo povezave IDE ter SATA vmesnikov - RAID diskov v samem ohišju računalnika
V tem času je podjetje Intel še razvilo večjedrsko delitev v enem procesorju kar pomeni da si vsa jedra morajo deliti predpomnilnik dostopnost do pomnilnika ter usklajeno delovati in imeti povezave do ostalih elementov Procesorji s porabo in zmogljivostjo Teraflop že omogočajo prepoznavo govora obraza in rokopisa Hitrost zmogljivosti število jeder ter odvajanje toplote pri mikroprocesorjih se bo eksponentno povečevalo (Intel source view 2010)
Vprašanja za ponavljanje
Kaj je več jedrski procesor Kaj je to napredni RAM Razišči in opiši katera napredna strojna oprema je na slovenskem trgu
34 Napredni operacijski sistemi
V naprednih strojnih vodah je znana večja prepoznavnost Windows XP operacijskega sistema ki ga ob nakupu lahko nastavimo in kasneje enostavno vzdržujemo
Vgrajena orodja znotraj OS-a
Raziskovalec (computer managment ) Register Nadzorna plošča in spremljajoči programi ter nastavitve
Kot pri vsaki informacijski opremi je preventiva vedno najprimernejša
V OS Windows XP_Nadzorni plošči_Computer managment imamo vsa navodila in upravljanje z napakami in popravki tako programske opreme napake na trdih RAID diskov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 19
Napredno vzdrževanje strojne opreme Učno gradivo
namestitev gonilnikov starih verzij programske opreme sistemske in aplikativne napake ter odstranitev vseh uporabnikov ki niso več priključeni v informacijski sistem
Nameščanje in odmeščanje strojne opreme (gonilnikov matične plošče uporabnih vhodnih -izhodnih enot sistemske strojne opreme ter do končnega cilja namestitve Odmeščanje ali odstranitev strojne opreme pri napredni strojni opremi pa je v okolju Windows XP narejeno z posebnimi odnamestitvenimi programi istega proizvajalca oz operacijskega sistema v našem primeru preko Windows nadzorne plošče
Register ki beleži vse namestitve ter spremembe programov znotraj le-tega ima funkcijo spominanja zatorej mora računalnikar uporabiti zmogljiva vzdrževalna orodja ki pretekle namestitve strojne opreme pobrišejo veliko hitreje kot pa uporabnik
Zaščita strojne opreme na uporabniškem nivoju poteka preko dodatnih požarnih zidov z nekaj 1028 bitnim ključi in več V primeru povezav veš računalniških sistemov in mrež znotraj LAN-a imajo najnovejša strojna oprema že nameščene programe za požarni zid znotraj HW proizvoda
3 slika primer brezžične matične plošče
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 20
Napredno vzdrževanje strojne opreme Učno gradivo
i Navodila za izdelavo tehničnega poročila
Kakovostna in po navodilih nadrejenega vzdrževalca - računalnikarja morajo biti zapisana v točno določenem Word formatu z primernim oblikovanjem in zapisom
Struktura naj bo sledeča
Naslovnica
Na njej je logotip Ljudske Univerze Radovljica naziv predmeta ime in priimek dijaka (tehničnega poročila seminarske oz pogodbenika) ime in priimek mentorja mesec in leto izdelave
Povzetek
V nekaj stavkih se povzame vsebino tehničnega poročila seminarske naloge oz naprednega nameščanja strojne opreme
Kazalo vsebine
Je izdelano na podlagi uporabe slogov za naslove Nivoji naslovov naj dosegajo največ nivo 3 (123)
Kazalo slik
Slike ki so uporabljene v nalogi morajo imeti napise Kazalo slik je izdelano na podlagi uporabe sloga za napise (arial 8 pt)
Poglavje uvoda
V tem poglavju se na eni strani strne in izbere kratko in jedrnato uvodna misel avtorja Namen uvoda je da bralca seznani z postopoma brano tematiko v gradivu
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 21
Napredno vzdrževanje strojne opreme Učno gradivo
Ostala poglavja
Nato sledijo ostala poglavja kot si jih je zamislil dijak
Povzetek
V povzetku se na kratko povzame obravnavan tema in nakaže morebitne težave in priložnosti pri obravnavanju tematike
Literatura
Zaradi avtorskih pravic in nelegalnega kopiranja inovacij predvsem tehničnih izumov se vedno navaja vire in informacije od tam kjer je avtor napisal strojno pogodbo tehnično poročilo ali seminarsko nalogo
Literatura zavzema spletne naslove podjetij gradiv časopisov revij in knjižnih strokovnih knjig
-------------------------------------------------------------------------------------------------------
Velikost pisave je 12 ali 14Pt
Vrsta pisave je Times New Roman
Slogi napisov
Naslov 1 pisava Cambria velikost 14pik krepko
Naslov 2 pisava Cambria velikost 13 pik krepko
Naslov 3 pisava Cambria velikost 12 pik krepko
Jezik
V strokovno-znanstveni literaturi je uporaba knjižnega jezika in urejevalnika besedil smiselna V primeru da je prevod izraza v tujkah se v oklepaju navede vrsto tujega jezika in prevod Primer
RAM (ang Random Access Memory)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 22
Napredno vzdrževanje strojne opreme Učno gradivo
Obseg
Tehnično poročilo je predvideno do 4 strani v primeru modula M8
Vzdrževalna pogodba je kratka in po členih pravno definirana v obliki medsebojnega dogovora naprednega vzdrževanja strojne opreme ter lastnika zastarele strojne opreme
Seminarska naloga je definirana glede na temo ni vrsto seminarske zatorej je priporočljivo imeti navodila strani- obsega ob začetku pisanja
Vprašanja za ponavljanje
Kakšno je tehnično poročilo
Zakaj je strojna oprema potrebna naprednega vzdrževanja ob koncu leta
Kakšne vrste pogodb o namestitvi strojne opreme poznaš v IT-ju
Kako izgleda licenčna namestitev strojne opreme Glej primer HW podjetij ki uporabljajo strojno opremo IBMHPLogitech ipd
Spletni brskalniki
Glede na naravo dela in poznavanje novih strojnih namestitev ter naprednih oprem ki nastajajo v posameznih multunacionalnih laboratorijih in proizvodnih procesih mora računalnikar biti seznanjen z novimi produkti oz strojno opremo v sodobnem času
Uporabo dostopa do wwwgooglecom wwwhpcom wwwibmcom wwwapplecom mu omogočajo pri velikanski izbiri na trgu da poišče primerno opremo proizvajalca zamenjati določen zastarel že servisiran produkt mikroprocesor izh-enoto ipd
Za brskanje po spletu je važno da se spozna na prodajo in uporabo strojne opreme kot tudi posameznih enot Oprema ki jo bo vzdrževal ima neko serijsko številko oziroma namestitveno pogodbo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 23
Napredno vzdrževanje strojne opreme Učno gradivo
Diski in na njem zaupni podatki strojna oprema ponarejanje in zamenjava s slabšimi produkti dolgoročne ne vodi računalnikarja tako do osebnega kot tudi poslovnega uspeha Res je da je mnogo različno kakovostnih produktov strojne opreme na trgu vendar tudi zloraba pri naprednem servisiranju in vzdrževanju prinašata posledice
Računalnikar se bo na terenu srečeval z identitetami računalnikov podjetij organizacij ki so po svoji naravi različna
Kot primer navajam uporabniške skupine strojne opreme ki so privrženci za Apple ter uporabniki oz privrženci za IBM Vsi bodo hvalili in zagotavljali boljšo kvaliteto in kakovost svoje strojne opreme
Zatorej vedno v tehničnem poročilu navedemo stanje strojne opreme pred našim prihodom in po tem ko smo jo le-to vzdrževali
Tako se profesionalno in komunikacijsko obnašamo s stranko kot pravi računalnikar z veliko odgovornostjo
Napredno svetovanje in pomoč uporabnikom strojne opreme
Pri pomembnosti komunikacije s s stranko moramo torej uporabljati pravila profesionalnega vedenja do stranke
Analizirati učinkovitost obstoječe strojne opreme Svetovati napredne matične plošče procesorje vodila Upoštevati različne strojne zahteve glede na namembnost osebnega računalnika Upoštevamo pomembnost shranjevanja dokumentacije vsaj 4 leta
S stranko je važno da vedno komuniciramo prijazno spoštljivo in umirjeno Kot svetovalec oz napredni računalnikar si lahko informacije o strojni opremi izmenjujemo preko strokovnih forumov novičarskih fan-tehničnih skupin (Apple HP Microsoftipd) ali pa smo povezani preko help-desk podpore na lokalnem zaščitenem omrežju kjer odpravljamo napake na terenu takoj
Zelo pomembna je tudi hitra odzivnost hitro in natančno odpravljanje napak poštenost do stranke ter na koncu primerna cena napredne strojne opreme vzdrževanja
Vprašanja za ponavljanje
Kaj je to komplet čipov
Kaj je osveževanje podpisana pogodbe o strojni opremi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 24
Napredno vzdrževanje strojne opreme Učno gradivo
Kaj je to etičnost in morala pravočasne namestitve napredne strojne opreme
4 Tveganje pri upravljanju napredne strojne opreme
Ko izrečemo ali preberemo besedi raquotveganje upravljanja napredne strojne opremelaquo se ne zavedamo da je tveganje skrito že kar v prvi besedi raquoupravljanjelaquo Tisti ki so odgovorni za upravljanje se tega namreč premalo ali sploh ne zavedajo Tveganja ki se v pri strojni opremi ter poslovnih subjektih na tem nivoju kažejo so
- nikoli dovolj resursov- cilji so nejasni- ni definirane politike standardov- število tveganj je preveliko ne ve se katera strojna oprema je najbolj pomembna- ni kulture
Sicer pa prevladuje prepričanje da se verjetno ne bo nič zgodilo Opisano ni zgled vodstvaZato moramo v svojo organizacijo sistematično s celostnim pristopom vpeljatiupravljanje tveganj Za drugo besedo raquotveganjelaquo se lahko vprašamo na kajnajprej pomislimo v vsakodnevnem življenju ko jo slišimo Najbrž pomislimo dalahko nekaj z določeno verjetnostjo izgubimo Preprosto sklepamo kaj in koliko lahko izgubimo ob neljubem dogodku to opredelimo z raquoresnostjolaquo verjetnost da izgubimo paobičajno opredelimo kot raquofrekvencalaquo pojavljanjaTo da se zgodi tisto česar v bistvu ne želimo je naša raquoranljivostlaquo če se ustreznoodzovemo ali reagiramo na tak dogodek pomeni da smo v aktivnostih privzelidoločene raquoobrambnelaquo mehanizme in zmanjšali raquoizpostavljenostlaquo tveganjemPri obravnavanju tveganj se izvajajo procesi analize ocene in rešitve kar lahkoopredelimo kot raquoupravljanjelaquo Resnost se meri z vrednostmi ovrednotimo jo finančnotorej določimo znesek Verjetnost pa merimo oz ocenimo s številom dogodkov včasovnem obdobju največkrat na leto Seveda bomo pozorni in dogodke spremljali dotiste varnosti in zaščite ki sta primerni sprejemljivi in hkrati skladni z našimivrednotami standardi in ekonomskimi zmožnostmi V bistvu so stvari boljkompleksne vsekakor je pomembna hitrost v odzivnosti Če želimo obravnavati inprimerjati tveganja moramo primerjati razsežnosti tveganj Ni rečeno da so tveganjanizka po vrednosti in visoka po frekvenci z enakim učinkom itd Zanimivo je da so vZDA in anglosaksonskem svetu upravljanje s tveganji vzeli kot tekmovalno prednostmedtem ko je v EU to bolj posledica regulative
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 25
Napredno vzdrževanje strojne opreme Učno gradivo
41 Spremembe pri strojni opremi
Spremembe so silovite Hitro se razvijajoča informacijska in telekomunikacijskatehnologija zahteva nove poslovne modele Gonilniki sprememb vplivajo na poslovnesubjekte ki morajo biti prilagodljivi hitri in hkrati varni Vse to med drugim prinašanegotovost znotraj poslovnega sistema pa tudi v zunanjem okolju Obvladovanjesprememb zahteva izjemne intelektualne napore saj so pritiski na poslovne subjekteveliki Prihajajo s strani zahtev regulative zakonodaje varnosti standardov nadzorakontrol konkurence itd Odražajo se v vrednostnih pogajalcih za PS kot soohranjanje rasti stroški in učinkovitost načrtna razdelitev kapitala in prioritetno sejim pridružuje upravljanje s tveganji torej investiranje v varnost Ključna tveganja vteh transformacijah so tako strateška kot procesna Sem sodijo informacijski sistemi(IS) infrastruktura tehnologija stranke partnerji konkurenca in intelektualni kapital -človeški viri itd Vsako od omenjenih tveganj je sicer možno omiliti ali odpravitivendar je potreben holistični pristop standardizacija privzemanje kulture tveganjpotrebno je kreirati program upravljanja tveganj program varnosti vpeljatiupravljanje znanj integralna orodja za tveganja orodja za analize scenarijev insimulacij uvesti nove discipline in metrike ter dobro prakso In kakšna je potem cenavarnosti Ni univerzalnih navodil ni garancij za uspeh ker v globalnem svetunenehno nastajajo nova tveganja V mreži poslovnih verig so medsebojno odvisna Vnadaljevanju je nakazano strukturno razumevanje oziroma pristop k upravljanjutveganj informacijske tehnologije (IT) kot podpore IS-mu in procesom v poslovnihsistemih ne glede na to kateri industriji poslovni subjekt pripada
V področje upravljanja s tveganji IT (UT-IT) vsekakor spadajo informacijski sistemi[1] IT viri procesi projekti in druge danosti ter kategorije povezane z IT Področjezajema vsa operativna tveganja kot posledice Človeških in tehnoloških napak Jeizjemno široko kompleksno interdisciplinarne narave s poudarkom na ustreznemrazumevanju konceptov z več področij (varnost tveganja nadzor (revizije)neprekinjeno poslovanje) Izhodišče so informacije ki jih podpira IS kateregaomogoča informacijska tehnologija v vsaki organizaciji Informacije potrebujejoanalizo tako domene IS kot poslovne domene Informacije so vitalen vir vsakeposlovne enote zato so tudi tarča napadov z različnimi motivi in vplivi na poslovanjeUT-IT tako zajema uporabnike IT organizacijo IT in njeno dejavnost kot storitevkončnim uporabnikom
IT organizacija mora biti ustrezno organizirana da zagotavljaposlanstvo varnosti učinkovitosti IS in dostavo storitev Zato imavarnost v organizacijah več oblik Odvisne so ena od druge inpredstavljalo celotno varnost (fizičnondashtehnično varnost in upravljalnisistem informacijske varnosti)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 26
Napredno vzdrževanje strojne opreme Učno gradivo
Pogled na strukturo IT organizacije je priporočljiv z več vidikov in dimenzijPredstava v prostoru je znana IT raquokockalaquo Med IT vire pa na splošno opredeljujemo
- ljudi- aplikacije- tehnologijo- podatke- Podporo-
Taka struktura je pomembna za odpravljanje tveganj v IT organizacijah namrečzajema tako procese kot več disciplin in upravljanje dejavnosti IT organizacije S temdemonstriramo funkcionalnost ki zagotavlja kvalitetno storitev IT Taka strukturaomogoča boljšo dostavljivost IT rešitev kar pomeni učinkovitost IS in zmanjšanjedoločenih tveganj med njimi tudi usklajevanje poslovnih ciljev najvišjega vodstva zIT
Ker izhajamo iz informacije poglejmo njene lastnosti Glavni kriteriji za ocenjevanjeso zaupnost integriteta in razpoložljivost Metoda UT-IT pa je skupni imenovalec zaanalizo neprekinjenemu poslovanju [4] projektnemu vodenju [5] drugim disciplinamin revizijam ter informacijskim varnostnim tveganjem Tveganja iz naslovainformacijske varnosti lahko do določene stopnje primerjamo s kontrolami [6] S tegavidika kontrole zmanjšujejo tveganja in so povezane z revizijami (notranjimi inzunanjimi) Pri tem se opirajo na preglede v katerih se ugotavljajo primernost inskladnost varnostne arhitekture ter učinkovitosti izvajanja upravljanja tveganjTudi odločitve običajno temeljijo na informacijah če so informacije mehke pride doizraza večja negotovost in odločitve ki se sprejemajo lahko pripeljejo do usodnihdogodkov v katerih se tveganja uresničijo in nastajajo izgube v poslovanjuDefinicij informacije je precej Velja da je to vir vsakega poslovnega subjekta Takopridemo do vrednosti informacije kot vseh drugih vitalnih vrednih virov v poslovnemsistemu Prav neustrezno ravnanje z informacijami povzroča velika tveganja ininformacijsko nestabilnost Dejstvo je da se mora v digitalni ekonomiji in globalnemsvetu poleg socialne finančne in ekonomske stabilnosti upoštevati tudi informacijska
Pri poslovanju so vsekakor pomembni procesi ki so predmet obravnave na področjuupravljanja tveganj IT Tako UT-IT opredeljuje in zajema tudi operativna tveganja Izpraktičnega vidika je v poslovnem sistemu veliko procesov ki se nadalje delijo napodprocese in aktivnosti temeljni in podporni Toda vsi morajo biti raquooptimalnilaquovodeni in nadzorovani Precej kompleksnosti naraste v informacijskem sistemu ki gapodpirata informacijska in telekomunikacijska tehnologija Zato je za področje UT-ITsmiselno uporabiti okvir COBIT Ta standard se lahko uspešno privzame tudi pri samiorganiziranosti in definiciji procesov v organizacijah ITUT-IT je prav tako proces v katerem se proučuje in obravnava IS-me Sem spadajotudi nevarnosti ki pretijo poslovnemu sitemu IS-mu IT organizaciji njeni storitveni
dejavnosti torej vsem virom v sistemu kakor tudi drugim poslovnim subjektom vposlovni verigi V njej so tehnološke razdalje med subjekti izjemno ranljive saj nasvoji poti informacije doživljajo spremembe procesi v katerih se to dogaja pa so semorali razširiti izven okolja posamezne organizacije ali PS Pot je posejana z
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 27
Napredno vzdrževanje strojne opreme Učno gradivo
nevarnostmi različnih izvorov tako da se tudi tveganja in njihovi vplivi na poslovanjeodražajo z različnimi učinki Poglablja se tveganje e-poslovanja gre za takoimenovana e-tveganja Biti brez varnosti v realnem času in hitre odzivne funkcije natveganja ter nepredvidene dogodke je lahko za poslovanje silno usodno Zatoobstajajo različne strategije orodja in načini za zdravljenje tveganj ki skupajpredstavljajo obrambne mehanizme organizacije Pri tem je pomembno zavedanje inizobraževanje ter neprestano usposabljanje strokovnjakov na teh področjihOperativna tveganja so izrazito povezana z internimi procesi in jih posamezneindustrije že obravnavajo vsekakor pa jih bo morala vpeljati finančna industrija zlastiban1048830ni sektor ki bo moral biti skladen z Baselskim II standardom in EU (CAD)direktivami Standard namreč zajema potencialne izgube tudi iz naslova operativnihtveganj ne glede na interne ali zunanje dejavnike Osredotočen je na objavopotencialnih izgub za vse poslovne linije organizacije po določeni strukturi poročanjaglede kapitalske ustreznostiKo pogledamo v bančni sektor je osnovni namen obvladovanja inupravljanja s tveganji v bankah zagotavljanje njene plačilnesposobnosti Med različnimi načini za uresničevanje tega cilja je naprvem mestu institut minimalnega kapitala in zagotavljanje potrebnekapitalske ustreznosti banke o katerem govori Basel IIDelež kapitala v celotni bilančni vsoti je pri bankah mnogo manjši kot pri drugihorganizacijah in podjetjih Tudi njegova funkcija je drugačna Kot najpomembnejšafunkcija bančnega kapitala se ponavadi navaja zaščita vlagateljev Bančni kapitalpoleg tega omogoča nadzornim institucijam omejevati obseg tveganih dejavnosti bankin hkrati omogoča banki financiranje njenih osnovnih sredstev Ker so upniki bankmnožice posameznikov ki imajo pri teh bankah praviloma vloge na vpogled alikratkoročno vezane vloge in ker je takrat ko banka postane nelikvidna ponavadi žeprepozno saj je takrat banka praviloma že nesolventna je velikost bančnega kapitalajavna zadeva
Filozofija današnje bančne regulative je dopustiti zdravo konkurenco med bankami inhkrati zagotoviti njihovo disciplino prek predpisovanja minimalnih kapitalskih zahtevBaselski standardi so vplivali na oblikovanje evropskih smernic za banke Polegstandardizirane metodologije za računanje potrebnega kapitala za pokrivanjeomenjenih tveganj so navedeni potrebni pogoji za uporabo internih modelov bank zamerjenje tveganj med njimi operativno tveganje (uporabniki IT in IT organizacij)
Obseg in narava tveganj s katerima se srečujejo banke sta odvisni od narave njihovihposlov Pri tradicionalnih bančnih poslih (dajanje posojil iz prejetih depozitov) se kotglavna tveganja pojavljajo kreditno tveganje (tveganje dolžnikove nezmožnosti alinepripravljenosti izpolniti obveznosti iz naslova kreditne pogodbe) tržnolikvidnostno tveganje (tveganje da banka v določenem trenutku ne more poravnativseh svojih dospelih plačilnih obveznosti) tveganje spremembe obrestne mere(tveganje da bo postala pogodbeno določena obrestna mera drugačna od tržne in dabo banka utrpela izgubo iz tega naslova) ter operacijsko tveganje (tveganje ki mu jebanka izpostavljena zaradi možnih človeških napak torej internih procesov napaktehnologije in zunanjih dejavnikov (gre tudi za prevare poneverbe pranje denarjaoperativne izgube pravne ter druge stroške ki jih banka nosi v primeru njihoveganastanka)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 28
Napredno vzdrževanje strojne opreme Učno gradivo
Z bankami so povezani poslovni subjekti in vsi morajo zagotavljati varno poslovanjeTveganja so precejšnja saj vsi PS ne morejo zagotavljati enako učinkovitihprotiukrepov in varnostnih mer Pogljablja se tudi STP e-poslovanje nastajajo eskupnostiIS-mi se pogovarjajo med seboj brezžične komunikacije nujno jeprivzemanje standardov in različice XML protokola vse različne storitve potrebujejoUT-IT Področje je v razmahu in lastniki ter nadzorni sveti bodo moralikontrolirati operativne izgube in učinkovitost IS NS bodo imeli vlogo potrditvestrategij UT-IT uprave oz vodstva pa bodo morali dokazati skladnost s standardi inmetodami
Primerov storitev ki jih lahko obsega napredno vzdrževanje strojne opreme v UT-IT
spremljanje tehnoloških novosti povezanih z vzdrževano opremo ter priprava predlogov in ukrepov za nemoteno delovanje oz izboljšanje njenega delovanja
zamenjava delov strojne opreme
namestitev varnostnih popravkov na strežniško infrastrukturo
namestitev varnostnih popravkov na delovne postaje in prenosnike
periodično preventivno vzdrževanje strojne opreme
dokumentiranje storitev vzdrževanja
popravilo in odstranitev vseh pomanjkljivosti odkritih med preventivnim pregledom
pomoč sistemskim administratorjem in uporabnikom odgovori na vprašanja in svetovanje glede uporabe vzdrževane infrastrukturne opreme na lokaciji naročnika oz uporabnika
izredni kontrolni nadzor nad delovanjem infrastrukturne opreme po dogovoru z naročnikom
nadgradnja strežnikov delovnih postaj in prenosnih računalnikov
nadgradnja komunikacijske opreme
daljinska pomoč preko telefona elektronske pošte faksa ali daljinskega dostopa pri reševanju problemov uporabnikov odgovori na vprašanja in svetovanje glede uporabe vzdrževane strojne opreme
Osnovno popraviloStrokovnjak bo preveril delovanje računalnika opredelil napako in jo odpravil V to storitev se uvršča odprava manjših napak na računalniku
Storitev vsebuje diagnostiko težave in njeno odpravo v primeru da gre za manjšo napako Med manjše napake sodi ponovna namestitev gonilnikov popravilo napačnih nastavitev v programski opremi ponovna namestitev programov itd
V primeru da sestavljamo ob nakupu nov računalnik z dodatno opremo moramo poskrbeti da bomo da za nakup dobili najboljšo ponudbo računalnika ali računalniške opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 29
Napredno vzdrževanje strojne opreme Učno gradivo
Pri sestavi sistema bomo upoštevali vaše potrebe ter dosegli najboljše razmerje med ceno in zmogljivostjo Poudarek je na individualnem svetovanju katerega namen je kar najbolje poskrbeti za želje uporabnika V ta sklop sodi poleg svetovanja za nakup računalnika tudi svetovanje o ostalih perifernih napravah (tiskalniki usmerjevalniki itd)
Pristop k osnovanju UT-IT
Težko je odgovoriti ali se odzvati na vsa tveganja brez ustreznega znanja Splošnoznano je tudi da se iz podatkov procesirajo informacije in iz njih znanje ki ga jesmiselno takoj uporabiti Gre za znanje poslovnega subjekta v celoti in nekateraspecialna znanja za katera je potrebno zagotoviti da so v pravilnem kontekstu in napravem mestu Upravljanje znanj (UZ) ima lahko odločilno vlogo pri strategiji zavpeljavo področja upravljanja tveganj IT v vsakodnevnem poslovanju UZ zmanjšaraquokorporacijskolaquo izpostavljenost tveganjem Zato je pametno zbrati vse ustrezneinformacije strukturirati znanje v kontekst ali okvir v katerega bodo vnesene vsebinepotrebne za UT-IT Kreiranje portala in repositorija za upravljanje tveganjopredeljujemo kot podporno infrastrukturo področju V repositoriju sopredefinirane strukture Zaposlenim so na voljo v obliki zemljevidov raquomaplaquo kikažejo na vsebine in povezave med njimi ter omogočajo polnjenje vsebin Pridoločanju vsebin lahko sodelujejo vsi želeno je da se v organizaciji na področjutveganj in varnosti ustvarja intelektualni potencialUpravljanje
Tveganj IT5Varnost
Metoda je opredeljena kot množica korakov (algoritem ali navodilo) uporabljenih zaizvršitev naloge (dela posla) Metodologija je nekako širši pojem in predstavljamnožico orodij lahko raziskovalne metode ali razlago teorije vodenja v vodstvenoprakso Torej metodologija organizira teorijo v nekaj razumljivega Ker je na voljo večpristopov metodologij in metod pri upravljanju tveganj bi torej metodologijopredstavljalo orodje za podporo odločitvenim sistemom iz področja UT-IT Tehnik inmetod je dejansko več katere bomo uporabili za različna področja in položaje toterja tehtni premislek
Slika 4 Zunanji disk WD Passport (klikni na sliko
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 30
Napredno vzdrževanje strojne opreme Učno gradivo
V glavnem so osnovane na točkovnih in statističnih metodah kvalitativni inkvantitativni tehniki Znana je enačba tveganj ALE (letnih pričakovanih izgub)Smiselno pa je privzeti metodo standarda BS7799 [10] ali ISO17799 za informacijskovarnost Smiselno je da bi vse industrije prevzele standard PSIST7799 (prevod) kivelja v državi od 13 6 2000 za bančni sektor (z dopolnitvami)Poslovni subjekti lahko uporabljajo lastno razvite tehnike in tehnologije zaidentifikacijo in analizo tveganj Za različne poslovne procese kot so vodenjesprememb združevanja in prevzemi raquocorporate governancelaquo strateško planiranje invrednotenje lahko privzete kvalitativne ali kvantitativne identifikacije tveganj inanalitske tehnike dodajo značilno vrednost za različne poslovne položaje in področjaUveljavljajo se metode analize scenarijev in raquoscorecardslaquo ter druge statistične metoderazne simulacije (Monte Carlo) itdTipično je da se simulacijski modeli uporabljajo za odločitve o sestavi realnihsistemov in za odločitve o politiki in postopkih ki jih uporabljamo pri delovanjurealnih sistemov Simulacija pomaga pri določanju sestave politike in postopkov vnegotovih torej tveganih pogojih okolja sistema Manager poskuša z modelom kotnadomestkom za realni sistem z uporabo različnih vhodnih podatkov in postopkovdoseči na osnovi dobljenih rezultatov pri simulaciji lažje odločanje pri vodenjurealnega sistema Vendar mora biti pri tem pazljiv in rezultatov dobljenih ssimulacijo ne more kratkomalo prenašati v realni svet Model in simulacija lahkopomagata bolje spoznati delovanje realnega sistema ne moreta pa zagotoviti raquopraveizbirelaquo za realni sistem Pri upravljanju tveganj IT lahko preveč subjektivne ocenepovzročajo nova tveganja predvsem na področju zunanjih virov (outsourcinga) invodenja pogodbZa UT-IT je na voljo dovolj modelov orodij programov in vzorcev ki jih lahkouporabimo v svojem poslovnem okolju Priporoljivo je da vsak poslovni subjektkreira sebi ustrezen model glede na specifiko vendar mora izvajati ovrednotenje da jeskladen s standardi in regulativo Standardi so uveljavljeni in nudijo dovolj velik okvirza njihovo privzemanje in funkcijo uporabe
Pregledni model UT-ITV podporo modelu UT-IT je že potreben omenjeni portal kot rezultat procesov priupravljanju znanj in repositorij kjer se shranjujejo potrebne vsebine in nastaja bazaznanja o dogodkih in tveganjih ter obrambnih mehanizmih Portal služi tudi zaizobraževanje Vsebine predstavljajo sezname in infostrukture od standardov doobrazcev ki se uporabljajo v posameznih fazah ali procesih analize in v obravnavanjutveganj Zbrani so tudi vsi principi zakonodaja politike procedure metrika procesiin tokovi informacij kakor tudi vnos v register tveganj zajem nevarnosti popis vsehkontrol varnostni mehanizmi in seznam protiukrepov vse to za dogodke in scenarijeki se lahko ali so se že zgodiliZa področje UT-IT se kreirajo smernice za posamezne entitete ali subjekte ki sovključeni kot participatorji ter navodila kako se izvajajo aktivnosti Učinkovitost sedoseže s poprej določenimi infostrukturami standardizacijo in povezavami medpodročji ter odnosi med entitetami ali objekti ki tvorijo sistem upravljanja tveganj IT
Kreiranje konteksta ali takšnega okvira je možno ker so v glavnem poznane vsestrukture in gradniki UT-IT in želenega sistema varnosti Dovolj predlog je že naInternetu zato je smiselno področje pregledati in izbrati želene infostrukture Posebnerazlage niso potrebne UT-IT se odvija po projektnih principih s skupinami ki so
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 31
Napredno vzdrževanje strojne opreme Učno gradivo
strokovne na svojih področjih Prav tako se v skupinah (samovodljivo) ocenjujejotveganja in definirajo strategije rešitev za identificirana tveganjaPodročje UT-IT je lahko služba ki je neodvisna in samostojna organizacijska enota v vrhu vodstva organizacijeIZVAJANJEOKVIRKaj kako s 1048830i
- Komunikacijski krogi
Bistven gradnik UT-IT predstavljajo komunikacijski krogi (KK) med področji inodgovornimi ali delegiranimi sodelavci po poslovnih linijah Le-ti predstavljajo raquokomunikatorje tveganjalaquo ki so povezani prek sistema zgodnjega opozarjanja inizvajajo vnos dogodkov ter podatkov za analize tveganj in ocenjevanje vpliva naposlovanje Izkušena skupina določi tudi ustrezne protiukrepe in varnostne mere ter jihposreduje lastnikom tveganj Ti s strokovnjaki za posamezna področja pripravijostrategijo rešitve in jo predstavijo (kot zagovor) odgovornim za področja da se posoglasju lahko izvedejo Področje UT-IT spremlja in spet ocenjuje učinke terrezidualna tveganja Zaradi narave tveganj in inherentnih tveganj IT so tovsakodnevne aktivnosti upravljanje tveganj in varnosti pa je vodstvena funkcijaObstaja še pomembna lastnost in specifika da področja varnosti in tveganj pripadajovsem zaposlenem v organizaciji zato so komunikacijski krogi in pravočasnoinformiranje nujniZa operacijsko kvaliteto v organizaciji je potrebno definirati oz določiti dimenzijo vkateri se meri kvaliteta Značilne so tri dimenzije (kriteriji)
- primernost in funkcionalnost- varnost in zanesljivost- razpoložljivost in dostopnost
- Metrike
-Tveganje je objektivizirane negotovosti glede na možnost pojavitve nezaželenegadogodka merjenje negotovosti in negotovosti izgube Negotovost nastane zaradipomanjkanja informacij o nekdanjih sedanjosti in prihodnjih dogodkih vrednostih inpogojih Ne glede na različne stopnje negotovosti je osnova koncepta negotovosti vpomanjkanju informacij o delih sistema ki ga obravnavamo ali opazujemo Zmanjšanje tveganj mora biti motiv za organizacijo Zmanjšanjestopnje negotovosti je korak k opredelitvi kaj je lahko narejeno zazmanjšanje izpostavljanju tveganj Kakšno metriko uporabimo jeodvisno od tega kaj želimo meriti obravnavati spremljati izboljšatiitdOceniti tveganje pomeni ovrednotiti koliko lahko prenesemo oz izgubimo če seneljubi dogodek zgodi in pri tem izgubimo npr kar posedujemo Ali predstavlja to zanas vrednost in kako pogosto se ti dogodki pojavljajo so začetna razmišljanja ko greza tveganja in reakcije na njihLahko trdimo da je tveganje vedno ocenjeno z analizo scenarijev kar pomenivrednotiti možne izgube in frekvenco verjetnosti možne škode Toda v kakšnemobsegu in po katerih predvidevanjih Vsekakor je pri ocenjevanju tveganj medkvalitativno in kvantitativno analizo razlika Smiselno je obravnavanje analizetveganj Še tako dobro zastavljena varnostna politika brez izvajanja in kontrole ne
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 32
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
1 Uvod
Računalniki so že zdavnaj postali nepogrešljiv sestavni del poslovanja podjetij Težave z računalniško opremo doma v podjetju šoli povzročajo stroške zato je zanje potrebno ustrezno poskrbeti Napredno vzdrževanje strojne opreme posveča posebno pozornost potrebam majhnih in srednjih podjetij saj je vse večji del vašega poslovanja odvisen od informacijskih tehnologijV praksi se srečujemo z dvema vrstama vzdrževanja in sicer vzdrževanje na klic in pogodbeno vzdrževanje Prvo deluje tako da pokličemo ko gre kaj narobe in napake odpravimo v skladu z našim cenikom pri pogodbenim vzdrževanju pa za vas poskrbimo bolj celovito Pogodbeno vzdrževanje vam prinaša kratke odzivne čase ter roke popravila dosegljivost strokovnjakov ne glede na čas
manjše in pregledne stroške
preventivne preglede katerih namen je pravočasno odkrivanje težav preden se te razvijejo v večje okvare
varnost vaših podatkov
po potrebi nadomestno opremo za nemoteno delo
Ker ima vsako podjetje različne potrebe in izzive je pred podpisom pogodbe potreben natančen ogled opreme na vaši lokaciji na podlagi katerega nato skupaj določimo najbolj primerno obliko sodelovanja Glede brezplačni obisk strokovnjakov se potem rešujejo problemi na strojni opremi
Danes lahko izbiramo izmed ponudnikov strojne opreme veliko proizvodov ki so napredni in tehnološko zmogljivejši
V programu računalnikar je predmet napredno vzdrževanje strojne opreme pomemben del pedagoškega izobraževanja za dijaka
Širina znanja o strojni opremi je seveda kot pri programski opremi zelo široka vendar te znanja dijak lahko pridobi tekom predmeta ali kot interdisciplinarno povezovanje z ostalimi predmeti Menim da je program računalnikar v sozvočju z ostalimi dosedanjimi predmeti primeren za končni produkt programa in opravljenega izpita
Strojne opreme se lahko lotimo z svojo gorečnostjo tako da se jo strokovno lotimo po posameznih modulih M8 - je samo eden izmed njih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 6
Napredno vzdrževanje strojne opreme Učno gradivo
Vpeljani pojmi
Strojna oprema ndash pojem oz področje računalnika združene strojne opreme v nekem zaprtem ohišju modulu ki predstavlja osnovne komponente za primerno delovanje računalnika
Napredno vzdrževanje ndash pojem oz imenovanje vseh vrst pilotskih projektov za izdelavo ali izboljšanje obstoječe strojne opreme matične plošče procesorja vh-izh enot ipd
Vprašanja za ponavljanje
Kaj je to strojna oprema Katera je zastarela strojna oprema in katera napredna Kaj je procesor v matični plošči Napredna strojna oprem ima slogan delovati pomeni živeti Razloži
Razišči in opiši
Poišči vsaj štiri podjetja v Sloveniji ki se ukvarjajo z prodajo strojne opreme Naredi programu Power Point zgradbo svojega osebnega računalnika Katere strokovne revije o računalništvu bi prebral če bi želel izvedeti največ o
napredni strojni računalniški opremi
Spletne povezave virov
Rado Westerbach Informatika učbenik 2009 - Gimnazija Jesenice
httpwwwnauksiračunalništvo za srednje šole
Google httpwwwgooglecom
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 7
Napredno vzdrževanje strojne opreme Učno gradivo
Spletni portal httpwwwpraktiksi
httpwwworiacom
httpwwwibmcom
httpwwwhpcom
Spletna revija COMPUTER WEEKLY ndash VB httpwwwcomputerweeklycomhome
Spletna revija COMPUTERWorld ndash ZDA httpwwwcomputerworldcom
2 Strojna oprema
Beseda strojna oprema izvira bolj iz besednjaka ko popravljamo avtomobil ali dele vrtne opreme vendar je pri tem predmetu to mišljeno predvsem celotno hardwear besedoslovje ki vključuje pojme kot so matična plošča procesor vhodne izhodne enote pomnilnik ohišje delovni pomnilnik ipd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 8
Napredno vzdrževanje strojne opreme Učno gradivo
Z računalniško strojno opremo smo si pripravljeni spremeniti navade odnos življenje Zatorej širimo znanje o kakem prenosu podatka ali odnosu v družbi V dobi informacijskega veka smo za primerne informacije pripravljeni kupiti najnovejšo strojno opremo za veliko denarja V hitrem informacijskem svetu hitro hitrejšo takoj napredno strojno opremo brez komunikacije in sistemov opreme ne moremo uporabiti kot pa so jo to sredi prejšnjega stoletja
Strojna oprema še posebno napredna se razvija iz dneva v dan vse bolj in bolj in vpliva na sodobnega človeka neposredno
21 Prednosti sodobne strojne opreme
Kvalitetna strojna oprema omogoča delo na različnih družbenih področjih kot so
Medicinska strojna oprema
Poslovna in zavarovalniška strojna oprema (delniško poslovanje- Wall Street Bančni poslovni inf sistemiipd)
Robotika
Prostorska in geodetska strojna oprema
Bio-informatika
Napredna izvedba strojne opreme za potrebe Outsourcinga raquood-zunajlaquo
Strojna oprema državni upravi
Strojna oprema namenjena za uporabo zahtevnih raziskav na terenu nemogočih tehničnih pogojev v delovnih okoljih (NASA SHELL FBI ipd)
Zabavna strojna oprema (računalniške igrice z svojo opremo Walt Disney Animirani filmi ipd)
Razpis za izbiro proizvajalcev dobaviteljev in izvajalcev napredne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 9
Napredno vzdrževanje strojne opreme Učno gradivo
Postopek izbiranja je zakonsko opredeljen Seveda kot računalničar ni toliko bistveno zakonsko stališče kot le pravila in izkušnje
A) Pomembno je izbiranje usposobljenih dobaviteljevB) Končno izbiranje proizvajalcev dobaviteljev in izvajalcev
Pri napredni izbiri strojne opreme moramo razlikovati proizvajalce dobavitelje in izvajalce vzpostavljanja komunikacijske infrastrukture Poleg strokovnih in finančnih ter časovnih lastnostih izbire ima vedno večjo težo ponudba napredne strojne opreme Ker želimo ponavadi že na določeno strojno opremo da opremo inštalira isto podjetje ponavadi izberemo ustrezno podjetje ki ponuja nadgradnjo le omenjene
22 Izvedbena faza projekta zamenjave strojne opreme
Tukaj govorimo o fizičnem postavljanju omrežja in strojne namestitve Prvi korak v tej smeri je podpis pogodbe z izbranim dobaviteljem napredne strojne opreme Zavedati se moramo da računalniška strojna oprema predstavlja hrbtenico kompleksnega porazdeljenega sistema zato je priporočljivo da kupec in dobavitelj podrobno opredelita želeno napredno strojno opremo inštalacije oz namestitve testiranje strojne opreme prevzemanje komunikacijske infrastrukture Upoštevati moramo naslednje vprašanja
Kako ugotavljamo ustreznost opreme
Kako ugotavljamo zmogljivost opreme
Kaj pomeni dobaviti določeno opremo
Kako bomo upoštevali zunanje faktorje ki vplivajo na potek izvedbe napredne strojne opreme
23 Količinski prevzem
Potrdi da je dobavitelj fizično dostavil strojno opremo opredeljeno s pogodbo Smiselno je da je naročnik za dobavljeno opremo sprejel le tisto ki je inštalirana na vnaprej opredeljeni lokaciji Inštalacija mora potrditi osnovno lokalno funkcionalnost strojne opreme Kot primer
na določeni lokaciji se nahaja usmerjevalnik z ustrezno linijsko opremo (konvertorji modemi monitorji ipd) ki je priključena na napajanje in prenosne medije Ker je računalniško
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 10
Napredno vzdrževanje strojne opreme Učno gradivo
omrežje kompleksen sistem je potrebno potrditi vsebinsko in funkcionalno ustreznost količinsko prevzete opreme Pogodba mora predpisovati način in pogoje testiranja ustreznosti opreme Običajno priv test napredne strojne opreme opravi naročnik ki lahko ugotovi nepravilnosti ki jih mora dobavitelj odpraviti in se izvajajo vsi naslednji testi na račun dobavitelja Ta predhodni korak prevzemanja zagotovita da oprema količinsko in funkcionalno ustreza naročeni strojni opremi
Preverjanje povezljivosti strojne opreme je proces nastavitve sistemskih parametrov za predvideni način delovanja in testiranja kompatibilnosti lokalne infrastrukture z okolico
Za izvedbo testa strojne opreme je potrebna primerna strojna računalniška oprema
24 Pilotna faza
Pilotna faza je namenjena preverjanju že nameščene strojne opreme kot celote s poudarkom na analizi zmogljivosti napredne strojne opreme saj je konformnost preverjena že v prejšnjih fazah
Pogosto se zgodi da zaradi različnih objektivnih razlogov projekta ni mogoče namestiti v dogovorjenem roku Razlog je lahko primer da za določeno lokacijo ne moremo najti ustreznih prenosnih poti ob tem pa večina lokacij (npr delovnih strojnih postaj) že uspešno deluje V takem primeru bi bilo nesmiselno odlagati nadaljevanje vzpostavljanja hrbtenice to je pilotno fazo delovanja
Pilotna faza namestitve strojne opreme se torej lahko prične ko vse lokacije lokalno privzete in ko ugotovimo dogovorjeni odstotek pogojno prevzetih lokacij hrbtenice računalniškega omrežja
Pilotna faza ni opredeljena samo s testi ampak je njeno bistvo predvsem opazovanje in presojanje delovanja napredne strojne opreme v delovanju V tej fazi končni uporabniki npr dijaki še ne morejo pričakovati predpisane kvalitete in stabilnosti delovanja Pilotna faza se zaključi takrat ko ugotovimo da omrežje določen čas deluje s predvideno zmogljivostjo in razpoložljivostjo npr več kot 95
Prevzem celotnega računalniške strojne opreme pomeni da naročnik dobavitelju prizna izpolnitev vseh pogodbenih obveznosti in obratno Poleg tega pa je potrebno poskrbeti za
- vzpostavitev nadzora in upravljanja omrežja s strani naročnika- zagotavljanje vzdrževanja in servisiranja vzpostavljene infrastrukture- ustrezno podporo končnim uporabnikom
Z zaključkom te faze omrežje pride v produkcijsko fazo s katero se začne normalen življenjski cikel naprednega vzdrževanja strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 11
Napredno vzdrževanje strojne opreme Učno gradivo
25 Arhitektura strojnega sistema
1slikaarhitektura ohišja
Mehanizem odjemalec ndash strežnik
- Izpad odjemalca
Strežnik ki je ostal brez svojih odjemalcev ker so ti nehali delovati ali so nedosegljivi imenujemo sirota
Tak strežnik požira vire lastnega sistema kar pa še ni najhuje Več težav lahko povzroči zmeda ki nastopi v vrstah odjemalcev ki se ponovno vzpostavljajo in dobivajo od strežnika odgovore na svoje zahteve iz časa pred izpadom Teh zahtev se namreč ne raquospominjajolaquo in ne vedo kako naj interpretirajo odgovore
Za reševanje take situacije pri naprednem vzdrževanju strojne opreme poznamo nekaj situacij
- Iztrebljanje je dokaj drakonska strategija takoj ko se odjemalec ndash roditelj procesa ponovno zavre samega sebe strežniku naroči da naj razvrednoti vse njegove morebitne procese Algoritem mora teči ker lahko najdemo v primeru pogostih izpadov na strežniku tudi procese posameznih zahtev
- Reinkarnacija je tretja strategija Odjemalec razseka čas v zaporedne intervale imenovane epohe Če odjemalcu po metodi iztrebljanja ni uspelo ubiti vseh svojih zahtev ndash procesov lahko oznani vsem strežnikom začetek novega obdobja Strežniki uničijo vse tiste zahteve ki ne sodijo v sedanjo uporabo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 12
Napredno vzdrževanje strojne opreme Učno gradivo
26 Lociranje strežnikov
V praksi nameščanja nadomestne strojne opreme je imenski strežnik tisti ki vodi evidenco o vseh ostalih strežnikih Odjemalec se s svojim problemom obrne na imenski strežnik in mu ta predlaga izvajalca Imenski strežniki se uporabljajo za izvedbo elektronske pošte
Ob namestitvi novega strežnika je potrebno ob njegovem obstoju obvestiti imenski strežnik Za to lahko poskrbi sama delovna postaja avtomatsko največkrat pa je potreben poseg vzdrževalca imenskega strežnika
Dostikrat odjemalec želi ugotoviti kateri strežnik je najbolj primeren za izvršitev njegove zahteve
27 Specifikacije in testiranje protokolov
S problemi testiranja komunikacijskih protokolov se soočamo v napredni strojni opremi že od začetkov povezovanja računalniških sistemov v omrežja Področje analize in testiranja komunikacijskih protokolov se je uvrstilo v okvire implementacije komunikacijskega procesa
Izvedba protokola je porazdeljen sistem v katerem ima vsak proces določeno stopnjo lokalne avtonomije in na nek način interakcije z okolico
- Informacijske storitve sistemov
Osnovni namen informacijsko komunikacijskih sistemov je nudenje svojih posrednih ali neposrednih storitev uporabnikov
Med standardne storitve sodijo na primer različne izvedbe računalniško podprtih omrežnih informacijskih sistemov z bolj ali manj decentraliziranimi elementi O splošnih lastnostih teh storitev velja da v vseh operacijskih sistemih podpirajo standardne storitve kjer se stikata lokalni uporabnik računalnik ndash odjemalec in virtualna naprava strežnik
28 Varnost strojne opreme
Varnost nadgradnje strojne opreme je zelo obsežen pojem zato ga je potrebno skrbno prestrukturirati Zanesljivost sistema dosežemo predvsem s skrbnim načrtovanjem nadzorom in upravljanjem sistema Pri tem imata pomembno vlogo organiziranost poslovanja in
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 13
Napredno vzdrževanje strojne opreme Učno gradivo
usposobljenost uporabnikov To področje je izredno široko in ga na tem mestu ne bomo obravnavali saj predstavlja samostojno disciplino sistemskega inženiringa
Zaščita sistema opazujemo z dveh osnovnih zornih kotov
- zaščita na nivoju končnih računalnikov ndash lokalna zaščita- zaščita ki je potrebna zaradi narave decentraliziranih sistemov ndash decentralizirana
zaščita
Iz vsakdanjega življenja vsi poznamo primere v katerih nam zelo veliko pove že dejstvo da vemo med katerimi ljudmi v določenem trenutku poteka komuniciranje ne glede na to da same vsebine ne moremo razbrati Ravno tako v primeru da razpoznamo da strojna oprema pri zagotavljanju kakovostnega komunikacijskega delovanja ne deluje jo nadomestimo z nadgradnjo
29 Odkrivanje napak
Pri uporabi in delovanju strojne opreme pride do napak predvidoma na prenosnih medijih kjer se lahko dogajajo napake Najpreprostejši način je odkrivanje napak v okviru nameščene strojne opreme v kontroli maske kjer je strojna oprema evidentirana kot okolje Windows
Komercialne različice računalniške strojne opreme s skupinskih prenosnim medijem se je pričela tudi kot omrežje
a) brezžičnoJe tisto ki je kot prenosni medij fizično opredeljivo z radijskimi valovi ali svetlobo
b) mobilnoOmrežje ni nujno brezžično bistveno je da podpira selitve računalnikov
Kot primer lahko navedem kombinacijo klasičnega modema in brezžičnega telefona ki ga lahko napredno vzdržujemo preko modema priključenega na modem npr v hotelski sobi in ga preko te linije vstopamo v drug računalnik ki je v povezavi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 14
Napredno vzdrževanje strojne opreme Učno gradivo
2slika diagnostika
- Napredno vzdrževanje prenosnih medijev
Prenosni mediji niso le žice kot pogosto najprej pomislimo Pojem bomo nekoliko razširili saj ne smemo pozabiti na prenosne medije ki nimajo zveze z računalniškimi komunikacijami tičejo pa se računalniških informacijskih sistemov
Z vidika IKS-a je poznavanje prenosnih medijev zanimivo le v toliko kolikor različne oblike prenosnih medijev omogočajo zasnovo prenosnih kanalov z različnimi kapacitetami primernih za različne razdalje in različno ceno Njihova tehnologijama sodi v področja ki so razdeljena
- Koaksialni kabel- Brezžične povezave- Optično vlakno
Optična vlakna so danes najzanesljivejši prenosni medij Prevajajo svetlobne signale ki jih običajno vzbujamo z laserskimi napravami Signal med prenosom po optičnem mediju le malo oslabi Danes dosegamo 100 kilometrske prenose brez ponavlalnikov signala Kaj takega je po parici ali koaksialnemu kablu nedosegljivo Kapaciteta optičnega kanala 100 Mbits na omenjeni razdalji ni vprašljiva na krajših odsekih pa so na pohodu že kapacitete 100 Gbits
- Brezžične povezave
Med brezžične povezave prištevamo več skupin povezav ki so zasnovane na širjenju elektromagnetnega valovanja skozi prostor Tipične oblike so
- Radijske zemeljske povezave
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 15
Napredno vzdrževanje strojne opreme Učno gradivo
- Mikrovalovne usmerjenje povezave- Infrardeče povezave - Satelitske povezave
Poleg brezžičnih povezav spada v nepogrešljivo komunikacijo tudi telefonsko omrežje Vzdrževanje telefonskega omrežja ima dostop večine opisanih graditeljev računalniških omrežij
Pripravljalne faze naprednega vzdrževanja strojne opreme
- Identificirati pristopne točke pokvarjenih delov strojne opreme- Oceniti storitve pokvarljivosti strojne opreme- Oceniti vrednost investicije za namestitev strojne opreme ter infrastrukturo ki bo
zmogla ocenjene napake opredeliti in načrtovati grobe okvire nove infrastrukture- Zagotoviti vire financiranja nameščanja nove strojne opreme
To sicer ni tehničen problem vendar pa navadno predstavlja nepomembnejše in pogosto najzamudnejše opravilo z dokaj nepredvidljivim izidom
- Opredeliti osnovne izvedbe okvire izvedbe Ti so neodvisni od infrastrukture dinamike financiranja in drugih dejavnikov Že v okviru te faze projekta je potrebno vzpostaviti stike z nameščeno strojno opremo
Večina ljudi čuti naraven odpor do razstavljanja električnih naprav in to z razlogom Proizvajalci drugih naprav vedno svarijo naj jih uporabniki ne odpirajo sami Možnost električnega šoka je prisotna pri vsej strojni opremi Vsi računalniki ne sodijo mednje saj so narejeni tako da jih uporabnik lahko do neke mere sam priredi
Ko nameščamo napredno strojno opremo npr v ohišju moramo najprej izključiti vse napeve
Iz vtičnice potegnemo napajanje za računalnik in za vse naprave ki so nanj priključene Nikakor se namešča napredne strojne opreme dokler je vtikač v vtičnici Ne samo da to škoduje računalniku nevarno je tudi za samega vzdrževalca oz uporabnika
Ohišje je lupina v katero so nameščene komponente ki sestavljajo jedro računalnika Napajalnik (ang power supply) pa je naprava ki pretvarja standardno omrežno izmenično napetost v nižje enosmerne napetosti ki jih za delovanje potrebuje računalnik
Čeprav nekateri pravijo da je to smešno sodita ohišje in napajalnik popolnoma upravičeno na vrh seznama obveznih komponent Brez njiju ni nobenega računalnika Včasih sta drug z drugim neločljivo povezana čeprav raquohodita vsak svojo potlaquo Kakršna vrsta strojne opreme se najprej ugotovi po ohišju ki je pri namiznih računalnikih zelo razkošno V ohišju najdemo prostor za osnovno ploščo z potrebnimi komponentami trde diske različne vmesniške kartice
Hrupa ki je pri stojni opremi v računalniku se lotimo ko reže v ohišju skozi katere priteka zrak v računalnik in ventilator napajalnika povečamo Ko nameščamo napredno strojno
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 16
Napredno vzdrževanje strojne opreme Učno gradivo
opremo mora biti tudi ohišje na primernem zračnem mestu To sicer ne pomeni da moramo računalnik spraviti pod mizo vendar moramo poskrbeti za učinkovit zračni preskok
Ohišja namiznih računalnikov se lahko med seboj močno razlikujejo vsa pa so praviloma dokaj velika in vanje je že vgrajen napajalnik Vgrajeni napajalnik je pri namiznih računalnikih najmočnejši ne pa edini vir hrupa Za hrup je ponavadi kriv ventilator ki skrbi za hlajenje napajalnika ohišje pa velikokrat deluje kot kakšen resonator in hrup še veča
Pri napredni strojni opremi ohišja računalnikov razdelimo na tri skupine
- Plosko ohišje
Ima obliko kvadrata z največjo ploskvijo kot osnovno stranico Navadno ga postavimo na eno od stranskih stranic in tako simuliramo ohišje v obliki stolpa Na voljo je več izvedb ploskih ohišij Tako lahko izbiramo med večjimi in manjšimi ohišji ter med bolj in manj primernimi za odpiranje
- Kompaktni sistemi
Pri kompaktnih sistemih je klasično ohišje računalnika združeno z ohišjem monitorja vanj pa so pogosto vgrajeni še zvočniki in mikrofon Ves računalnik je praktično v enem kosu vanj nista le integrirana le tipkovnica in kazalna naprava Čeprav računalniki po kompaktnosti približujejo prenosnim računalnikom Se za stalno prenašanje vseeno nekoliko okrni Kompaktni sistem je prava izbira če računalniku ne želite nameniti več prostora kot ga potrebuje povprečen monitor ali če se vam prenosni računalniki ne zdijo primerni zaradi cene oz premajhne tipkovnice
- Ročni računalniki so strpani v najmanjša ohišja kar jih je To ni nič čudnega saj morajo biti tako majhni da jih je mogoče med uporabo držati v roki Po velikosti lahko računalnike primerjamo z nekoliko boljšimi računali
- Osnovne plošče
Računalnik je skupek komponent
Tako delimo strojno opremo znotraj ohišja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 17
Napredno vzdrževanje strojne opreme Učno gradivo
3 slika pri CD-ju in CD romu je možno popravljanje napak
Če nameščamo vse tiste komponente ki jih osnovne plošče vgradijo izdelovalci računalnika ali jih nanje namestijo sestavljavci računalnikov glede na želje uporabnikov ali želje kupcev
- Procesor
Kljub pomembnosti je procesor najbolj odgovorno in je pri naprednem vzdrževanju potrebno ločeno kupiti ali popraviti od osnovne plošče Na njej je podnožje kamor ga sestavljavec računalnika lahko zamenja ali nadomesti z bolj zmogljivim Izdelovalci plošč skrbijo da je posamezna osnovna plošča uporabna z celo družino procesorjev včasih celo z različnimi družinami Družine se seveda razlikujejo po oznakah Večina korporacij med strojno opremo še posebno v zadnjem času se razlikuje po hitrosti delovnega takta frekvenci prenosa in zmogljivosti
3 NAČRTOVANJE STROJNE OPREME
Načrtovanje strojne opreme lahko izbiramo ob nakupu primernih računalnikov s pomočjo svetovalca serviserja ali vzdrževalca informacijske opreme Uporabe računalnikov in posebnih programov v proizvodnji in arhitekturi postavitve linijskih proizvodnji procesov urejajo posebni programi CAD
Za izdelavo prevodnikov in polprevodnikov na matični plošči oz integriranih vezij lahko srečamo naslednje kovine
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 18
Napredno vzdrževanje strojne opreme Učno gradivo
Krom barij iridij svinec paladij tantal arzen berilij baker zlato kadmij
Pri gradnji informacijske opreme in sistemov na osnovi mikroprocesorjev potrebujemo dodatne elemente rečemo jim raquopodporni elementilaquo To so periferni adapterji časovna vezja DMA krmilniki množilniki frekvence ROM in RAM pomnilniki Na osnovi fizičnih diskov pa imamo povezave IDE ter SATA vmesnikov - RAID diskov v samem ohišju računalnika
V tem času je podjetje Intel še razvilo večjedrsko delitev v enem procesorju kar pomeni da si vsa jedra morajo deliti predpomnilnik dostopnost do pomnilnika ter usklajeno delovati in imeti povezave do ostalih elementov Procesorji s porabo in zmogljivostjo Teraflop že omogočajo prepoznavo govora obraza in rokopisa Hitrost zmogljivosti število jeder ter odvajanje toplote pri mikroprocesorjih se bo eksponentno povečevalo (Intel source view 2010)
Vprašanja za ponavljanje
Kaj je več jedrski procesor Kaj je to napredni RAM Razišči in opiši katera napredna strojna oprema je na slovenskem trgu
34 Napredni operacijski sistemi
V naprednih strojnih vodah je znana večja prepoznavnost Windows XP operacijskega sistema ki ga ob nakupu lahko nastavimo in kasneje enostavno vzdržujemo
Vgrajena orodja znotraj OS-a
Raziskovalec (computer managment ) Register Nadzorna plošča in spremljajoči programi ter nastavitve
Kot pri vsaki informacijski opremi je preventiva vedno najprimernejša
V OS Windows XP_Nadzorni plošči_Computer managment imamo vsa navodila in upravljanje z napakami in popravki tako programske opreme napake na trdih RAID diskov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 19
Napredno vzdrževanje strojne opreme Učno gradivo
namestitev gonilnikov starih verzij programske opreme sistemske in aplikativne napake ter odstranitev vseh uporabnikov ki niso več priključeni v informacijski sistem
Nameščanje in odmeščanje strojne opreme (gonilnikov matične plošče uporabnih vhodnih -izhodnih enot sistemske strojne opreme ter do končnega cilja namestitve Odmeščanje ali odstranitev strojne opreme pri napredni strojni opremi pa je v okolju Windows XP narejeno z posebnimi odnamestitvenimi programi istega proizvajalca oz operacijskega sistema v našem primeru preko Windows nadzorne plošče
Register ki beleži vse namestitve ter spremembe programov znotraj le-tega ima funkcijo spominanja zatorej mora računalnikar uporabiti zmogljiva vzdrževalna orodja ki pretekle namestitve strojne opreme pobrišejo veliko hitreje kot pa uporabnik
Zaščita strojne opreme na uporabniškem nivoju poteka preko dodatnih požarnih zidov z nekaj 1028 bitnim ključi in več V primeru povezav veš računalniških sistemov in mrež znotraj LAN-a imajo najnovejša strojna oprema že nameščene programe za požarni zid znotraj HW proizvoda
3 slika primer brezžične matične plošče
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 20
Napredno vzdrževanje strojne opreme Učno gradivo
i Navodila za izdelavo tehničnega poročila
Kakovostna in po navodilih nadrejenega vzdrževalca - računalnikarja morajo biti zapisana v točno določenem Word formatu z primernim oblikovanjem in zapisom
Struktura naj bo sledeča
Naslovnica
Na njej je logotip Ljudske Univerze Radovljica naziv predmeta ime in priimek dijaka (tehničnega poročila seminarske oz pogodbenika) ime in priimek mentorja mesec in leto izdelave
Povzetek
V nekaj stavkih se povzame vsebino tehničnega poročila seminarske naloge oz naprednega nameščanja strojne opreme
Kazalo vsebine
Je izdelano na podlagi uporabe slogov za naslove Nivoji naslovov naj dosegajo največ nivo 3 (123)
Kazalo slik
Slike ki so uporabljene v nalogi morajo imeti napise Kazalo slik je izdelano na podlagi uporabe sloga za napise (arial 8 pt)
Poglavje uvoda
V tem poglavju se na eni strani strne in izbere kratko in jedrnato uvodna misel avtorja Namen uvoda je da bralca seznani z postopoma brano tematiko v gradivu
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 21
Napredno vzdrževanje strojne opreme Učno gradivo
Ostala poglavja
Nato sledijo ostala poglavja kot si jih je zamislil dijak
Povzetek
V povzetku se na kratko povzame obravnavan tema in nakaže morebitne težave in priložnosti pri obravnavanju tematike
Literatura
Zaradi avtorskih pravic in nelegalnega kopiranja inovacij predvsem tehničnih izumov se vedno navaja vire in informacije od tam kjer je avtor napisal strojno pogodbo tehnično poročilo ali seminarsko nalogo
Literatura zavzema spletne naslove podjetij gradiv časopisov revij in knjižnih strokovnih knjig
-------------------------------------------------------------------------------------------------------
Velikost pisave je 12 ali 14Pt
Vrsta pisave je Times New Roman
Slogi napisov
Naslov 1 pisava Cambria velikost 14pik krepko
Naslov 2 pisava Cambria velikost 13 pik krepko
Naslov 3 pisava Cambria velikost 12 pik krepko
Jezik
V strokovno-znanstveni literaturi je uporaba knjižnega jezika in urejevalnika besedil smiselna V primeru da je prevod izraza v tujkah se v oklepaju navede vrsto tujega jezika in prevod Primer
RAM (ang Random Access Memory)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 22
Napredno vzdrževanje strojne opreme Učno gradivo
Obseg
Tehnično poročilo je predvideno do 4 strani v primeru modula M8
Vzdrževalna pogodba je kratka in po členih pravno definirana v obliki medsebojnega dogovora naprednega vzdrževanja strojne opreme ter lastnika zastarele strojne opreme
Seminarska naloga je definirana glede na temo ni vrsto seminarske zatorej je priporočljivo imeti navodila strani- obsega ob začetku pisanja
Vprašanja za ponavljanje
Kakšno je tehnično poročilo
Zakaj je strojna oprema potrebna naprednega vzdrževanja ob koncu leta
Kakšne vrste pogodb o namestitvi strojne opreme poznaš v IT-ju
Kako izgleda licenčna namestitev strojne opreme Glej primer HW podjetij ki uporabljajo strojno opremo IBMHPLogitech ipd
Spletni brskalniki
Glede na naravo dela in poznavanje novih strojnih namestitev ter naprednih oprem ki nastajajo v posameznih multunacionalnih laboratorijih in proizvodnih procesih mora računalnikar biti seznanjen z novimi produkti oz strojno opremo v sodobnem času
Uporabo dostopa do wwwgooglecom wwwhpcom wwwibmcom wwwapplecom mu omogočajo pri velikanski izbiri na trgu da poišče primerno opremo proizvajalca zamenjati določen zastarel že servisiran produkt mikroprocesor izh-enoto ipd
Za brskanje po spletu je važno da se spozna na prodajo in uporabo strojne opreme kot tudi posameznih enot Oprema ki jo bo vzdrževal ima neko serijsko številko oziroma namestitveno pogodbo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 23
Napredno vzdrževanje strojne opreme Učno gradivo
Diski in na njem zaupni podatki strojna oprema ponarejanje in zamenjava s slabšimi produkti dolgoročne ne vodi računalnikarja tako do osebnega kot tudi poslovnega uspeha Res je da je mnogo različno kakovostnih produktov strojne opreme na trgu vendar tudi zloraba pri naprednem servisiranju in vzdrževanju prinašata posledice
Računalnikar se bo na terenu srečeval z identitetami računalnikov podjetij organizacij ki so po svoji naravi različna
Kot primer navajam uporabniške skupine strojne opreme ki so privrženci za Apple ter uporabniki oz privrženci za IBM Vsi bodo hvalili in zagotavljali boljšo kvaliteto in kakovost svoje strojne opreme
Zatorej vedno v tehničnem poročilu navedemo stanje strojne opreme pred našim prihodom in po tem ko smo jo le-to vzdrževali
Tako se profesionalno in komunikacijsko obnašamo s stranko kot pravi računalnikar z veliko odgovornostjo
Napredno svetovanje in pomoč uporabnikom strojne opreme
Pri pomembnosti komunikacije s s stranko moramo torej uporabljati pravila profesionalnega vedenja do stranke
Analizirati učinkovitost obstoječe strojne opreme Svetovati napredne matične plošče procesorje vodila Upoštevati različne strojne zahteve glede na namembnost osebnega računalnika Upoštevamo pomembnost shranjevanja dokumentacije vsaj 4 leta
S stranko je važno da vedno komuniciramo prijazno spoštljivo in umirjeno Kot svetovalec oz napredni računalnikar si lahko informacije o strojni opremi izmenjujemo preko strokovnih forumov novičarskih fan-tehničnih skupin (Apple HP Microsoftipd) ali pa smo povezani preko help-desk podpore na lokalnem zaščitenem omrežju kjer odpravljamo napake na terenu takoj
Zelo pomembna je tudi hitra odzivnost hitro in natančno odpravljanje napak poštenost do stranke ter na koncu primerna cena napredne strojne opreme vzdrževanja
Vprašanja za ponavljanje
Kaj je to komplet čipov
Kaj je osveževanje podpisana pogodbe o strojni opremi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 24
Napredno vzdrževanje strojne opreme Učno gradivo
Kaj je to etičnost in morala pravočasne namestitve napredne strojne opreme
4 Tveganje pri upravljanju napredne strojne opreme
Ko izrečemo ali preberemo besedi raquotveganje upravljanja napredne strojne opremelaquo se ne zavedamo da je tveganje skrito že kar v prvi besedi raquoupravljanjelaquo Tisti ki so odgovorni za upravljanje se tega namreč premalo ali sploh ne zavedajo Tveganja ki se v pri strojni opremi ter poslovnih subjektih na tem nivoju kažejo so
- nikoli dovolj resursov- cilji so nejasni- ni definirane politike standardov- število tveganj je preveliko ne ve se katera strojna oprema je najbolj pomembna- ni kulture
Sicer pa prevladuje prepričanje da se verjetno ne bo nič zgodilo Opisano ni zgled vodstvaZato moramo v svojo organizacijo sistematično s celostnim pristopom vpeljatiupravljanje tveganj Za drugo besedo raquotveganjelaquo se lahko vprašamo na kajnajprej pomislimo v vsakodnevnem življenju ko jo slišimo Najbrž pomislimo dalahko nekaj z določeno verjetnostjo izgubimo Preprosto sklepamo kaj in koliko lahko izgubimo ob neljubem dogodku to opredelimo z raquoresnostjolaquo verjetnost da izgubimo paobičajno opredelimo kot raquofrekvencalaquo pojavljanjaTo da se zgodi tisto česar v bistvu ne želimo je naša raquoranljivostlaquo če se ustreznoodzovemo ali reagiramo na tak dogodek pomeni da smo v aktivnostih privzelidoločene raquoobrambnelaquo mehanizme in zmanjšali raquoizpostavljenostlaquo tveganjemPri obravnavanju tveganj se izvajajo procesi analize ocene in rešitve kar lahkoopredelimo kot raquoupravljanjelaquo Resnost se meri z vrednostmi ovrednotimo jo finančnotorej določimo znesek Verjetnost pa merimo oz ocenimo s številom dogodkov včasovnem obdobju največkrat na leto Seveda bomo pozorni in dogodke spremljali dotiste varnosti in zaščite ki sta primerni sprejemljivi in hkrati skladni z našimivrednotami standardi in ekonomskimi zmožnostmi V bistvu so stvari boljkompleksne vsekakor je pomembna hitrost v odzivnosti Če želimo obravnavati inprimerjati tveganja moramo primerjati razsežnosti tveganj Ni rečeno da so tveganjanizka po vrednosti in visoka po frekvenci z enakim učinkom itd Zanimivo je da so vZDA in anglosaksonskem svetu upravljanje s tveganji vzeli kot tekmovalno prednostmedtem ko je v EU to bolj posledica regulative
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 25
Napredno vzdrževanje strojne opreme Učno gradivo
41 Spremembe pri strojni opremi
Spremembe so silovite Hitro se razvijajoča informacijska in telekomunikacijskatehnologija zahteva nove poslovne modele Gonilniki sprememb vplivajo na poslovnesubjekte ki morajo biti prilagodljivi hitri in hkrati varni Vse to med drugim prinašanegotovost znotraj poslovnega sistema pa tudi v zunanjem okolju Obvladovanjesprememb zahteva izjemne intelektualne napore saj so pritiski na poslovne subjekteveliki Prihajajo s strani zahtev regulative zakonodaje varnosti standardov nadzorakontrol konkurence itd Odražajo se v vrednostnih pogajalcih za PS kot soohranjanje rasti stroški in učinkovitost načrtna razdelitev kapitala in prioritetno sejim pridružuje upravljanje s tveganji torej investiranje v varnost Ključna tveganja vteh transformacijah so tako strateška kot procesna Sem sodijo informacijski sistemi(IS) infrastruktura tehnologija stranke partnerji konkurenca in intelektualni kapital -človeški viri itd Vsako od omenjenih tveganj je sicer možno omiliti ali odpravitivendar je potreben holistični pristop standardizacija privzemanje kulture tveganjpotrebno je kreirati program upravljanja tveganj program varnosti vpeljatiupravljanje znanj integralna orodja za tveganja orodja za analize scenarijev insimulacij uvesti nove discipline in metrike ter dobro prakso In kakšna je potem cenavarnosti Ni univerzalnih navodil ni garancij za uspeh ker v globalnem svetunenehno nastajajo nova tveganja V mreži poslovnih verig so medsebojno odvisna Vnadaljevanju je nakazano strukturno razumevanje oziroma pristop k upravljanjutveganj informacijske tehnologije (IT) kot podpore IS-mu in procesom v poslovnihsistemih ne glede na to kateri industriji poslovni subjekt pripada
V področje upravljanja s tveganji IT (UT-IT) vsekakor spadajo informacijski sistemi[1] IT viri procesi projekti in druge danosti ter kategorije povezane z IT Področjezajema vsa operativna tveganja kot posledice Človeških in tehnoloških napak Jeizjemno široko kompleksno interdisciplinarne narave s poudarkom na ustreznemrazumevanju konceptov z več področij (varnost tveganja nadzor (revizije)neprekinjeno poslovanje) Izhodišče so informacije ki jih podpira IS kateregaomogoča informacijska tehnologija v vsaki organizaciji Informacije potrebujejoanalizo tako domene IS kot poslovne domene Informacije so vitalen vir vsakeposlovne enote zato so tudi tarča napadov z različnimi motivi in vplivi na poslovanjeUT-IT tako zajema uporabnike IT organizacijo IT in njeno dejavnost kot storitevkončnim uporabnikom
IT organizacija mora biti ustrezno organizirana da zagotavljaposlanstvo varnosti učinkovitosti IS in dostavo storitev Zato imavarnost v organizacijah več oblik Odvisne so ena od druge inpredstavljalo celotno varnost (fizičnondashtehnično varnost in upravljalnisistem informacijske varnosti)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 26
Napredno vzdrževanje strojne opreme Učno gradivo
Pogled na strukturo IT organizacije je priporočljiv z več vidikov in dimenzijPredstava v prostoru je znana IT raquokockalaquo Med IT vire pa na splošno opredeljujemo
- ljudi- aplikacije- tehnologijo- podatke- Podporo-
Taka struktura je pomembna za odpravljanje tveganj v IT organizacijah namrečzajema tako procese kot več disciplin in upravljanje dejavnosti IT organizacije S temdemonstriramo funkcionalnost ki zagotavlja kvalitetno storitev IT Taka strukturaomogoča boljšo dostavljivost IT rešitev kar pomeni učinkovitost IS in zmanjšanjedoločenih tveganj med njimi tudi usklajevanje poslovnih ciljev najvišjega vodstva zIT
Ker izhajamo iz informacije poglejmo njene lastnosti Glavni kriteriji za ocenjevanjeso zaupnost integriteta in razpoložljivost Metoda UT-IT pa je skupni imenovalec zaanalizo neprekinjenemu poslovanju [4] projektnemu vodenju [5] drugim disciplinamin revizijam ter informacijskim varnostnim tveganjem Tveganja iz naslovainformacijske varnosti lahko do določene stopnje primerjamo s kontrolami [6] S tegavidika kontrole zmanjšujejo tveganja in so povezane z revizijami (notranjimi inzunanjimi) Pri tem se opirajo na preglede v katerih se ugotavljajo primernost inskladnost varnostne arhitekture ter učinkovitosti izvajanja upravljanja tveganjTudi odločitve običajno temeljijo na informacijah če so informacije mehke pride doizraza večja negotovost in odločitve ki se sprejemajo lahko pripeljejo do usodnihdogodkov v katerih se tveganja uresničijo in nastajajo izgube v poslovanjuDefinicij informacije je precej Velja da je to vir vsakega poslovnega subjekta Takopridemo do vrednosti informacije kot vseh drugih vitalnih vrednih virov v poslovnemsistemu Prav neustrezno ravnanje z informacijami povzroča velika tveganja ininformacijsko nestabilnost Dejstvo je da se mora v digitalni ekonomiji in globalnemsvetu poleg socialne finančne in ekonomske stabilnosti upoštevati tudi informacijska
Pri poslovanju so vsekakor pomembni procesi ki so predmet obravnave na področjuupravljanja tveganj IT Tako UT-IT opredeljuje in zajema tudi operativna tveganja Izpraktičnega vidika je v poslovnem sistemu veliko procesov ki se nadalje delijo napodprocese in aktivnosti temeljni in podporni Toda vsi morajo biti raquooptimalnilaquovodeni in nadzorovani Precej kompleksnosti naraste v informacijskem sistemu ki gapodpirata informacijska in telekomunikacijska tehnologija Zato je za področje UT-ITsmiselno uporabiti okvir COBIT Ta standard se lahko uspešno privzame tudi pri samiorganiziranosti in definiciji procesov v organizacijah ITUT-IT je prav tako proces v katerem se proučuje in obravnava IS-me Sem spadajotudi nevarnosti ki pretijo poslovnemu sitemu IS-mu IT organizaciji njeni storitveni
dejavnosti torej vsem virom v sistemu kakor tudi drugim poslovnim subjektom vposlovni verigi V njej so tehnološke razdalje med subjekti izjemno ranljive saj nasvoji poti informacije doživljajo spremembe procesi v katerih se to dogaja pa so semorali razširiti izven okolja posamezne organizacije ali PS Pot je posejana z
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 27
Napredno vzdrževanje strojne opreme Učno gradivo
nevarnostmi različnih izvorov tako da se tudi tveganja in njihovi vplivi na poslovanjeodražajo z različnimi učinki Poglablja se tveganje e-poslovanja gre za takoimenovana e-tveganja Biti brez varnosti v realnem času in hitre odzivne funkcije natveganja ter nepredvidene dogodke je lahko za poslovanje silno usodno Zatoobstajajo različne strategije orodja in načini za zdravljenje tveganj ki skupajpredstavljajo obrambne mehanizme organizacije Pri tem je pomembno zavedanje inizobraževanje ter neprestano usposabljanje strokovnjakov na teh področjihOperativna tveganja so izrazito povezana z internimi procesi in jih posamezneindustrije že obravnavajo vsekakor pa jih bo morala vpeljati finančna industrija zlastiban1048830ni sektor ki bo moral biti skladen z Baselskim II standardom in EU (CAD)direktivami Standard namreč zajema potencialne izgube tudi iz naslova operativnihtveganj ne glede na interne ali zunanje dejavnike Osredotočen je na objavopotencialnih izgub za vse poslovne linije organizacije po določeni strukturi poročanjaglede kapitalske ustreznostiKo pogledamo v bančni sektor je osnovni namen obvladovanja inupravljanja s tveganji v bankah zagotavljanje njene plačilnesposobnosti Med različnimi načini za uresničevanje tega cilja je naprvem mestu institut minimalnega kapitala in zagotavljanje potrebnekapitalske ustreznosti banke o katerem govori Basel IIDelež kapitala v celotni bilančni vsoti je pri bankah mnogo manjši kot pri drugihorganizacijah in podjetjih Tudi njegova funkcija je drugačna Kot najpomembnejšafunkcija bančnega kapitala se ponavadi navaja zaščita vlagateljev Bančni kapitalpoleg tega omogoča nadzornim institucijam omejevati obseg tveganih dejavnosti bankin hkrati omogoča banki financiranje njenih osnovnih sredstev Ker so upniki bankmnožice posameznikov ki imajo pri teh bankah praviloma vloge na vpogled alikratkoročno vezane vloge in ker je takrat ko banka postane nelikvidna ponavadi žeprepozno saj je takrat banka praviloma že nesolventna je velikost bančnega kapitalajavna zadeva
Filozofija današnje bančne regulative je dopustiti zdravo konkurenco med bankami inhkrati zagotoviti njihovo disciplino prek predpisovanja minimalnih kapitalskih zahtevBaselski standardi so vplivali na oblikovanje evropskih smernic za banke Polegstandardizirane metodologije za računanje potrebnega kapitala za pokrivanjeomenjenih tveganj so navedeni potrebni pogoji za uporabo internih modelov bank zamerjenje tveganj med njimi operativno tveganje (uporabniki IT in IT organizacij)
Obseg in narava tveganj s katerima se srečujejo banke sta odvisni od narave njihovihposlov Pri tradicionalnih bančnih poslih (dajanje posojil iz prejetih depozitov) se kotglavna tveganja pojavljajo kreditno tveganje (tveganje dolžnikove nezmožnosti alinepripravljenosti izpolniti obveznosti iz naslova kreditne pogodbe) tržnolikvidnostno tveganje (tveganje da banka v določenem trenutku ne more poravnativseh svojih dospelih plačilnih obveznosti) tveganje spremembe obrestne mere(tveganje da bo postala pogodbeno določena obrestna mera drugačna od tržne in dabo banka utrpela izgubo iz tega naslova) ter operacijsko tveganje (tveganje ki mu jebanka izpostavljena zaradi možnih človeških napak torej internih procesov napaktehnologije in zunanjih dejavnikov (gre tudi za prevare poneverbe pranje denarjaoperativne izgube pravne ter druge stroške ki jih banka nosi v primeru njihoveganastanka)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 28
Napredno vzdrževanje strojne opreme Učno gradivo
Z bankami so povezani poslovni subjekti in vsi morajo zagotavljati varno poslovanjeTveganja so precejšnja saj vsi PS ne morejo zagotavljati enako učinkovitihprotiukrepov in varnostnih mer Pogljablja se tudi STP e-poslovanje nastajajo eskupnostiIS-mi se pogovarjajo med seboj brezžične komunikacije nujno jeprivzemanje standardov in različice XML protokola vse različne storitve potrebujejoUT-IT Področje je v razmahu in lastniki ter nadzorni sveti bodo moralikontrolirati operativne izgube in učinkovitost IS NS bodo imeli vlogo potrditvestrategij UT-IT uprave oz vodstva pa bodo morali dokazati skladnost s standardi inmetodami
Primerov storitev ki jih lahko obsega napredno vzdrževanje strojne opreme v UT-IT
spremljanje tehnoloških novosti povezanih z vzdrževano opremo ter priprava predlogov in ukrepov za nemoteno delovanje oz izboljšanje njenega delovanja
zamenjava delov strojne opreme
namestitev varnostnih popravkov na strežniško infrastrukturo
namestitev varnostnih popravkov na delovne postaje in prenosnike
periodično preventivno vzdrževanje strojne opreme
dokumentiranje storitev vzdrževanja
popravilo in odstranitev vseh pomanjkljivosti odkritih med preventivnim pregledom
pomoč sistemskim administratorjem in uporabnikom odgovori na vprašanja in svetovanje glede uporabe vzdrževane infrastrukturne opreme na lokaciji naročnika oz uporabnika
izredni kontrolni nadzor nad delovanjem infrastrukturne opreme po dogovoru z naročnikom
nadgradnja strežnikov delovnih postaj in prenosnih računalnikov
nadgradnja komunikacijske opreme
daljinska pomoč preko telefona elektronske pošte faksa ali daljinskega dostopa pri reševanju problemov uporabnikov odgovori na vprašanja in svetovanje glede uporabe vzdrževane strojne opreme
Osnovno popraviloStrokovnjak bo preveril delovanje računalnika opredelil napako in jo odpravil V to storitev se uvršča odprava manjših napak na računalniku
Storitev vsebuje diagnostiko težave in njeno odpravo v primeru da gre za manjšo napako Med manjše napake sodi ponovna namestitev gonilnikov popravilo napačnih nastavitev v programski opremi ponovna namestitev programov itd
V primeru da sestavljamo ob nakupu nov računalnik z dodatno opremo moramo poskrbeti da bomo da za nakup dobili najboljšo ponudbo računalnika ali računalniške opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 29
Napredno vzdrževanje strojne opreme Učno gradivo
Pri sestavi sistema bomo upoštevali vaše potrebe ter dosegli najboljše razmerje med ceno in zmogljivostjo Poudarek je na individualnem svetovanju katerega namen je kar najbolje poskrbeti za želje uporabnika V ta sklop sodi poleg svetovanja za nakup računalnika tudi svetovanje o ostalih perifernih napravah (tiskalniki usmerjevalniki itd)
Pristop k osnovanju UT-IT
Težko je odgovoriti ali se odzvati na vsa tveganja brez ustreznega znanja Splošnoznano je tudi da se iz podatkov procesirajo informacije in iz njih znanje ki ga jesmiselno takoj uporabiti Gre za znanje poslovnega subjekta v celoti in nekateraspecialna znanja za katera je potrebno zagotoviti da so v pravilnem kontekstu in napravem mestu Upravljanje znanj (UZ) ima lahko odločilno vlogo pri strategiji zavpeljavo področja upravljanja tveganj IT v vsakodnevnem poslovanju UZ zmanjšaraquokorporacijskolaquo izpostavljenost tveganjem Zato je pametno zbrati vse ustrezneinformacije strukturirati znanje v kontekst ali okvir v katerega bodo vnesene vsebinepotrebne za UT-IT Kreiranje portala in repositorija za upravljanje tveganjopredeljujemo kot podporno infrastrukturo področju V repositoriju sopredefinirane strukture Zaposlenim so na voljo v obliki zemljevidov raquomaplaquo kikažejo na vsebine in povezave med njimi ter omogočajo polnjenje vsebin Pridoločanju vsebin lahko sodelujejo vsi želeno je da se v organizaciji na področjutveganj in varnosti ustvarja intelektualni potencialUpravljanje
Tveganj IT5Varnost
Metoda je opredeljena kot množica korakov (algoritem ali navodilo) uporabljenih zaizvršitev naloge (dela posla) Metodologija je nekako širši pojem in predstavljamnožico orodij lahko raziskovalne metode ali razlago teorije vodenja v vodstvenoprakso Torej metodologija organizira teorijo v nekaj razumljivega Ker je na voljo večpristopov metodologij in metod pri upravljanju tveganj bi torej metodologijopredstavljalo orodje za podporo odločitvenim sistemom iz področja UT-IT Tehnik inmetod je dejansko več katere bomo uporabili za različna področja in položaje toterja tehtni premislek
Slika 4 Zunanji disk WD Passport (klikni na sliko
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 30
Napredno vzdrževanje strojne opreme Učno gradivo
V glavnem so osnovane na točkovnih in statističnih metodah kvalitativni inkvantitativni tehniki Znana je enačba tveganj ALE (letnih pričakovanih izgub)Smiselno pa je privzeti metodo standarda BS7799 [10] ali ISO17799 za informacijskovarnost Smiselno je da bi vse industrije prevzele standard PSIST7799 (prevod) kivelja v državi od 13 6 2000 za bančni sektor (z dopolnitvami)Poslovni subjekti lahko uporabljajo lastno razvite tehnike in tehnologije zaidentifikacijo in analizo tveganj Za različne poslovne procese kot so vodenjesprememb združevanja in prevzemi raquocorporate governancelaquo strateško planiranje invrednotenje lahko privzete kvalitativne ali kvantitativne identifikacije tveganj inanalitske tehnike dodajo značilno vrednost za različne poslovne položaje in področjaUveljavljajo se metode analize scenarijev in raquoscorecardslaquo ter druge statistične metoderazne simulacije (Monte Carlo) itdTipično je da se simulacijski modeli uporabljajo za odločitve o sestavi realnihsistemov in za odločitve o politiki in postopkih ki jih uporabljamo pri delovanjurealnih sistemov Simulacija pomaga pri določanju sestave politike in postopkov vnegotovih torej tveganih pogojih okolja sistema Manager poskuša z modelom kotnadomestkom za realni sistem z uporabo različnih vhodnih podatkov in postopkovdoseči na osnovi dobljenih rezultatov pri simulaciji lažje odločanje pri vodenjurealnega sistema Vendar mora biti pri tem pazljiv in rezultatov dobljenih ssimulacijo ne more kratkomalo prenašati v realni svet Model in simulacija lahkopomagata bolje spoznati delovanje realnega sistema ne moreta pa zagotoviti raquopraveizbirelaquo za realni sistem Pri upravljanju tveganj IT lahko preveč subjektivne ocenepovzročajo nova tveganja predvsem na področju zunanjih virov (outsourcinga) invodenja pogodbZa UT-IT je na voljo dovolj modelov orodij programov in vzorcev ki jih lahkouporabimo v svojem poslovnem okolju Priporoljivo je da vsak poslovni subjektkreira sebi ustrezen model glede na specifiko vendar mora izvajati ovrednotenje da jeskladen s standardi in regulativo Standardi so uveljavljeni in nudijo dovolj velik okvirza njihovo privzemanje in funkcijo uporabe
Pregledni model UT-ITV podporo modelu UT-IT je že potreben omenjeni portal kot rezultat procesov priupravljanju znanj in repositorij kjer se shranjujejo potrebne vsebine in nastaja bazaznanja o dogodkih in tveganjih ter obrambnih mehanizmih Portal služi tudi zaizobraževanje Vsebine predstavljajo sezname in infostrukture od standardov doobrazcev ki se uporabljajo v posameznih fazah ali procesih analize in v obravnavanjutveganj Zbrani so tudi vsi principi zakonodaja politike procedure metrika procesiin tokovi informacij kakor tudi vnos v register tveganj zajem nevarnosti popis vsehkontrol varnostni mehanizmi in seznam protiukrepov vse to za dogodke in scenarijeki se lahko ali so se že zgodiliZa področje UT-IT se kreirajo smernice za posamezne entitete ali subjekte ki sovključeni kot participatorji ter navodila kako se izvajajo aktivnosti Učinkovitost sedoseže s poprej določenimi infostrukturami standardizacijo in povezavami medpodročji ter odnosi med entitetami ali objekti ki tvorijo sistem upravljanja tveganj IT
Kreiranje konteksta ali takšnega okvira je možno ker so v glavnem poznane vsestrukture in gradniki UT-IT in želenega sistema varnosti Dovolj predlog je že naInternetu zato je smiselno področje pregledati in izbrati želene infostrukture Posebnerazlage niso potrebne UT-IT se odvija po projektnih principih s skupinami ki so
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 31
Napredno vzdrževanje strojne opreme Učno gradivo
strokovne na svojih področjih Prav tako se v skupinah (samovodljivo) ocenjujejotveganja in definirajo strategije rešitev za identificirana tveganjaPodročje UT-IT je lahko služba ki je neodvisna in samostojna organizacijska enota v vrhu vodstva organizacijeIZVAJANJEOKVIRKaj kako s 1048830i
- Komunikacijski krogi
Bistven gradnik UT-IT predstavljajo komunikacijski krogi (KK) med področji inodgovornimi ali delegiranimi sodelavci po poslovnih linijah Le-ti predstavljajo raquokomunikatorje tveganjalaquo ki so povezani prek sistema zgodnjega opozarjanja inizvajajo vnos dogodkov ter podatkov za analize tveganj in ocenjevanje vpliva naposlovanje Izkušena skupina določi tudi ustrezne protiukrepe in varnostne mere ter jihposreduje lastnikom tveganj Ti s strokovnjaki za posamezna področja pripravijostrategijo rešitve in jo predstavijo (kot zagovor) odgovornim za področja da se posoglasju lahko izvedejo Področje UT-IT spremlja in spet ocenjuje učinke terrezidualna tveganja Zaradi narave tveganj in inherentnih tveganj IT so tovsakodnevne aktivnosti upravljanje tveganj in varnosti pa je vodstvena funkcijaObstaja še pomembna lastnost in specifika da področja varnosti in tveganj pripadajovsem zaposlenem v organizaciji zato so komunikacijski krogi in pravočasnoinformiranje nujniZa operacijsko kvaliteto v organizaciji je potrebno definirati oz določiti dimenzijo vkateri se meri kvaliteta Značilne so tri dimenzije (kriteriji)
- primernost in funkcionalnost- varnost in zanesljivost- razpoložljivost in dostopnost
- Metrike
-Tveganje je objektivizirane negotovosti glede na možnost pojavitve nezaželenegadogodka merjenje negotovosti in negotovosti izgube Negotovost nastane zaradipomanjkanja informacij o nekdanjih sedanjosti in prihodnjih dogodkih vrednostih inpogojih Ne glede na različne stopnje negotovosti je osnova koncepta negotovosti vpomanjkanju informacij o delih sistema ki ga obravnavamo ali opazujemo Zmanjšanje tveganj mora biti motiv za organizacijo Zmanjšanjestopnje negotovosti je korak k opredelitvi kaj je lahko narejeno zazmanjšanje izpostavljanju tveganj Kakšno metriko uporabimo jeodvisno od tega kaj želimo meriti obravnavati spremljati izboljšatiitdOceniti tveganje pomeni ovrednotiti koliko lahko prenesemo oz izgubimo če seneljubi dogodek zgodi in pri tem izgubimo npr kar posedujemo Ali predstavlja to zanas vrednost in kako pogosto se ti dogodki pojavljajo so začetna razmišljanja ko greza tveganja in reakcije na njihLahko trdimo da je tveganje vedno ocenjeno z analizo scenarijev kar pomenivrednotiti možne izgube in frekvenco verjetnosti možne škode Toda v kakšnemobsegu in po katerih predvidevanjih Vsekakor je pri ocenjevanju tveganj medkvalitativno in kvantitativno analizo razlika Smiselno je obravnavanje analizetveganj Še tako dobro zastavljena varnostna politika brez izvajanja in kontrole ne
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 32
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
Vpeljani pojmi
Strojna oprema ndash pojem oz področje računalnika združene strojne opreme v nekem zaprtem ohišju modulu ki predstavlja osnovne komponente za primerno delovanje računalnika
Napredno vzdrževanje ndash pojem oz imenovanje vseh vrst pilotskih projektov za izdelavo ali izboljšanje obstoječe strojne opreme matične plošče procesorja vh-izh enot ipd
Vprašanja za ponavljanje
Kaj je to strojna oprema Katera je zastarela strojna oprema in katera napredna Kaj je procesor v matični plošči Napredna strojna oprem ima slogan delovati pomeni živeti Razloži
Razišči in opiši
Poišči vsaj štiri podjetja v Sloveniji ki se ukvarjajo z prodajo strojne opreme Naredi programu Power Point zgradbo svojega osebnega računalnika Katere strokovne revije o računalništvu bi prebral če bi želel izvedeti največ o
napredni strojni računalniški opremi
Spletne povezave virov
Rado Westerbach Informatika učbenik 2009 - Gimnazija Jesenice
httpwwwnauksiračunalništvo za srednje šole
Google httpwwwgooglecom
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 7
Napredno vzdrževanje strojne opreme Učno gradivo
Spletni portal httpwwwpraktiksi
httpwwworiacom
httpwwwibmcom
httpwwwhpcom
Spletna revija COMPUTER WEEKLY ndash VB httpwwwcomputerweeklycomhome
Spletna revija COMPUTERWorld ndash ZDA httpwwwcomputerworldcom
2 Strojna oprema
Beseda strojna oprema izvira bolj iz besednjaka ko popravljamo avtomobil ali dele vrtne opreme vendar je pri tem predmetu to mišljeno predvsem celotno hardwear besedoslovje ki vključuje pojme kot so matična plošča procesor vhodne izhodne enote pomnilnik ohišje delovni pomnilnik ipd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 8
Napredno vzdrževanje strojne opreme Učno gradivo
Z računalniško strojno opremo smo si pripravljeni spremeniti navade odnos življenje Zatorej širimo znanje o kakem prenosu podatka ali odnosu v družbi V dobi informacijskega veka smo za primerne informacije pripravljeni kupiti najnovejšo strojno opremo za veliko denarja V hitrem informacijskem svetu hitro hitrejšo takoj napredno strojno opremo brez komunikacije in sistemov opreme ne moremo uporabiti kot pa so jo to sredi prejšnjega stoletja
Strojna oprema še posebno napredna se razvija iz dneva v dan vse bolj in bolj in vpliva na sodobnega človeka neposredno
21 Prednosti sodobne strojne opreme
Kvalitetna strojna oprema omogoča delo na različnih družbenih področjih kot so
Medicinska strojna oprema
Poslovna in zavarovalniška strojna oprema (delniško poslovanje- Wall Street Bančni poslovni inf sistemiipd)
Robotika
Prostorska in geodetska strojna oprema
Bio-informatika
Napredna izvedba strojne opreme za potrebe Outsourcinga raquood-zunajlaquo
Strojna oprema državni upravi
Strojna oprema namenjena za uporabo zahtevnih raziskav na terenu nemogočih tehničnih pogojev v delovnih okoljih (NASA SHELL FBI ipd)
Zabavna strojna oprema (računalniške igrice z svojo opremo Walt Disney Animirani filmi ipd)
Razpis za izbiro proizvajalcev dobaviteljev in izvajalcev napredne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 9
Napredno vzdrževanje strojne opreme Učno gradivo
Postopek izbiranja je zakonsko opredeljen Seveda kot računalničar ni toliko bistveno zakonsko stališče kot le pravila in izkušnje
A) Pomembno je izbiranje usposobljenih dobaviteljevB) Končno izbiranje proizvajalcev dobaviteljev in izvajalcev
Pri napredni izbiri strojne opreme moramo razlikovati proizvajalce dobavitelje in izvajalce vzpostavljanja komunikacijske infrastrukture Poleg strokovnih in finančnih ter časovnih lastnostih izbire ima vedno večjo težo ponudba napredne strojne opreme Ker želimo ponavadi že na določeno strojno opremo da opremo inštalira isto podjetje ponavadi izberemo ustrezno podjetje ki ponuja nadgradnjo le omenjene
22 Izvedbena faza projekta zamenjave strojne opreme
Tukaj govorimo o fizičnem postavljanju omrežja in strojne namestitve Prvi korak v tej smeri je podpis pogodbe z izbranim dobaviteljem napredne strojne opreme Zavedati se moramo da računalniška strojna oprema predstavlja hrbtenico kompleksnega porazdeljenega sistema zato je priporočljivo da kupec in dobavitelj podrobno opredelita želeno napredno strojno opremo inštalacije oz namestitve testiranje strojne opreme prevzemanje komunikacijske infrastrukture Upoštevati moramo naslednje vprašanja
Kako ugotavljamo ustreznost opreme
Kako ugotavljamo zmogljivost opreme
Kaj pomeni dobaviti določeno opremo
Kako bomo upoštevali zunanje faktorje ki vplivajo na potek izvedbe napredne strojne opreme
23 Količinski prevzem
Potrdi da je dobavitelj fizično dostavil strojno opremo opredeljeno s pogodbo Smiselno je da je naročnik za dobavljeno opremo sprejel le tisto ki je inštalirana na vnaprej opredeljeni lokaciji Inštalacija mora potrditi osnovno lokalno funkcionalnost strojne opreme Kot primer
na določeni lokaciji se nahaja usmerjevalnik z ustrezno linijsko opremo (konvertorji modemi monitorji ipd) ki je priključena na napajanje in prenosne medije Ker je računalniško
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 10
Napredno vzdrževanje strojne opreme Učno gradivo
omrežje kompleksen sistem je potrebno potrditi vsebinsko in funkcionalno ustreznost količinsko prevzete opreme Pogodba mora predpisovati način in pogoje testiranja ustreznosti opreme Običajno priv test napredne strojne opreme opravi naročnik ki lahko ugotovi nepravilnosti ki jih mora dobavitelj odpraviti in se izvajajo vsi naslednji testi na račun dobavitelja Ta predhodni korak prevzemanja zagotovita da oprema količinsko in funkcionalno ustreza naročeni strojni opremi
Preverjanje povezljivosti strojne opreme je proces nastavitve sistemskih parametrov za predvideni način delovanja in testiranja kompatibilnosti lokalne infrastrukture z okolico
Za izvedbo testa strojne opreme je potrebna primerna strojna računalniška oprema
24 Pilotna faza
Pilotna faza je namenjena preverjanju že nameščene strojne opreme kot celote s poudarkom na analizi zmogljivosti napredne strojne opreme saj je konformnost preverjena že v prejšnjih fazah
Pogosto se zgodi da zaradi različnih objektivnih razlogov projekta ni mogoče namestiti v dogovorjenem roku Razlog je lahko primer da za določeno lokacijo ne moremo najti ustreznih prenosnih poti ob tem pa večina lokacij (npr delovnih strojnih postaj) že uspešno deluje V takem primeru bi bilo nesmiselno odlagati nadaljevanje vzpostavljanja hrbtenice to je pilotno fazo delovanja
Pilotna faza namestitve strojne opreme se torej lahko prične ko vse lokacije lokalno privzete in ko ugotovimo dogovorjeni odstotek pogojno prevzetih lokacij hrbtenice računalniškega omrežja
Pilotna faza ni opredeljena samo s testi ampak je njeno bistvo predvsem opazovanje in presojanje delovanja napredne strojne opreme v delovanju V tej fazi končni uporabniki npr dijaki še ne morejo pričakovati predpisane kvalitete in stabilnosti delovanja Pilotna faza se zaključi takrat ko ugotovimo da omrežje določen čas deluje s predvideno zmogljivostjo in razpoložljivostjo npr več kot 95
Prevzem celotnega računalniške strojne opreme pomeni da naročnik dobavitelju prizna izpolnitev vseh pogodbenih obveznosti in obratno Poleg tega pa je potrebno poskrbeti za
- vzpostavitev nadzora in upravljanja omrežja s strani naročnika- zagotavljanje vzdrževanja in servisiranja vzpostavljene infrastrukture- ustrezno podporo končnim uporabnikom
Z zaključkom te faze omrežje pride v produkcijsko fazo s katero se začne normalen življenjski cikel naprednega vzdrževanja strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 11
Napredno vzdrževanje strojne opreme Učno gradivo
25 Arhitektura strojnega sistema
1slikaarhitektura ohišja
Mehanizem odjemalec ndash strežnik
- Izpad odjemalca
Strežnik ki je ostal brez svojih odjemalcev ker so ti nehali delovati ali so nedosegljivi imenujemo sirota
Tak strežnik požira vire lastnega sistema kar pa še ni najhuje Več težav lahko povzroči zmeda ki nastopi v vrstah odjemalcev ki se ponovno vzpostavljajo in dobivajo od strežnika odgovore na svoje zahteve iz časa pred izpadom Teh zahtev se namreč ne raquospominjajolaquo in ne vedo kako naj interpretirajo odgovore
Za reševanje take situacije pri naprednem vzdrževanju strojne opreme poznamo nekaj situacij
- Iztrebljanje je dokaj drakonska strategija takoj ko se odjemalec ndash roditelj procesa ponovno zavre samega sebe strežniku naroči da naj razvrednoti vse njegove morebitne procese Algoritem mora teči ker lahko najdemo v primeru pogostih izpadov na strežniku tudi procese posameznih zahtev
- Reinkarnacija je tretja strategija Odjemalec razseka čas v zaporedne intervale imenovane epohe Če odjemalcu po metodi iztrebljanja ni uspelo ubiti vseh svojih zahtev ndash procesov lahko oznani vsem strežnikom začetek novega obdobja Strežniki uničijo vse tiste zahteve ki ne sodijo v sedanjo uporabo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 12
Napredno vzdrževanje strojne opreme Učno gradivo
26 Lociranje strežnikov
V praksi nameščanja nadomestne strojne opreme je imenski strežnik tisti ki vodi evidenco o vseh ostalih strežnikih Odjemalec se s svojim problemom obrne na imenski strežnik in mu ta predlaga izvajalca Imenski strežniki se uporabljajo za izvedbo elektronske pošte
Ob namestitvi novega strežnika je potrebno ob njegovem obstoju obvestiti imenski strežnik Za to lahko poskrbi sama delovna postaja avtomatsko največkrat pa je potreben poseg vzdrževalca imenskega strežnika
Dostikrat odjemalec želi ugotoviti kateri strežnik je najbolj primeren za izvršitev njegove zahteve
27 Specifikacije in testiranje protokolov
S problemi testiranja komunikacijskih protokolov se soočamo v napredni strojni opremi že od začetkov povezovanja računalniških sistemov v omrežja Področje analize in testiranja komunikacijskih protokolov se je uvrstilo v okvire implementacije komunikacijskega procesa
Izvedba protokola je porazdeljen sistem v katerem ima vsak proces določeno stopnjo lokalne avtonomije in na nek način interakcije z okolico
- Informacijske storitve sistemov
Osnovni namen informacijsko komunikacijskih sistemov je nudenje svojih posrednih ali neposrednih storitev uporabnikov
Med standardne storitve sodijo na primer različne izvedbe računalniško podprtih omrežnih informacijskih sistemov z bolj ali manj decentraliziranimi elementi O splošnih lastnostih teh storitev velja da v vseh operacijskih sistemih podpirajo standardne storitve kjer se stikata lokalni uporabnik računalnik ndash odjemalec in virtualna naprava strežnik
28 Varnost strojne opreme
Varnost nadgradnje strojne opreme je zelo obsežen pojem zato ga je potrebno skrbno prestrukturirati Zanesljivost sistema dosežemo predvsem s skrbnim načrtovanjem nadzorom in upravljanjem sistema Pri tem imata pomembno vlogo organiziranost poslovanja in
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 13
Napredno vzdrževanje strojne opreme Učno gradivo
usposobljenost uporabnikov To področje je izredno široko in ga na tem mestu ne bomo obravnavali saj predstavlja samostojno disciplino sistemskega inženiringa
Zaščita sistema opazujemo z dveh osnovnih zornih kotov
- zaščita na nivoju končnih računalnikov ndash lokalna zaščita- zaščita ki je potrebna zaradi narave decentraliziranih sistemov ndash decentralizirana
zaščita
Iz vsakdanjega življenja vsi poznamo primere v katerih nam zelo veliko pove že dejstvo da vemo med katerimi ljudmi v določenem trenutku poteka komuniciranje ne glede na to da same vsebine ne moremo razbrati Ravno tako v primeru da razpoznamo da strojna oprema pri zagotavljanju kakovostnega komunikacijskega delovanja ne deluje jo nadomestimo z nadgradnjo
29 Odkrivanje napak
Pri uporabi in delovanju strojne opreme pride do napak predvidoma na prenosnih medijih kjer se lahko dogajajo napake Najpreprostejši način je odkrivanje napak v okviru nameščene strojne opreme v kontroli maske kjer je strojna oprema evidentirana kot okolje Windows
Komercialne različice računalniške strojne opreme s skupinskih prenosnim medijem se je pričela tudi kot omrežje
a) brezžičnoJe tisto ki je kot prenosni medij fizično opredeljivo z radijskimi valovi ali svetlobo
b) mobilnoOmrežje ni nujno brezžično bistveno je da podpira selitve računalnikov
Kot primer lahko navedem kombinacijo klasičnega modema in brezžičnega telefona ki ga lahko napredno vzdržujemo preko modema priključenega na modem npr v hotelski sobi in ga preko te linije vstopamo v drug računalnik ki je v povezavi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 14
Napredno vzdrževanje strojne opreme Učno gradivo
2slika diagnostika
- Napredno vzdrževanje prenosnih medijev
Prenosni mediji niso le žice kot pogosto najprej pomislimo Pojem bomo nekoliko razširili saj ne smemo pozabiti na prenosne medije ki nimajo zveze z računalniškimi komunikacijami tičejo pa se računalniških informacijskih sistemov
Z vidika IKS-a je poznavanje prenosnih medijev zanimivo le v toliko kolikor različne oblike prenosnih medijev omogočajo zasnovo prenosnih kanalov z različnimi kapacitetami primernih za različne razdalje in različno ceno Njihova tehnologijama sodi v področja ki so razdeljena
- Koaksialni kabel- Brezžične povezave- Optično vlakno
Optična vlakna so danes najzanesljivejši prenosni medij Prevajajo svetlobne signale ki jih običajno vzbujamo z laserskimi napravami Signal med prenosom po optičnem mediju le malo oslabi Danes dosegamo 100 kilometrske prenose brez ponavlalnikov signala Kaj takega je po parici ali koaksialnemu kablu nedosegljivo Kapaciteta optičnega kanala 100 Mbits na omenjeni razdalji ni vprašljiva na krajših odsekih pa so na pohodu že kapacitete 100 Gbits
- Brezžične povezave
Med brezžične povezave prištevamo več skupin povezav ki so zasnovane na širjenju elektromagnetnega valovanja skozi prostor Tipične oblike so
- Radijske zemeljske povezave
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 15
Napredno vzdrževanje strojne opreme Učno gradivo
- Mikrovalovne usmerjenje povezave- Infrardeče povezave - Satelitske povezave
Poleg brezžičnih povezav spada v nepogrešljivo komunikacijo tudi telefonsko omrežje Vzdrževanje telefonskega omrežja ima dostop večine opisanih graditeljev računalniških omrežij
Pripravljalne faze naprednega vzdrževanja strojne opreme
- Identificirati pristopne točke pokvarjenih delov strojne opreme- Oceniti storitve pokvarljivosti strojne opreme- Oceniti vrednost investicije za namestitev strojne opreme ter infrastrukturo ki bo
zmogla ocenjene napake opredeliti in načrtovati grobe okvire nove infrastrukture- Zagotoviti vire financiranja nameščanja nove strojne opreme
To sicer ni tehničen problem vendar pa navadno predstavlja nepomembnejše in pogosto najzamudnejše opravilo z dokaj nepredvidljivim izidom
- Opredeliti osnovne izvedbe okvire izvedbe Ti so neodvisni od infrastrukture dinamike financiranja in drugih dejavnikov Že v okviru te faze projekta je potrebno vzpostaviti stike z nameščeno strojno opremo
Večina ljudi čuti naraven odpor do razstavljanja električnih naprav in to z razlogom Proizvajalci drugih naprav vedno svarijo naj jih uporabniki ne odpirajo sami Možnost električnega šoka je prisotna pri vsej strojni opremi Vsi računalniki ne sodijo mednje saj so narejeni tako da jih uporabnik lahko do neke mere sam priredi
Ko nameščamo napredno strojno opremo npr v ohišju moramo najprej izključiti vse napeve
Iz vtičnice potegnemo napajanje za računalnik in za vse naprave ki so nanj priključene Nikakor se namešča napredne strojne opreme dokler je vtikač v vtičnici Ne samo da to škoduje računalniku nevarno je tudi za samega vzdrževalca oz uporabnika
Ohišje je lupina v katero so nameščene komponente ki sestavljajo jedro računalnika Napajalnik (ang power supply) pa je naprava ki pretvarja standardno omrežno izmenično napetost v nižje enosmerne napetosti ki jih za delovanje potrebuje računalnik
Čeprav nekateri pravijo da je to smešno sodita ohišje in napajalnik popolnoma upravičeno na vrh seznama obveznih komponent Brez njiju ni nobenega računalnika Včasih sta drug z drugim neločljivo povezana čeprav raquohodita vsak svojo potlaquo Kakršna vrsta strojne opreme se najprej ugotovi po ohišju ki je pri namiznih računalnikih zelo razkošno V ohišju najdemo prostor za osnovno ploščo z potrebnimi komponentami trde diske različne vmesniške kartice
Hrupa ki je pri stojni opremi v računalniku se lotimo ko reže v ohišju skozi katere priteka zrak v računalnik in ventilator napajalnika povečamo Ko nameščamo napredno strojno
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 16
Napredno vzdrževanje strojne opreme Učno gradivo
opremo mora biti tudi ohišje na primernem zračnem mestu To sicer ne pomeni da moramo računalnik spraviti pod mizo vendar moramo poskrbeti za učinkovit zračni preskok
Ohišja namiznih računalnikov se lahko med seboj močno razlikujejo vsa pa so praviloma dokaj velika in vanje je že vgrajen napajalnik Vgrajeni napajalnik je pri namiznih računalnikih najmočnejši ne pa edini vir hrupa Za hrup je ponavadi kriv ventilator ki skrbi za hlajenje napajalnika ohišje pa velikokrat deluje kot kakšen resonator in hrup še veča
Pri napredni strojni opremi ohišja računalnikov razdelimo na tri skupine
- Plosko ohišje
Ima obliko kvadrata z največjo ploskvijo kot osnovno stranico Navadno ga postavimo na eno od stranskih stranic in tako simuliramo ohišje v obliki stolpa Na voljo je več izvedb ploskih ohišij Tako lahko izbiramo med večjimi in manjšimi ohišji ter med bolj in manj primernimi za odpiranje
- Kompaktni sistemi
Pri kompaktnih sistemih je klasično ohišje računalnika združeno z ohišjem monitorja vanj pa so pogosto vgrajeni še zvočniki in mikrofon Ves računalnik je praktično v enem kosu vanj nista le integrirana le tipkovnica in kazalna naprava Čeprav računalniki po kompaktnosti približujejo prenosnim računalnikom Se za stalno prenašanje vseeno nekoliko okrni Kompaktni sistem je prava izbira če računalniku ne želite nameniti več prostora kot ga potrebuje povprečen monitor ali če se vam prenosni računalniki ne zdijo primerni zaradi cene oz premajhne tipkovnice
- Ročni računalniki so strpani v najmanjša ohišja kar jih je To ni nič čudnega saj morajo biti tako majhni da jih je mogoče med uporabo držati v roki Po velikosti lahko računalnike primerjamo z nekoliko boljšimi računali
- Osnovne plošče
Računalnik je skupek komponent
Tako delimo strojno opremo znotraj ohišja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 17
Napredno vzdrževanje strojne opreme Učno gradivo
3 slika pri CD-ju in CD romu je možno popravljanje napak
Če nameščamo vse tiste komponente ki jih osnovne plošče vgradijo izdelovalci računalnika ali jih nanje namestijo sestavljavci računalnikov glede na želje uporabnikov ali želje kupcev
- Procesor
Kljub pomembnosti je procesor najbolj odgovorno in je pri naprednem vzdrževanju potrebno ločeno kupiti ali popraviti od osnovne plošče Na njej je podnožje kamor ga sestavljavec računalnika lahko zamenja ali nadomesti z bolj zmogljivim Izdelovalci plošč skrbijo da je posamezna osnovna plošča uporabna z celo družino procesorjev včasih celo z različnimi družinami Družine se seveda razlikujejo po oznakah Večina korporacij med strojno opremo še posebno v zadnjem času se razlikuje po hitrosti delovnega takta frekvenci prenosa in zmogljivosti
3 NAČRTOVANJE STROJNE OPREME
Načrtovanje strojne opreme lahko izbiramo ob nakupu primernih računalnikov s pomočjo svetovalca serviserja ali vzdrževalca informacijske opreme Uporabe računalnikov in posebnih programov v proizvodnji in arhitekturi postavitve linijskih proizvodnji procesov urejajo posebni programi CAD
Za izdelavo prevodnikov in polprevodnikov na matični plošči oz integriranih vezij lahko srečamo naslednje kovine
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 18
Napredno vzdrževanje strojne opreme Učno gradivo
Krom barij iridij svinec paladij tantal arzen berilij baker zlato kadmij
Pri gradnji informacijske opreme in sistemov na osnovi mikroprocesorjev potrebujemo dodatne elemente rečemo jim raquopodporni elementilaquo To so periferni adapterji časovna vezja DMA krmilniki množilniki frekvence ROM in RAM pomnilniki Na osnovi fizičnih diskov pa imamo povezave IDE ter SATA vmesnikov - RAID diskov v samem ohišju računalnika
V tem času je podjetje Intel še razvilo večjedrsko delitev v enem procesorju kar pomeni da si vsa jedra morajo deliti predpomnilnik dostopnost do pomnilnika ter usklajeno delovati in imeti povezave do ostalih elementov Procesorji s porabo in zmogljivostjo Teraflop že omogočajo prepoznavo govora obraza in rokopisa Hitrost zmogljivosti število jeder ter odvajanje toplote pri mikroprocesorjih se bo eksponentno povečevalo (Intel source view 2010)
Vprašanja za ponavljanje
Kaj je več jedrski procesor Kaj je to napredni RAM Razišči in opiši katera napredna strojna oprema je na slovenskem trgu
34 Napredni operacijski sistemi
V naprednih strojnih vodah je znana večja prepoznavnost Windows XP operacijskega sistema ki ga ob nakupu lahko nastavimo in kasneje enostavno vzdržujemo
Vgrajena orodja znotraj OS-a
Raziskovalec (computer managment ) Register Nadzorna plošča in spremljajoči programi ter nastavitve
Kot pri vsaki informacijski opremi je preventiva vedno najprimernejša
V OS Windows XP_Nadzorni plošči_Computer managment imamo vsa navodila in upravljanje z napakami in popravki tako programske opreme napake na trdih RAID diskov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 19
Napredno vzdrževanje strojne opreme Učno gradivo
namestitev gonilnikov starih verzij programske opreme sistemske in aplikativne napake ter odstranitev vseh uporabnikov ki niso več priključeni v informacijski sistem
Nameščanje in odmeščanje strojne opreme (gonilnikov matične plošče uporabnih vhodnih -izhodnih enot sistemske strojne opreme ter do končnega cilja namestitve Odmeščanje ali odstranitev strojne opreme pri napredni strojni opremi pa je v okolju Windows XP narejeno z posebnimi odnamestitvenimi programi istega proizvajalca oz operacijskega sistema v našem primeru preko Windows nadzorne plošče
Register ki beleži vse namestitve ter spremembe programov znotraj le-tega ima funkcijo spominanja zatorej mora računalnikar uporabiti zmogljiva vzdrževalna orodja ki pretekle namestitve strojne opreme pobrišejo veliko hitreje kot pa uporabnik
Zaščita strojne opreme na uporabniškem nivoju poteka preko dodatnih požarnih zidov z nekaj 1028 bitnim ključi in več V primeru povezav veš računalniških sistemov in mrež znotraj LAN-a imajo najnovejša strojna oprema že nameščene programe za požarni zid znotraj HW proizvoda
3 slika primer brezžične matične plošče
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 20
Napredno vzdrževanje strojne opreme Učno gradivo
i Navodila za izdelavo tehničnega poročila
Kakovostna in po navodilih nadrejenega vzdrževalca - računalnikarja morajo biti zapisana v točno določenem Word formatu z primernim oblikovanjem in zapisom
Struktura naj bo sledeča
Naslovnica
Na njej je logotip Ljudske Univerze Radovljica naziv predmeta ime in priimek dijaka (tehničnega poročila seminarske oz pogodbenika) ime in priimek mentorja mesec in leto izdelave
Povzetek
V nekaj stavkih se povzame vsebino tehničnega poročila seminarske naloge oz naprednega nameščanja strojne opreme
Kazalo vsebine
Je izdelano na podlagi uporabe slogov za naslove Nivoji naslovov naj dosegajo največ nivo 3 (123)
Kazalo slik
Slike ki so uporabljene v nalogi morajo imeti napise Kazalo slik je izdelano na podlagi uporabe sloga za napise (arial 8 pt)
Poglavje uvoda
V tem poglavju se na eni strani strne in izbere kratko in jedrnato uvodna misel avtorja Namen uvoda je da bralca seznani z postopoma brano tematiko v gradivu
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 21
Napredno vzdrževanje strojne opreme Učno gradivo
Ostala poglavja
Nato sledijo ostala poglavja kot si jih je zamislil dijak
Povzetek
V povzetku se na kratko povzame obravnavan tema in nakaže morebitne težave in priložnosti pri obravnavanju tematike
Literatura
Zaradi avtorskih pravic in nelegalnega kopiranja inovacij predvsem tehničnih izumov se vedno navaja vire in informacije od tam kjer je avtor napisal strojno pogodbo tehnično poročilo ali seminarsko nalogo
Literatura zavzema spletne naslove podjetij gradiv časopisov revij in knjižnih strokovnih knjig
-------------------------------------------------------------------------------------------------------
Velikost pisave je 12 ali 14Pt
Vrsta pisave je Times New Roman
Slogi napisov
Naslov 1 pisava Cambria velikost 14pik krepko
Naslov 2 pisava Cambria velikost 13 pik krepko
Naslov 3 pisava Cambria velikost 12 pik krepko
Jezik
V strokovno-znanstveni literaturi je uporaba knjižnega jezika in urejevalnika besedil smiselna V primeru da je prevod izraza v tujkah se v oklepaju navede vrsto tujega jezika in prevod Primer
RAM (ang Random Access Memory)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 22
Napredno vzdrževanje strojne opreme Učno gradivo
Obseg
Tehnično poročilo je predvideno do 4 strani v primeru modula M8
Vzdrževalna pogodba je kratka in po členih pravno definirana v obliki medsebojnega dogovora naprednega vzdrževanja strojne opreme ter lastnika zastarele strojne opreme
Seminarska naloga je definirana glede na temo ni vrsto seminarske zatorej je priporočljivo imeti navodila strani- obsega ob začetku pisanja
Vprašanja za ponavljanje
Kakšno je tehnično poročilo
Zakaj je strojna oprema potrebna naprednega vzdrževanja ob koncu leta
Kakšne vrste pogodb o namestitvi strojne opreme poznaš v IT-ju
Kako izgleda licenčna namestitev strojne opreme Glej primer HW podjetij ki uporabljajo strojno opremo IBMHPLogitech ipd
Spletni brskalniki
Glede na naravo dela in poznavanje novih strojnih namestitev ter naprednih oprem ki nastajajo v posameznih multunacionalnih laboratorijih in proizvodnih procesih mora računalnikar biti seznanjen z novimi produkti oz strojno opremo v sodobnem času
Uporabo dostopa do wwwgooglecom wwwhpcom wwwibmcom wwwapplecom mu omogočajo pri velikanski izbiri na trgu da poišče primerno opremo proizvajalca zamenjati določen zastarel že servisiran produkt mikroprocesor izh-enoto ipd
Za brskanje po spletu je važno da se spozna na prodajo in uporabo strojne opreme kot tudi posameznih enot Oprema ki jo bo vzdrževal ima neko serijsko številko oziroma namestitveno pogodbo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 23
Napredno vzdrževanje strojne opreme Učno gradivo
Diski in na njem zaupni podatki strojna oprema ponarejanje in zamenjava s slabšimi produkti dolgoročne ne vodi računalnikarja tako do osebnega kot tudi poslovnega uspeha Res je da je mnogo različno kakovostnih produktov strojne opreme na trgu vendar tudi zloraba pri naprednem servisiranju in vzdrževanju prinašata posledice
Računalnikar se bo na terenu srečeval z identitetami računalnikov podjetij organizacij ki so po svoji naravi različna
Kot primer navajam uporabniške skupine strojne opreme ki so privrženci za Apple ter uporabniki oz privrženci za IBM Vsi bodo hvalili in zagotavljali boljšo kvaliteto in kakovost svoje strojne opreme
Zatorej vedno v tehničnem poročilu navedemo stanje strojne opreme pred našim prihodom in po tem ko smo jo le-to vzdrževali
Tako se profesionalno in komunikacijsko obnašamo s stranko kot pravi računalnikar z veliko odgovornostjo
Napredno svetovanje in pomoč uporabnikom strojne opreme
Pri pomembnosti komunikacije s s stranko moramo torej uporabljati pravila profesionalnega vedenja do stranke
Analizirati učinkovitost obstoječe strojne opreme Svetovati napredne matične plošče procesorje vodila Upoštevati različne strojne zahteve glede na namembnost osebnega računalnika Upoštevamo pomembnost shranjevanja dokumentacije vsaj 4 leta
S stranko je važno da vedno komuniciramo prijazno spoštljivo in umirjeno Kot svetovalec oz napredni računalnikar si lahko informacije o strojni opremi izmenjujemo preko strokovnih forumov novičarskih fan-tehničnih skupin (Apple HP Microsoftipd) ali pa smo povezani preko help-desk podpore na lokalnem zaščitenem omrežju kjer odpravljamo napake na terenu takoj
Zelo pomembna je tudi hitra odzivnost hitro in natančno odpravljanje napak poštenost do stranke ter na koncu primerna cena napredne strojne opreme vzdrževanja
Vprašanja za ponavljanje
Kaj je to komplet čipov
Kaj je osveževanje podpisana pogodbe o strojni opremi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 24
Napredno vzdrževanje strojne opreme Učno gradivo
Kaj je to etičnost in morala pravočasne namestitve napredne strojne opreme
4 Tveganje pri upravljanju napredne strojne opreme
Ko izrečemo ali preberemo besedi raquotveganje upravljanja napredne strojne opremelaquo se ne zavedamo da je tveganje skrito že kar v prvi besedi raquoupravljanjelaquo Tisti ki so odgovorni za upravljanje se tega namreč premalo ali sploh ne zavedajo Tveganja ki se v pri strojni opremi ter poslovnih subjektih na tem nivoju kažejo so
- nikoli dovolj resursov- cilji so nejasni- ni definirane politike standardov- število tveganj je preveliko ne ve se katera strojna oprema je najbolj pomembna- ni kulture
Sicer pa prevladuje prepričanje da se verjetno ne bo nič zgodilo Opisano ni zgled vodstvaZato moramo v svojo organizacijo sistematično s celostnim pristopom vpeljatiupravljanje tveganj Za drugo besedo raquotveganjelaquo se lahko vprašamo na kajnajprej pomislimo v vsakodnevnem življenju ko jo slišimo Najbrž pomislimo dalahko nekaj z določeno verjetnostjo izgubimo Preprosto sklepamo kaj in koliko lahko izgubimo ob neljubem dogodku to opredelimo z raquoresnostjolaquo verjetnost da izgubimo paobičajno opredelimo kot raquofrekvencalaquo pojavljanjaTo da se zgodi tisto česar v bistvu ne želimo je naša raquoranljivostlaquo če se ustreznoodzovemo ali reagiramo na tak dogodek pomeni da smo v aktivnostih privzelidoločene raquoobrambnelaquo mehanizme in zmanjšali raquoizpostavljenostlaquo tveganjemPri obravnavanju tveganj se izvajajo procesi analize ocene in rešitve kar lahkoopredelimo kot raquoupravljanjelaquo Resnost se meri z vrednostmi ovrednotimo jo finančnotorej določimo znesek Verjetnost pa merimo oz ocenimo s številom dogodkov včasovnem obdobju največkrat na leto Seveda bomo pozorni in dogodke spremljali dotiste varnosti in zaščite ki sta primerni sprejemljivi in hkrati skladni z našimivrednotami standardi in ekonomskimi zmožnostmi V bistvu so stvari boljkompleksne vsekakor je pomembna hitrost v odzivnosti Če želimo obravnavati inprimerjati tveganja moramo primerjati razsežnosti tveganj Ni rečeno da so tveganjanizka po vrednosti in visoka po frekvenci z enakim učinkom itd Zanimivo je da so vZDA in anglosaksonskem svetu upravljanje s tveganji vzeli kot tekmovalno prednostmedtem ko je v EU to bolj posledica regulative
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 25
Napredno vzdrževanje strojne opreme Učno gradivo
41 Spremembe pri strojni opremi
Spremembe so silovite Hitro se razvijajoča informacijska in telekomunikacijskatehnologija zahteva nove poslovne modele Gonilniki sprememb vplivajo na poslovnesubjekte ki morajo biti prilagodljivi hitri in hkrati varni Vse to med drugim prinašanegotovost znotraj poslovnega sistema pa tudi v zunanjem okolju Obvladovanjesprememb zahteva izjemne intelektualne napore saj so pritiski na poslovne subjekteveliki Prihajajo s strani zahtev regulative zakonodaje varnosti standardov nadzorakontrol konkurence itd Odražajo se v vrednostnih pogajalcih za PS kot soohranjanje rasti stroški in učinkovitost načrtna razdelitev kapitala in prioritetno sejim pridružuje upravljanje s tveganji torej investiranje v varnost Ključna tveganja vteh transformacijah so tako strateška kot procesna Sem sodijo informacijski sistemi(IS) infrastruktura tehnologija stranke partnerji konkurenca in intelektualni kapital -človeški viri itd Vsako od omenjenih tveganj je sicer možno omiliti ali odpravitivendar je potreben holistični pristop standardizacija privzemanje kulture tveganjpotrebno je kreirati program upravljanja tveganj program varnosti vpeljatiupravljanje znanj integralna orodja za tveganja orodja za analize scenarijev insimulacij uvesti nove discipline in metrike ter dobro prakso In kakšna je potem cenavarnosti Ni univerzalnih navodil ni garancij za uspeh ker v globalnem svetunenehno nastajajo nova tveganja V mreži poslovnih verig so medsebojno odvisna Vnadaljevanju je nakazano strukturno razumevanje oziroma pristop k upravljanjutveganj informacijske tehnologije (IT) kot podpore IS-mu in procesom v poslovnihsistemih ne glede na to kateri industriji poslovni subjekt pripada
V področje upravljanja s tveganji IT (UT-IT) vsekakor spadajo informacijski sistemi[1] IT viri procesi projekti in druge danosti ter kategorije povezane z IT Področjezajema vsa operativna tveganja kot posledice Človeških in tehnoloških napak Jeizjemno široko kompleksno interdisciplinarne narave s poudarkom na ustreznemrazumevanju konceptov z več področij (varnost tveganja nadzor (revizije)neprekinjeno poslovanje) Izhodišče so informacije ki jih podpira IS kateregaomogoča informacijska tehnologija v vsaki organizaciji Informacije potrebujejoanalizo tako domene IS kot poslovne domene Informacije so vitalen vir vsakeposlovne enote zato so tudi tarča napadov z različnimi motivi in vplivi na poslovanjeUT-IT tako zajema uporabnike IT organizacijo IT in njeno dejavnost kot storitevkončnim uporabnikom
IT organizacija mora biti ustrezno organizirana da zagotavljaposlanstvo varnosti učinkovitosti IS in dostavo storitev Zato imavarnost v organizacijah več oblik Odvisne so ena od druge inpredstavljalo celotno varnost (fizičnondashtehnično varnost in upravljalnisistem informacijske varnosti)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 26
Napredno vzdrževanje strojne opreme Učno gradivo
Pogled na strukturo IT organizacije je priporočljiv z več vidikov in dimenzijPredstava v prostoru je znana IT raquokockalaquo Med IT vire pa na splošno opredeljujemo
- ljudi- aplikacije- tehnologijo- podatke- Podporo-
Taka struktura je pomembna za odpravljanje tveganj v IT organizacijah namrečzajema tako procese kot več disciplin in upravljanje dejavnosti IT organizacije S temdemonstriramo funkcionalnost ki zagotavlja kvalitetno storitev IT Taka strukturaomogoča boljšo dostavljivost IT rešitev kar pomeni učinkovitost IS in zmanjšanjedoločenih tveganj med njimi tudi usklajevanje poslovnih ciljev najvišjega vodstva zIT
Ker izhajamo iz informacije poglejmo njene lastnosti Glavni kriteriji za ocenjevanjeso zaupnost integriteta in razpoložljivost Metoda UT-IT pa je skupni imenovalec zaanalizo neprekinjenemu poslovanju [4] projektnemu vodenju [5] drugim disciplinamin revizijam ter informacijskim varnostnim tveganjem Tveganja iz naslovainformacijske varnosti lahko do določene stopnje primerjamo s kontrolami [6] S tegavidika kontrole zmanjšujejo tveganja in so povezane z revizijami (notranjimi inzunanjimi) Pri tem se opirajo na preglede v katerih se ugotavljajo primernost inskladnost varnostne arhitekture ter učinkovitosti izvajanja upravljanja tveganjTudi odločitve običajno temeljijo na informacijah če so informacije mehke pride doizraza večja negotovost in odločitve ki se sprejemajo lahko pripeljejo do usodnihdogodkov v katerih se tveganja uresničijo in nastajajo izgube v poslovanjuDefinicij informacije je precej Velja da je to vir vsakega poslovnega subjekta Takopridemo do vrednosti informacije kot vseh drugih vitalnih vrednih virov v poslovnemsistemu Prav neustrezno ravnanje z informacijami povzroča velika tveganja ininformacijsko nestabilnost Dejstvo je da se mora v digitalni ekonomiji in globalnemsvetu poleg socialne finančne in ekonomske stabilnosti upoštevati tudi informacijska
Pri poslovanju so vsekakor pomembni procesi ki so predmet obravnave na področjuupravljanja tveganj IT Tako UT-IT opredeljuje in zajema tudi operativna tveganja Izpraktičnega vidika je v poslovnem sistemu veliko procesov ki se nadalje delijo napodprocese in aktivnosti temeljni in podporni Toda vsi morajo biti raquooptimalnilaquovodeni in nadzorovani Precej kompleksnosti naraste v informacijskem sistemu ki gapodpirata informacijska in telekomunikacijska tehnologija Zato je za področje UT-ITsmiselno uporabiti okvir COBIT Ta standard se lahko uspešno privzame tudi pri samiorganiziranosti in definiciji procesov v organizacijah ITUT-IT je prav tako proces v katerem se proučuje in obravnava IS-me Sem spadajotudi nevarnosti ki pretijo poslovnemu sitemu IS-mu IT organizaciji njeni storitveni
dejavnosti torej vsem virom v sistemu kakor tudi drugim poslovnim subjektom vposlovni verigi V njej so tehnološke razdalje med subjekti izjemno ranljive saj nasvoji poti informacije doživljajo spremembe procesi v katerih se to dogaja pa so semorali razširiti izven okolja posamezne organizacije ali PS Pot je posejana z
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 27
Napredno vzdrževanje strojne opreme Učno gradivo
nevarnostmi različnih izvorov tako da se tudi tveganja in njihovi vplivi na poslovanjeodražajo z različnimi učinki Poglablja se tveganje e-poslovanja gre za takoimenovana e-tveganja Biti brez varnosti v realnem času in hitre odzivne funkcije natveganja ter nepredvidene dogodke je lahko za poslovanje silno usodno Zatoobstajajo različne strategije orodja in načini za zdravljenje tveganj ki skupajpredstavljajo obrambne mehanizme organizacije Pri tem je pomembno zavedanje inizobraževanje ter neprestano usposabljanje strokovnjakov na teh področjihOperativna tveganja so izrazito povezana z internimi procesi in jih posamezneindustrije že obravnavajo vsekakor pa jih bo morala vpeljati finančna industrija zlastiban1048830ni sektor ki bo moral biti skladen z Baselskim II standardom in EU (CAD)direktivami Standard namreč zajema potencialne izgube tudi iz naslova operativnihtveganj ne glede na interne ali zunanje dejavnike Osredotočen je na objavopotencialnih izgub za vse poslovne linije organizacije po določeni strukturi poročanjaglede kapitalske ustreznostiKo pogledamo v bančni sektor je osnovni namen obvladovanja inupravljanja s tveganji v bankah zagotavljanje njene plačilnesposobnosti Med različnimi načini za uresničevanje tega cilja je naprvem mestu institut minimalnega kapitala in zagotavljanje potrebnekapitalske ustreznosti banke o katerem govori Basel IIDelež kapitala v celotni bilančni vsoti je pri bankah mnogo manjši kot pri drugihorganizacijah in podjetjih Tudi njegova funkcija je drugačna Kot najpomembnejšafunkcija bančnega kapitala se ponavadi navaja zaščita vlagateljev Bančni kapitalpoleg tega omogoča nadzornim institucijam omejevati obseg tveganih dejavnosti bankin hkrati omogoča banki financiranje njenih osnovnih sredstev Ker so upniki bankmnožice posameznikov ki imajo pri teh bankah praviloma vloge na vpogled alikratkoročno vezane vloge in ker je takrat ko banka postane nelikvidna ponavadi žeprepozno saj je takrat banka praviloma že nesolventna je velikost bančnega kapitalajavna zadeva
Filozofija današnje bančne regulative je dopustiti zdravo konkurenco med bankami inhkrati zagotoviti njihovo disciplino prek predpisovanja minimalnih kapitalskih zahtevBaselski standardi so vplivali na oblikovanje evropskih smernic za banke Polegstandardizirane metodologije za računanje potrebnega kapitala za pokrivanjeomenjenih tveganj so navedeni potrebni pogoji za uporabo internih modelov bank zamerjenje tveganj med njimi operativno tveganje (uporabniki IT in IT organizacij)
Obseg in narava tveganj s katerima se srečujejo banke sta odvisni od narave njihovihposlov Pri tradicionalnih bančnih poslih (dajanje posojil iz prejetih depozitov) se kotglavna tveganja pojavljajo kreditno tveganje (tveganje dolžnikove nezmožnosti alinepripravljenosti izpolniti obveznosti iz naslova kreditne pogodbe) tržnolikvidnostno tveganje (tveganje da banka v določenem trenutku ne more poravnativseh svojih dospelih plačilnih obveznosti) tveganje spremembe obrestne mere(tveganje da bo postala pogodbeno določena obrestna mera drugačna od tržne in dabo banka utrpela izgubo iz tega naslova) ter operacijsko tveganje (tveganje ki mu jebanka izpostavljena zaradi možnih človeških napak torej internih procesov napaktehnologije in zunanjih dejavnikov (gre tudi za prevare poneverbe pranje denarjaoperativne izgube pravne ter druge stroške ki jih banka nosi v primeru njihoveganastanka)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 28
Napredno vzdrževanje strojne opreme Učno gradivo
Z bankami so povezani poslovni subjekti in vsi morajo zagotavljati varno poslovanjeTveganja so precejšnja saj vsi PS ne morejo zagotavljati enako učinkovitihprotiukrepov in varnostnih mer Pogljablja se tudi STP e-poslovanje nastajajo eskupnostiIS-mi se pogovarjajo med seboj brezžične komunikacije nujno jeprivzemanje standardov in različice XML protokola vse različne storitve potrebujejoUT-IT Področje je v razmahu in lastniki ter nadzorni sveti bodo moralikontrolirati operativne izgube in učinkovitost IS NS bodo imeli vlogo potrditvestrategij UT-IT uprave oz vodstva pa bodo morali dokazati skladnost s standardi inmetodami
Primerov storitev ki jih lahko obsega napredno vzdrževanje strojne opreme v UT-IT
spremljanje tehnoloških novosti povezanih z vzdrževano opremo ter priprava predlogov in ukrepov za nemoteno delovanje oz izboljšanje njenega delovanja
zamenjava delov strojne opreme
namestitev varnostnih popravkov na strežniško infrastrukturo
namestitev varnostnih popravkov na delovne postaje in prenosnike
periodično preventivno vzdrževanje strojne opreme
dokumentiranje storitev vzdrževanja
popravilo in odstranitev vseh pomanjkljivosti odkritih med preventivnim pregledom
pomoč sistemskim administratorjem in uporabnikom odgovori na vprašanja in svetovanje glede uporabe vzdrževane infrastrukturne opreme na lokaciji naročnika oz uporabnika
izredni kontrolni nadzor nad delovanjem infrastrukturne opreme po dogovoru z naročnikom
nadgradnja strežnikov delovnih postaj in prenosnih računalnikov
nadgradnja komunikacijske opreme
daljinska pomoč preko telefona elektronske pošte faksa ali daljinskega dostopa pri reševanju problemov uporabnikov odgovori na vprašanja in svetovanje glede uporabe vzdrževane strojne opreme
Osnovno popraviloStrokovnjak bo preveril delovanje računalnika opredelil napako in jo odpravil V to storitev se uvršča odprava manjših napak na računalniku
Storitev vsebuje diagnostiko težave in njeno odpravo v primeru da gre za manjšo napako Med manjše napake sodi ponovna namestitev gonilnikov popravilo napačnih nastavitev v programski opremi ponovna namestitev programov itd
V primeru da sestavljamo ob nakupu nov računalnik z dodatno opremo moramo poskrbeti da bomo da za nakup dobili najboljšo ponudbo računalnika ali računalniške opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 29
Napredno vzdrževanje strojne opreme Učno gradivo
Pri sestavi sistema bomo upoštevali vaše potrebe ter dosegli najboljše razmerje med ceno in zmogljivostjo Poudarek je na individualnem svetovanju katerega namen je kar najbolje poskrbeti za želje uporabnika V ta sklop sodi poleg svetovanja za nakup računalnika tudi svetovanje o ostalih perifernih napravah (tiskalniki usmerjevalniki itd)
Pristop k osnovanju UT-IT
Težko je odgovoriti ali se odzvati na vsa tveganja brez ustreznega znanja Splošnoznano je tudi da se iz podatkov procesirajo informacije in iz njih znanje ki ga jesmiselno takoj uporabiti Gre za znanje poslovnega subjekta v celoti in nekateraspecialna znanja za katera je potrebno zagotoviti da so v pravilnem kontekstu in napravem mestu Upravljanje znanj (UZ) ima lahko odločilno vlogo pri strategiji zavpeljavo področja upravljanja tveganj IT v vsakodnevnem poslovanju UZ zmanjšaraquokorporacijskolaquo izpostavljenost tveganjem Zato je pametno zbrati vse ustrezneinformacije strukturirati znanje v kontekst ali okvir v katerega bodo vnesene vsebinepotrebne za UT-IT Kreiranje portala in repositorija za upravljanje tveganjopredeljujemo kot podporno infrastrukturo področju V repositoriju sopredefinirane strukture Zaposlenim so na voljo v obliki zemljevidov raquomaplaquo kikažejo na vsebine in povezave med njimi ter omogočajo polnjenje vsebin Pridoločanju vsebin lahko sodelujejo vsi želeno je da se v organizaciji na področjutveganj in varnosti ustvarja intelektualni potencialUpravljanje
Tveganj IT5Varnost
Metoda je opredeljena kot množica korakov (algoritem ali navodilo) uporabljenih zaizvršitev naloge (dela posla) Metodologija je nekako širši pojem in predstavljamnožico orodij lahko raziskovalne metode ali razlago teorije vodenja v vodstvenoprakso Torej metodologija organizira teorijo v nekaj razumljivega Ker je na voljo večpristopov metodologij in metod pri upravljanju tveganj bi torej metodologijopredstavljalo orodje za podporo odločitvenim sistemom iz področja UT-IT Tehnik inmetod je dejansko več katere bomo uporabili za različna področja in položaje toterja tehtni premislek
Slika 4 Zunanji disk WD Passport (klikni na sliko
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 30
Napredno vzdrževanje strojne opreme Učno gradivo
V glavnem so osnovane na točkovnih in statističnih metodah kvalitativni inkvantitativni tehniki Znana je enačba tveganj ALE (letnih pričakovanih izgub)Smiselno pa je privzeti metodo standarda BS7799 [10] ali ISO17799 za informacijskovarnost Smiselno je da bi vse industrije prevzele standard PSIST7799 (prevod) kivelja v državi od 13 6 2000 za bančni sektor (z dopolnitvami)Poslovni subjekti lahko uporabljajo lastno razvite tehnike in tehnologije zaidentifikacijo in analizo tveganj Za različne poslovne procese kot so vodenjesprememb združevanja in prevzemi raquocorporate governancelaquo strateško planiranje invrednotenje lahko privzete kvalitativne ali kvantitativne identifikacije tveganj inanalitske tehnike dodajo značilno vrednost za različne poslovne položaje in področjaUveljavljajo se metode analize scenarijev in raquoscorecardslaquo ter druge statistične metoderazne simulacije (Monte Carlo) itdTipično je da se simulacijski modeli uporabljajo za odločitve o sestavi realnihsistemov in za odločitve o politiki in postopkih ki jih uporabljamo pri delovanjurealnih sistemov Simulacija pomaga pri določanju sestave politike in postopkov vnegotovih torej tveganih pogojih okolja sistema Manager poskuša z modelom kotnadomestkom za realni sistem z uporabo različnih vhodnih podatkov in postopkovdoseči na osnovi dobljenih rezultatov pri simulaciji lažje odločanje pri vodenjurealnega sistema Vendar mora biti pri tem pazljiv in rezultatov dobljenih ssimulacijo ne more kratkomalo prenašati v realni svet Model in simulacija lahkopomagata bolje spoznati delovanje realnega sistema ne moreta pa zagotoviti raquopraveizbirelaquo za realni sistem Pri upravljanju tveganj IT lahko preveč subjektivne ocenepovzročajo nova tveganja predvsem na področju zunanjih virov (outsourcinga) invodenja pogodbZa UT-IT je na voljo dovolj modelov orodij programov in vzorcev ki jih lahkouporabimo v svojem poslovnem okolju Priporoljivo je da vsak poslovni subjektkreira sebi ustrezen model glede na specifiko vendar mora izvajati ovrednotenje da jeskladen s standardi in regulativo Standardi so uveljavljeni in nudijo dovolj velik okvirza njihovo privzemanje in funkcijo uporabe
Pregledni model UT-ITV podporo modelu UT-IT je že potreben omenjeni portal kot rezultat procesov priupravljanju znanj in repositorij kjer se shranjujejo potrebne vsebine in nastaja bazaznanja o dogodkih in tveganjih ter obrambnih mehanizmih Portal služi tudi zaizobraževanje Vsebine predstavljajo sezname in infostrukture od standardov doobrazcev ki se uporabljajo v posameznih fazah ali procesih analize in v obravnavanjutveganj Zbrani so tudi vsi principi zakonodaja politike procedure metrika procesiin tokovi informacij kakor tudi vnos v register tveganj zajem nevarnosti popis vsehkontrol varnostni mehanizmi in seznam protiukrepov vse to za dogodke in scenarijeki se lahko ali so se že zgodiliZa področje UT-IT se kreirajo smernice za posamezne entitete ali subjekte ki sovključeni kot participatorji ter navodila kako se izvajajo aktivnosti Učinkovitost sedoseže s poprej določenimi infostrukturami standardizacijo in povezavami medpodročji ter odnosi med entitetami ali objekti ki tvorijo sistem upravljanja tveganj IT
Kreiranje konteksta ali takšnega okvira je možno ker so v glavnem poznane vsestrukture in gradniki UT-IT in želenega sistema varnosti Dovolj predlog je že naInternetu zato je smiselno področje pregledati in izbrati želene infostrukture Posebnerazlage niso potrebne UT-IT se odvija po projektnih principih s skupinami ki so
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 31
Napredno vzdrževanje strojne opreme Učno gradivo
strokovne na svojih področjih Prav tako se v skupinah (samovodljivo) ocenjujejotveganja in definirajo strategije rešitev za identificirana tveganjaPodročje UT-IT je lahko služba ki je neodvisna in samostojna organizacijska enota v vrhu vodstva organizacijeIZVAJANJEOKVIRKaj kako s 1048830i
- Komunikacijski krogi
Bistven gradnik UT-IT predstavljajo komunikacijski krogi (KK) med področji inodgovornimi ali delegiranimi sodelavci po poslovnih linijah Le-ti predstavljajo raquokomunikatorje tveganjalaquo ki so povezani prek sistema zgodnjega opozarjanja inizvajajo vnos dogodkov ter podatkov za analize tveganj in ocenjevanje vpliva naposlovanje Izkušena skupina določi tudi ustrezne protiukrepe in varnostne mere ter jihposreduje lastnikom tveganj Ti s strokovnjaki za posamezna področja pripravijostrategijo rešitve in jo predstavijo (kot zagovor) odgovornim za področja da se posoglasju lahko izvedejo Področje UT-IT spremlja in spet ocenjuje učinke terrezidualna tveganja Zaradi narave tveganj in inherentnih tveganj IT so tovsakodnevne aktivnosti upravljanje tveganj in varnosti pa je vodstvena funkcijaObstaja še pomembna lastnost in specifika da področja varnosti in tveganj pripadajovsem zaposlenem v organizaciji zato so komunikacijski krogi in pravočasnoinformiranje nujniZa operacijsko kvaliteto v organizaciji je potrebno definirati oz določiti dimenzijo vkateri se meri kvaliteta Značilne so tri dimenzije (kriteriji)
- primernost in funkcionalnost- varnost in zanesljivost- razpoložljivost in dostopnost
- Metrike
-Tveganje je objektivizirane negotovosti glede na možnost pojavitve nezaželenegadogodka merjenje negotovosti in negotovosti izgube Negotovost nastane zaradipomanjkanja informacij o nekdanjih sedanjosti in prihodnjih dogodkih vrednostih inpogojih Ne glede na različne stopnje negotovosti je osnova koncepta negotovosti vpomanjkanju informacij o delih sistema ki ga obravnavamo ali opazujemo Zmanjšanje tveganj mora biti motiv za organizacijo Zmanjšanjestopnje negotovosti je korak k opredelitvi kaj je lahko narejeno zazmanjšanje izpostavljanju tveganj Kakšno metriko uporabimo jeodvisno od tega kaj želimo meriti obravnavati spremljati izboljšatiitdOceniti tveganje pomeni ovrednotiti koliko lahko prenesemo oz izgubimo če seneljubi dogodek zgodi in pri tem izgubimo npr kar posedujemo Ali predstavlja to zanas vrednost in kako pogosto se ti dogodki pojavljajo so začetna razmišljanja ko greza tveganja in reakcije na njihLahko trdimo da je tveganje vedno ocenjeno z analizo scenarijev kar pomenivrednotiti možne izgube in frekvenco verjetnosti možne škode Toda v kakšnemobsegu in po katerih predvidevanjih Vsekakor je pri ocenjevanju tveganj medkvalitativno in kvantitativno analizo razlika Smiselno je obravnavanje analizetveganj Še tako dobro zastavljena varnostna politika brez izvajanja in kontrole ne
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 32
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
Spletni portal httpwwwpraktiksi
httpwwworiacom
httpwwwibmcom
httpwwwhpcom
Spletna revija COMPUTER WEEKLY ndash VB httpwwwcomputerweeklycomhome
Spletna revija COMPUTERWorld ndash ZDA httpwwwcomputerworldcom
2 Strojna oprema
Beseda strojna oprema izvira bolj iz besednjaka ko popravljamo avtomobil ali dele vrtne opreme vendar je pri tem predmetu to mišljeno predvsem celotno hardwear besedoslovje ki vključuje pojme kot so matična plošča procesor vhodne izhodne enote pomnilnik ohišje delovni pomnilnik ipd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 8
Napredno vzdrževanje strojne opreme Učno gradivo
Z računalniško strojno opremo smo si pripravljeni spremeniti navade odnos življenje Zatorej širimo znanje o kakem prenosu podatka ali odnosu v družbi V dobi informacijskega veka smo za primerne informacije pripravljeni kupiti najnovejšo strojno opremo za veliko denarja V hitrem informacijskem svetu hitro hitrejšo takoj napredno strojno opremo brez komunikacije in sistemov opreme ne moremo uporabiti kot pa so jo to sredi prejšnjega stoletja
Strojna oprema še posebno napredna se razvija iz dneva v dan vse bolj in bolj in vpliva na sodobnega človeka neposredno
21 Prednosti sodobne strojne opreme
Kvalitetna strojna oprema omogoča delo na različnih družbenih področjih kot so
Medicinska strojna oprema
Poslovna in zavarovalniška strojna oprema (delniško poslovanje- Wall Street Bančni poslovni inf sistemiipd)
Robotika
Prostorska in geodetska strojna oprema
Bio-informatika
Napredna izvedba strojne opreme za potrebe Outsourcinga raquood-zunajlaquo
Strojna oprema državni upravi
Strojna oprema namenjena za uporabo zahtevnih raziskav na terenu nemogočih tehničnih pogojev v delovnih okoljih (NASA SHELL FBI ipd)
Zabavna strojna oprema (računalniške igrice z svojo opremo Walt Disney Animirani filmi ipd)
Razpis za izbiro proizvajalcev dobaviteljev in izvajalcev napredne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 9
Napredno vzdrževanje strojne opreme Učno gradivo
Postopek izbiranja je zakonsko opredeljen Seveda kot računalničar ni toliko bistveno zakonsko stališče kot le pravila in izkušnje
A) Pomembno je izbiranje usposobljenih dobaviteljevB) Končno izbiranje proizvajalcev dobaviteljev in izvajalcev
Pri napredni izbiri strojne opreme moramo razlikovati proizvajalce dobavitelje in izvajalce vzpostavljanja komunikacijske infrastrukture Poleg strokovnih in finančnih ter časovnih lastnostih izbire ima vedno večjo težo ponudba napredne strojne opreme Ker želimo ponavadi že na določeno strojno opremo da opremo inštalira isto podjetje ponavadi izberemo ustrezno podjetje ki ponuja nadgradnjo le omenjene
22 Izvedbena faza projekta zamenjave strojne opreme
Tukaj govorimo o fizičnem postavljanju omrežja in strojne namestitve Prvi korak v tej smeri je podpis pogodbe z izbranim dobaviteljem napredne strojne opreme Zavedati se moramo da računalniška strojna oprema predstavlja hrbtenico kompleksnega porazdeljenega sistema zato je priporočljivo da kupec in dobavitelj podrobno opredelita želeno napredno strojno opremo inštalacije oz namestitve testiranje strojne opreme prevzemanje komunikacijske infrastrukture Upoštevati moramo naslednje vprašanja
Kako ugotavljamo ustreznost opreme
Kako ugotavljamo zmogljivost opreme
Kaj pomeni dobaviti določeno opremo
Kako bomo upoštevali zunanje faktorje ki vplivajo na potek izvedbe napredne strojne opreme
23 Količinski prevzem
Potrdi da je dobavitelj fizično dostavil strojno opremo opredeljeno s pogodbo Smiselno je da je naročnik za dobavljeno opremo sprejel le tisto ki je inštalirana na vnaprej opredeljeni lokaciji Inštalacija mora potrditi osnovno lokalno funkcionalnost strojne opreme Kot primer
na določeni lokaciji se nahaja usmerjevalnik z ustrezno linijsko opremo (konvertorji modemi monitorji ipd) ki je priključena na napajanje in prenosne medije Ker je računalniško
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 10
Napredno vzdrževanje strojne opreme Učno gradivo
omrežje kompleksen sistem je potrebno potrditi vsebinsko in funkcionalno ustreznost količinsko prevzete opreme Pogodba mora predpisovati način in pogoje testiranja ustreznosti opreme Običajno priv test napredne strojne opreme opravi naročnik ki lahko ugotovi nepravilnosti ki jih mora dobavitelj odpraviti in se izvajajo vsi naslednji testi na račun dobavitelja Ta predhodni korak prevzemanja zagotovita da oprema količinsko in funkcionalno ustreza naročeni strojni opremi
Preverjanje povezljivosti strojne opreme je proces nastavitve sistemskih parametrov za predvideni način delovanja in testiranja kompatibilnosti lokalne infrastrukture z okolico
Za izvedbo testa strojne opreme je potrebna primerna strojna računalniška oprema
24 Pilotna faza
Pilotna faza je namenjena preverjanju že nameščene strojne opreme kot celote s poudarkom na analizi zmogljivosti napredne strojne opreme saj je konformnost preverjena že v prejšnjih fazah
Pogosto se zgodi da zaradi različnih objektivnih razlogov projekta ni mogoče namestiti v dogovorjenem roku Razlog je lahko primer da za določeno lokacijo ne moremo najti ustreznih prenosnih poti ob tem pa večina lokacij (npr delovnih strojnih postaj) že uspešno deluje V takem primeru bi bilo nesmiselno odlagati nadaljevanje vzpostavljanja hrbtenice to je pilotno fazo delovanja
Pilotna faza namestitve strojne opreme se torej lahko prične ko vse lokacije lokalno privzete in ko ugotovimo dogovorjeni odstotek pogojno prevzetih lokacij hrbtenice računalniškega omrežja
Pilotna faza ni opredeljena samo s testi ampak je njeno bistvo predvsem opazovanje in presojanje delovanja napredne strojne opreme v delovanju V tej fazi končni uporabniki npr dijaki še ne morejo pričakovati predpisane kvalitete in stabilnosti delovanja Pilotna faza se zaključi takrat ko ugotovimo da omrežje določen čas deluje s predvideno zmogljivostjo in razpoložljivostjo npr več kot 95
Prevzem celotnega računalniške strojne opreme pomeni da naročnik dobavitelju prizna izpolnitev vseh pogodbenih obveznosti in obratno Poleg tega pa je potrebno poskrbeti za
- vzpostavitev nadzora in upravljanja omrežja s strani naročnika- zagotavljanje vzdrževanja in servisiranja vzpostavljene infrastrukture- ustrezno podporo končnim uporabnikom
Z zaključkom te faze omrežje pride v produkcijsko fazo s katero se začne normalen življenjski cikel naprednega vzdrževanja strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 11
Napredno vzdrževanje strojne opreme Učno gradivo
25 Arhitektura strojnega sistema
1slikaarhitektura ohišja
Mehanizem odjemalec ndash strežnik
- Izpad odjemalca
Strežnik ki je ostal brez svojih odjemalcev ker so ti nehali delovati ali so nedosegljivi imenujemo sirota
Tak strežnik požira vire lastnega sistema kar pa še ni najhuje Več težav lahko povzroči zmeda ki nastopi v vrstah odjemalcev ki se ponovno vzpostavljajo in dobivajo od strežnika odgovore na svoje zahteve iz časa pred izpadom Teh zahtev se namreč ne raquospominjajolaquo in ne vedo kako naj interpretirajo odgovore
Za reševanje take situacije pri naprednem vzdrževanju strojne opreme poznamo nekaj situacij
- Iztrebljanje je dokaj drakonska strategija takoj ko se odjemalec ndash roditelj procesa ponovno zavre samega sebe strežniku naroči da naj razvrednoti vse njegove morebitne procese Algoritem mora teči ker lahko najdemo v primeru pogostih izpadov na strežniku tudi procese posameznih zahtev
- Reinkarnacija je tretja strategija Odjemalec razseka čas v zaporedne intervale imenovane epohe Če odjemalcu po metodi iztrebljanja ni uspelo ubiti vseh svojih zahtev ndash procesov lahko oznani vsem strežnikom začetek novega obdobja Strežniki uničijo vse tiste zahteve ki ne sodijo v sedanjo uporabo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 12
Napredno vzdrževanje strojne opreme Učno gradivo
26 Lociranje strežnikov
V praksi nameščanja nadomestne strojne opreme je imenski strežnik tisti ki vodi evidenco o vseh ostalih strežnikih Odjemalec se s svojim problemom obrne na imenski strežnik in mu ta predlaga izvajalca Imenski strežniki se uporabljajo za izvedbo elektronske pošte
Ob namestitvi novega strežnika je potrebno ob njegovem obstoju obvestiti imenski strežnik Za to lahko poskrbi sama delovna postaja avtomatsko največkrat pa je potreben poseg vzdrževalca imenskega strežnika
Dostikrat odjemalec želi ugotoviti kateri strežnik je najbolj primeren za izvršitev njegove zahteve
27 Specifikacije in testiranje protokolov
S problemi testiranja komunikacijskih protokolov se soočamo v napredni strojni opremi že od začetkov povezovanja računalniških sistemov v omrežja Področje analize in testiranja komunikacijskih protokolov se je uvrstilo v okvire implementacije komunikacijskega procesa
Izvedba protokola je porazdeljen sistem v katerem ima vsak proces določeno stopnjo lokalne avtonomije in na nek način interakcije z okolico
- Informacijske storitve sistemov
Osnovni namen informacijsko komunikacijskih sistemov je nudenje svojih posrednih ali neposrednih storitev uporabnikov
Med standardne storitve sodijo na primer različne izvedbe računalniško podprtih omrežnih informacijskih sistemov z bolj ali manj decentraliziranimi elementi O splošnih lastnostih teh storitev velja da v vseh operacijskih sistemih podpirajo standardne storitve kjer se stikata lokalni uporabnik računalnik ndash odjemalec in virtualna naprava strežnik
28 Varnost strojne opreme
Varnost nadgradnje strojne opreme je zelo obsežen pojem zato ga je potrebno skrbno prestrukturirati Zanesljivost sistema dosežemo predvsem s skrbnim načrtovanjem nadzorom in upravljanjem sistema Pri tem imata pomembno vlogo organiziranost poslovanja in
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 13
Napredno vzdrževanje strojne opreme Učno gradivo
usposobljenost uporabnikov To področje je izredno široko in ga na tem mestu ne bomo obravnavali saj predstavlja samostojno disciplino sistemskega inženiringa
Zaščita sistema opazujemo z dveh osnovnih zornih kotov
- zaščita na nivoju končnih računalnikov ndash lokalna zaščita- zaščita ki je potrebna zaradi narave decentraliziranih sistemov ndash decentralizirana
zaščita
Iz vsakdanjega življenja vsi poznamo primere v katerih nam zelo veliko pove že dejstvo da vemo med katerimi ljudmi v določenem trenutku poteka komuniciranje ne glede na to da same vsebine ne moremo razbrati Ravno tako v primeru da razpoznamo da strojna oprema pri zagotavljanju kakovostnega komunikacijskega delovanja ne deluje jo nadomestimo z nadgradnjo
29 Odkrivanje napak
Pri uporabi in delovanju strojne opreme pride do napak predvidoma na prenosnih medijih kjer se lahko dogajajo napake Najpreprostejši način je odkrivanje napak v okviru nameščene strojne opreme v kontroli maske kjer je strojna oprema evidentirana kot okolje Windows
Komercialne različice računalniške strojne opreme s skupinskih prenosnim medijem se je pričela tudi kot omrežje
a) brezžičnoJe tisto ki je kot prenosni medij fizično opredeljivo z radijskimi valovi ali svetlobo
b) mobilnoOmrežje ni nujno brezžično bistveno je da podpira selitve računalnikov
Kot primer lahko navedem kombinacijo klasičnega modema in brezžičnega telefona ki ga lahko napredno vzdržujemo preko modema priključenega na modem npr v hotelski sobi in ga preko te linije vstopamo v drug računalnik ki je v povezavi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 14
Napredno vzdrževanje strojne opreme Učno gradivo
2slika diagnostika
- Napredno vzdrževanje prenosnih medijev
Prenosni mediji niso le žice kot pogosto najprej pomislimo Pojem bomo nekoliko razširili saj ne smemo pozabiti na prenosne medije ki nimajo zveze z računalniškimi komunikacijami tičejo pa se računalniških informacijskih sistemov
Z vidika IKS-a je poznavanje prenosnih medijev zanimivo le v toliko kolikor različne oblike prenosnih medijev omogočajo zasnovo prenosnih kanalov z različnimi kapacitetami primernih za različne razdalje in različno ceno Njihova tehnologijama sodi v področja ki so razdeljena
- Koaksialni kabel- Brezžične povezave- Optično vlakno
Optična vlakna so danes najzanesljivejši prenosni medij Prevajajo svetlobne signale ki jih običajno vzbujamo z laserskimi napravami Signal med prenosom po optičnem mediju le malo oslabi Danes dosegamo 100 kilometrske prenose brez ponavlalnikov signala Kaj takega je po parici ali koaksialnemu kablu nedosegljivo Kapaciteta optičnega kanala 100 Mbits na omenjeni razdalji ni vprašljiva na krajših odsekih pa so na pohodu že kapacitete 100 Gbits
- Brezžične povezave
Med brezžične povezave prištevamo več skupin povezav ki so zasnovane na širjenju elektromagnetnega valovanja skozi prostor Tipične oblike so
- Radijske zemeljske povezave
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 15
Napredno vzdrževanje strojne opreme Učno gradivo
- Mikrovalovne usmerjenje povezave- Infrardeče povezave - Satelitske povezave
Poleg brezžičnih povezav spada v nepogrešljivo komunikacijo tudi telefonsko omrežje Vzdrževanje telefonskega omrežja ima dostop večine opisanih graditeljev računalniških omrežij
Pripravljalne faze naprednega vzdrževanja strojne opreme
- Identificirati pristopne točke pokvarjenih delov strojne opreme- Oceniti storitve pokvarljivosti strojne opreme- Oceniti vrednost investicije za namestitev strojne opreme ter infrastrukturo ki bo
zmogla ocenjene napake opredeliti in načrtovati grobe okvire nove infrastrukture- Zagotoviti vire financiranja nameščanja nove strojne opreme
To sicer ni tehničen problem vendar pa navadno predstavlja nepomembnejše in pogosto najzamudnejše opravilo z dokaj nepredvidljivim izidom
- Opredeliti osnovne izvedbe okvire izvedbe Ti so neodvisni od infrastrukture dinamike financiranja in drugih dejavnikov Že v okviru te faze projekta je potrebno vzpostaviti stike z nameščeno strojno opremo
Večina ljudi čuti naraven odpor do razstavljanja električnih naprav in to z razlogom Proizvajalci drugih naprav vedno svarijo naj jih uporabniki ne odpirajo sami Možnost električnega šoka je prisotna pri vsej strojni opremi Vsi računalniki ne sodijo mednje saj so narejeni tako da jih uporabnik lahko do neke mere sam priredi
Ko nameščamo napredno strojno opremo npr v ohišju moramo najprej izključiti vse napeve
Iz vtičnice potegnemo napajanje za računalnik in za vse naprave ki so nanj priključene Nikakor se namešča napredne strojne opreme dokler je vtikač v vtičnici Ne samo da to škoduje računalniku nevarno je tudi za samega vzdrževalca oz uporabnika
Ohišje je lupina v katero so nameščene komponente ki sestavljajo jedro računalnika Napajalnik (ang power supply) pa je naprava ki pretvarja standardno omrežno izmenično napetost v nižje enosmerne napetosti ki jih za delovanje potrebuje računalnik
Čeprav nekateri pravijo da je to smešno sodita ohišje in napajalnik popolnoma upravičeno na vrh seznama obveznih komponent Brez njiju ni nobenega računalnika Včasih sta drug z drugim neločljivo povezana čeprav raquohodita vsak svojo potlaquo Kakršna vrsta strojne opreme se najprej ugotovi po ohišju ki je pri namiznih računalnikih zelo razkošno V ohišju najdemo prostor za osnovno ploščo z potrebnimi komponentami trde diske različne vmesniške kartice
Hrupa ki je pri stojni opremi v računalniku se lotimo ko reže v ohišju skozi katere priteka zrak v računalnik in ventilator napajalnika povečamo Ko nameščamo napredno strojno
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 16
Napredno vzdrževanje strojne opreme Učno gradivo
opremo mora biti tudi ohišje na primernem zračnem mestu To sicer ne pomeni da moramo računalnik spraviti pod mizo vendar moramo poskrbeti za učinkovit zračni preskok
Ohišja namiznih računalnikov se lahko med seboj močno razlikujejo vsa pa so praviloma dokaj velika in vanje je že vgrajen napajalnik Vgrajeni napajalnik je pri namiznih računalnikih najmočnejši ne pa edini vir hrupa Za hrup je ponavadi kriv ventilator ki skrbi za hlajenje napajalnika ohišje pa velikokrat deluje kot kakšen resonator in hrup še veča
Pri napredni strojni opremi ohišja računalnikov razdelimo na tri skupine
- Plosko ohišje
Ima obliko kvadrata z največjo ploskvijo kot osnovno stranico Navadno ga postavimo na eno od stranskih stranic in tako simuliramo ohišje v obliki stolpa Na voljo je več izvedb ploskih ohišij Tako lahko izbiramo med večjimi in manjšimi ohišji ter med bolj in manj primernimi za odpiranje
- Kompaktni sistemi
Pri kompaktnih sistemih je klasično ohišje računalnika združeno z ohišjem monitorja vanj pa so pogosto vgrajeni še zvočniki in mikrofon Ves računalnik je praktično v enem kosu vanj nista le integrirana le tipkovnica in kazalna naprava Čeprav računalniki po kompaktnosti približujejo prenosnim računalnikom Se za stalno prenašanje vseeno nekoliko okrni Kompaktni sistem je prava izbira če računalniku ne želite nameniti več prostora kot ga potrebuje povprečen monitor ali če se vam prenosni računalniki ne zdijo primerni zaradi cene oz premajhne tipkovnice
- Ročni računalniki so strpani v najmanjša ohišja kar jih je To ni nič čudnega saj morajo biti tako majhni da jih je mogoče med uporabo držati v roki Po velikosti lahko računalnike primerjamo z nekoliko boljšimi računali
- Osnovne plošče
Računalnik je skupek komponent
Tako delimo strojno opremo znotraj ohišja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 17
Napredno vzdrževanje strojne opreme Učno gradivo
3 slika pri CD-ju in CD romu je možno popravljanje napak
Če nameščamo vse tiste komponente ki jih osnovne plošče vgradijo izdelovalci računalnika ali jih nanje namestijo sestavljavci računalnikov glede na želje uporabnikov ali želje kupcev
- Procesor
Kljub pomembnosti je procesor najbolj odgovorno in je pri naprednem vzdrževanju potrebno ločeno kupiti ali popraviti od osnovne plošče Na njej je podnožje kamor ga sestavljavec računalnika lahko zamenja ali nadomesti z bolj zmogljivim Izdelovalci plošč skrbijo da je posamezna osnovna plošča uporabna z celo družino procesorjev včasih celo z različnimi družinami Družine se seveda razlikujejo po oznakah Večina korporacij med strojno opremo še posebno v zadnjem času se razlikuje po hitrosti delovnega takta frekvenci prenosa in zmogljivosti
3 NAČRTOVANJE STROJNE OPREME
Načrtovanje strojne opreme lahko izbiramo ob nakupu primernih računalnikov s pomočjo svetovalca serviserja ali vzdrževalca informacijske opreme Uporabe računalnikov in posebnih programov v proizvodnji in arhitekturi postavitve linijskih proizvodnji procesov urejajo posebni programi CAD
Za izdelavo prevodnikov in polprevodnikov na matični plošči oz integriranih vezij lahko srečamo naslednje kovine
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 18
Napredno vzdrževanje strojne opreme Učno gradivo
Krom barij iridij svinec paladij tantal arzen berilij baker zlato kadmij
Pri gradnji informacijske opreme in sistemov na osnovi mikroprocesorjev potrebujemo dodatne elemente rečemo jim raquopodporni elementilaquo To so periferni adapterji časovna vezja DMA krmilniki množilniki frekvence ROM in RAM pomnilniki Na osnovi fizičnih diskov pa imamo povezave IDE ter SATA vmesnikov - RAID diskov v samem ohišju računalnika
V tem času je podjetje Intel še razvilo večjedrsko delitev v enem procesorju kar pomeni da si vsa jedra morajo deliti predpomnilnik dostopnost do pomnilnika ter usklajeno delovati in imeti povezave do ostalih elementov Procesorji s porabo in zmogljivostjo Teraflop že omogočajo prepoznavo govora obraza in rokopisa Hitrost zmogljivosti število jeder ter odvajanje toplote pri mikroprocesorjih se bo eksponentno povečevalo (Intel source view 2010)
Vprašanja za ponavljanje
Kaj je več jedrski procesor Kaj je to napredni RAM Razišči in opiši katera napredna strojna oprema je na slovenskem trgu
34 Napredni operacijski sistemi
V naprednih strojnih vodah je znana večja prepoznavnost Windows XP operacijskega sistema ki ga ob nakupu lahko nastavimo in kasneje enostavno vzdržujemo
Vgrajena orodja znotraj OS-a
Raziskovalec (computer managment ) Register Nadzorna plošča in spremljajoči programi ter nastavitve
Kot pri vsaki informacijski opremi je preventiva vedno najprimernejša
V OS Windows XP_Nadzorni plošči_Computer managment imamo vsa navodila in upravljanje z napakami in popravki tako programske opreme napake na trdih RAID diskov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 19
Napredno vzdrževanje strojne opreme Učno gradivo
namestitev gonilnikov starih verzij programske opreme sistemske in aplikativne napake ter odstranitev vseh uporabnikov ki niso več priključeni v informacijski sistem
Nameščanje in odmeščanje strojne opreme (gonilnikov matične plošče uporabnih vhodnih -izhodnih enot sistemske strojne opreme ter do končnega cilja namestitve Odmeščanje ali odstranitev strojne opreme pri napredni strojni opremi pa je v okolju Windows XP narejeno z posebnimi odnamestitvenimi programi istega proizvajalca oz operacijskega sistema v našem primeru preko Windows nadzorne plošče
Register ki beleži vse namestitve ter spremembe programov znotraj le-tega ima funkcijo spominanja zatorej mora računalnikar uporabiti zmogljiva vzdrževalna orodja ki pretekle namestitve strojne opreme pobrišejo veliko hitreje kot pa uporabnik
Zaščita strojne opreme na uporabniškem nivoju poteka preko dodatnih požarnih zidov z nekaj 1028 bitnim ključi in več V primeru povezav veš računalniških sistemov in mrež znotraj LAN-a imajo najnovejša strojna oprema že nameščene programe za požarni zid znotraj HW proizvoda
3 slika primer brezžične matične plošče
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 20
Napredno vzdrževanje strojne opreme Učno gradivo
i Navodila za izdelavo tehničnega poročila
Kakovostna in po navodilih nadrejenega vzdrževalca - računalnikarja morajo biti zapisana v točno določenem Word formatu z primernim oblikovanjem in zapisom
Struktura naj bo sledeča
Naslovnica
Na njej je logotip Ljudske Univerze Radovljica naziv predmeta ime in priimek dijaka (tehničnega poročila seminarske oz pogodbenika) ime in priimek mentorja mesec in leto izdelave
Povzetek
V nekaj stavkih se povzame vsebino tehničnega poročila seminarske naloge oz naprednega nameščanja strojne opreme
Kazalo vsebine
Je izdelano na podlagi uporabe slogov za naslove Nivoji naslovov naj dosegajo največ nivo 3 (123)
Kazalo slik
Slike ki so uporabljene v nalogi morajo imeti napise Kazalo slik je izdelano na podlagi uporabe sloga za napise (arial 8 pt)
Poglavje uvoda
V tem poglavju se na eni strani strne in izbere kratko in jedrnato uvodna misel avtorja Namen uvoda je da bralca seznani z postopoma brano tematiko v gradivu
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 21
Napredno vzdrževanje strojne opreme Učno gradivo
Ostala poglavja
Nato sledijo ostala poglavja kot si jih je zamislil dijak
Povzetek
V povzetku se na kratko povzame obravnavan tema in nakaže morebitne težave in priložnosti pri obravnavanju tematike
Literatura
Zaradi avtorskih pravic in nelegalnega kopiranja inovacij predvsem tehničnih izumov se vedno navaja vire in informacije od tam kjer je avtor napisal strojno pogodbo tehnično poročilo ali seminarsko nalogo
Literatura zavzema spletne naslove podjetij gradiv časopisov revij in knjižnih strokovnih knjig
-------------------------------------------------------------------------------------------------------
Velikost pisave je 12 ali 14Pt
Vrsta pisave je Times New Roman
Slogi napisov
Naslov 1 pisava Cambria velikost 14pik krepko
Naslov 2 pisava Cambria velikost 13 pik krepko
Naslov 3 pisava Cambria velikost 12 pik krepko
Jezik
V strokovno-znanstveni literaturi je uporaba knjižnega jezika in urejevalnika besedil smiselna V primeru da je prevod izraza v tujkah se v oklepaju navede vrsto tujega jezika in prevod Primer
RAM (ang Random Access Memory)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 22
Napredno vzdrževanje strojne opreme Učno gradivo
Obseg
Tehnično poročilo je predvideno do 4 strani v primeru modula M8
Vzdrževalna pogodba je kratka in po členih pravno definirana v obliki medsebojnega dogovora naprednega vzdrževanja strojne opreme ter lastnika zastarele strojne opreme
Seminarska naloga je definirana glede na temo ni vrsto seminarske zatorej je priporočljivo imeti navodila strani- obsega ob začetku pisanja
Vprašanja za ponavljanje
Kakšno je tehnično poročilo
Zakaj je strojna oprema potrebna naprednega vzdrževanja ob koncu leta
Kakšne vrste pogodb o namestitvi strojne opreme poznaš v IT-ju
Kako izgleda licenčna namestitev strojne opreme Glej primer HW podjetij ki uporabljajo strojno opremo IBMHPLogitech ipd
Spletni brskalniki
Glede na naravo dela in poznavanje novih strojnih namestitev ter naprednih oprem ki nastajajo v posameznih multunacionalnih laboratorijih in proizvodnih procesih mora računalnikar biti seznanjen z novimi produkti oz strojno opremo v sodobnem času
Uporabo dostopa do wwwgooglecom wwwhpcom wwwibmcom wwwapplecom mu omogočajo pri velikanski izbiri na trgu da poišče primerno opremo proizvajalca zamenjati določen zastarel že servisiran produkt mikroprocesor izh-enoto ipd
Za brskanje po spletu je važno da se spozna na prodajo in uporabo strojne opreme kot tudi posameznih enot Oprema ki jo bo vzdrževal ima neko serijsko številko oziroma namestitveno pogodbo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 23
Napredno vzdrževanje strojne opreme Učno gradivo
Diski in na njem zaupni podatki strojna oprema ponarejanje in zamenjava s slabšimi produkti dolgoročne ne vodi računalnikarja tako do osebnega kot tudi poslovnega uspeha Res je da je mnogo različno kakovostnih produktov strojne opreme na trgu vendar tudi zloraba pri naprednem servisiranju in vzdrževanju prinašata posledice
Računalnikar se bo na terenu srečeval z identitetami računalnikov podjetij organizacij ki so po svoji naravi različna
Kot primer navajam uporabniške skupine strojne opreme ki so privrženci za Apple ter uporabniki oz privrženci za IBM Vsi bodo hvalili in zagotavljali boljšo kvaliteto in kakovost svoje strojne opreme
Zatorej vedno v tehničnem poročilu navedemo stanje strojne opreme pred našim prihodom in po tem ko smo jo le-to vzdrževali
Tako se profesionalno in komunikacijsko obnašamo s stranko kot pravi računalnikar z veliko odgovornostjo
Napredno svetovanje in pomoč uporabnikom strojne opreme
Pri pomembnosti komunikacije s s stranko moramo torej uporabljati pravila profesionalnega vedenja do stranke
Analizirati učinkovitost obstoječe strojne opreme Svetovati napredne matične plošče procesorje vodila Upoštevati različne strojne zahteve glede na namembnost osebnega računalnika Upoštevamo pomembnost shranjevanja dokumentacije vsaj 4 leta
S stranko je važno da vedno komuniciramo prijazno spoštljivo in umirjeno Kot svetovalec oz napredni računalnikar si lahko informacije o strojni opremi izmenjujemo preko strokovnih forumov novičarskih fan-tehničnih skupin (Apple HP Microsoftipd) ali pa smo povezani preko help-desk podpore na lokalnem zaščitenem omrežju kjer odpravljamo napake na terenu takoj
Zelo pomembna je tudi hitra odzivnost hitro in natančno odpravljanje napak poštenost do stranke ter na koncu primerna cena napredne strojne opreme vzdrževanja
Vprašanja za ponavljanje
Kaj je to komplet čipov
Kaj je osveževanje podpisana pogodbe o strojni opremi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 24
Napredno vzdrževanje strojne opreme Učno gradivo
Kaj je to etičnost in morala pravočasne namestitve napredne strojne opreme
4 Tveganje pri upravljanju napredne strojne opreme
Ko izrečemo ali preberemo besedi raquotveganje upravljanja napredne strojne opremelaquo se ne zavedamo da je tveganje skrito že kar v prvi besedi raquoupravljanjelaquo Tisti ki so odgovorni za upravljanje se tega namreč premalo ali sploh ne zavedajo Tveganja ki se v pri strojni opremi ter poslovnih subjektih na tem nivoju kažejo so
- nikoli dovolj resursov- cilji so nejasni- ni definirane politike standardov- število tveganj je preveliko ne ve se katera strojna oprema je najbolj pomembna- ni kulture
Sicer pa prevladuje prepričanje da se verjetno ne bo nič zgodilo Opisano ni zgled vodstvaZato moramo v svojo organizacijo sistematično s celostnim pristopom vpeljatiupravljanje tveganj Za drugo besedo raquotveganjelaquo se lahko vprašamo na kajnajprej pomislimo v vsakodnevnem življenju ko jo slišimo Najbrž pomislimo dalahko nekaj z določeno verjetnostjo izgubimo Preprosto sklepamo kaj in koliko lahko izgubimo ob neljubem dogodku to opredelimo z raquoresnostjolaquo verjetnost da izgubimo paobičajno opredelimo kot raquofrekvencalaquo pojavljanjaTo da se zgodi tisto česar v bistvu ne želimo je naša raquoranljivostlaquo če se ustreznoodzovemo ali reagiramo na tak dogodek pomeni da smo v aktivnostih privzelidoločene raquoobrambnelaquo mehanizme in zmanjšali raquoizpostavljenostlaquo tveganjemPri obravnavanju tveganj se izvajajo procesi analize ocene in rešitve kar lahkoopredelimo kot raquoupravljanjelaquo Resnost se meri z vrednostmi ovrednotimo jo finančnotorej določimo znesek Verjetnost pa merimo oz ocenimo s številom dogodkov včasovnem obdobju največkrat na leto Seveda bomo pozorni in dogodke spremljali dotiste varnosti in zaščite ki sta primerni sprejemljivi in hkrati skladni z našimivrednotami standardi in ekonomskimi zmožnostmi V bistvu so stvari boljkompleksne vsekakor je pomembna hitrost v odzivnosti Če želimo obravnavati inprimerjati tveganja moramo primerjati razsežnosti tveganj Ni rečeno da so tveganjanizka po vrednosti in visoka po frekvenci z enakim učinkom itd Zanimivo je da so vZDA in anglosaksonskem svetu upravljanje s tveganji vzeli kot tekmovalno prednostmedtem ko je v EU to bolj posledica regulative
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 25
Napredno vzdrževanje strojne opreme Učno gradivo
41 Spremembe pri strojni opremi
Spremembe so silovite Hitro se razvijajoča informacijska in telekomunikacijskatehnologija zahteva nove poslovne modele Gonilniki sprememb vplivajo na poslovnesubjekte ki morajo biti prilagodljivi hitri in hkrati varni Vse to med drugim prinašanegotovost znotraj poslovnega sistema pa tudi v zunanjem okolju Obvladovanjesprememb zahteva izjemne intelektualne napore saj so pritiski na poslovne subjekteveliki Prihajajo s strani zahtev regulative zakonodaje varnosti standardov nadzorakontrol konkurence itd Odražajo se v vrednostnih pogajalcih za PS kot soohranjanje rasti stroški in učinkovitost načrtna razdelitev kapitala in prioritetno sejim pridružuje upravljanje s tveganji torej investiranje v varnost Ključna tveganja vteh transformacijah so tako strateška kot procesna Sem sodijo informacijski sistemi(IS) infrastruktura tehnologija stranke partnerji konkurenca in intelektualni kapital -človeški viri itd Vsako od omenjenih tveganj je sicer možno omiliti ali odpravitivendar je potreben holistični pristop standardizacija privzemanje kulture tveganjpotrebno je kreirati program upravljanja tveganj program varnosti vpeljatiupravljanje znanj integralna orodja za tveganja orodja za analize scenarijev insimulacij uvesti nove discipline in metrike ter dobro prakso In kakšna je potem cenavarnosti Ni univerzalnih navodil ni garancij za uspeh ker v globalnem svetunenehno nastajajo nova tveganja V mreži poslovnih verig so medsebojno odvisna Vnadaljevanju je nakazano strukturno razumevanje oziroma pristop k upravljanjutveganj informacijske tehnologije (IT) kot podpore IS-mu in procesom v poslovnihsistemih ne glede na to kateri industriji poslovni subjekt pripada
V področje upravljanja s tveganji IT (UT-IT) vsekakor spadajo informacijski sistemi[1] IT viri procesi projekti in druge danosti ter kategorije povezane z IT Področjezajema vsa operativna tveganja kot posledice Človeških in tehnoloških napak Jeizjemno široko kompleksno interdisciplinarne narave s poudarkom na ustreznemrazumevanju konceptov z več področij (varnost tveganja nadzor (revizije)neprekinjeno poslovanje) Izhodišče so informacije ki jih podpira IS kateregaomogoča informacijska tehnologija v vsaki organizaciji Informacije potrebujejoanalizo tako domene IS kot poslovne domene Informacije so vitalen vir vsakeposlovne enote zato so tudi tarča napadov z različnimi motivi in vplivi na poslovanjeUT-IT tako zajema uporabnike IT organizacijo IT in njeno dejavnost kot storitevkončnim uporabnikom
IT organizacija mora biti ustrezno organizirana da zagotavljaposlanstvo varnosti učinkovitosti IS in dostavo storitev Zato imavarnost v organizacijah več oblik Odvisne so ena od druge inpredstavljalo celotno varnost (fizičnondashtehnično varnost in upravljalnisistem informacijske varnosti)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 26
Napredno vzdrževanje strojne opreme Učno gradivo
Pogled na strukturo IT organizacije je priporočljiv z več vidikov in dimenzijPredstava v prostoru je znana IT raquokockalaquo Med IT vire pa na splošno opredeljujemo
- ljudi- aplikacije- tehnologijo- podatke- Podporo-
Taka struktura je pomembna za odpravljanje tveganj v IT organizacijah namrečzajema tako procese kot več disciplin in upravljanje dejavnosti IT organizacije S temdemonstriramo funkcionalnost ki zagotavlja kvalitetno storitev IT Taka strukturaomogoča boljšo dostavljivost IT rešitev kar pomeni učinkovitost IS in zmanjšanjedoločenih tveganj med njimi tudi usklajevanje poslovnih ciljev najvišjega vodstva zIT
Ker izhajamo iz informacije poglejmo njene lastnosti Glavni kriteriji za ocenjevanjeso zaupnost integriteta in razpoložljivost Metoda UT-IT pa je skupni imenovalec zaanalizo neprekinjenemu poslovanju [4] projektnemu vodenju [5] drugim disciplinamin revizijam ter informacijskim varnostnim tveganjem Tveganja iz naslovainformacijske varnosti lahko do določene stopnje primerjamo s kontrolami [6] S tegavidika kontrole zmanjšujejo tveganja in so povezane z revizijami (notranjimi inzunanjimi) Pri tem se opirajo na preglede v katerih se ugotavljajo primernost inskladnost varnostne arhitekture ter učinkovitosti izvajanja upravljanja tveganjTudi odločitve običajno temeljijo na informacijah če so informacije mehke pride doizraza večja negotovost in odločitve ki se sprejemajo lahko pripeljejo do usodnihdogodkov v katerih se tveganja uresničijo in nastajajo izgube v poslovanjuDefinicij informacije je precej Velja da je to vir vsakega poslovnega subjekta Takopridemo do vrednosti informacije kot vseh drugih vitalnih vrednih virov v poslovnemsistemu Prav neustrezno ravnanje z informacijami povzroča velika tveganja ininformacijsko nestabilnost Dejstvo je da se mora v digitalni ekonomiji in globalnemsvetu poleg socialne finančne in ekonomske stabilnosti upoštevati tudi informacijska
Pri poslovanju so vsekakor pomembni procesi ki so predmet obravnave na področjuupravljanja tveganj IT Tako UT-IT opredeljuje in zajema tudi operativna tveganja Izpraktičnega vidika je v poslovnem sistemu veliko procesov ki se nadalje delijo napodprocese in aktivnosti temeljni in podporni Toda vsi morajo biti raquooptimalnilaquovodeni in nadzorovani Precej kompleksnosti naraste v informacijskem sistemu ki gapodpirata informacijska in telekomunikacijska tehnologija Zato je za področje UT-ITsmiselno uporabiti okvir COBIT Ta standard se lahko uspešno privzame tudi pri samiorganiziranosti in definiciji procesov v organizacijah ITUT-IT je prav tako proces v katerem se proučuje in obravnava IS-me Sem spadajotudi nevarnosti ki pretijo poslovnemu sitemu IS-mu IT organizaciji njeni storitveni
dejavnosti torej vsem virom v sistemu kakor tudi drugim poslovnim subjektom vposlovni verigi V njej so tehnološke razdalje med subjekti izjemno ranljive saj nasvoji poti informacije doživljajo spremembe procesi v katerih se to dogaja pa so semorali razširiti izven okolja posamezne organizacije ali PS Pot je posejana z
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 27
Napredno vzdrževanje strojne opreme Učno gradivo
nevarnostmi različnih izvorov tako da se tudi tveganja in njihovi vplivi na poslovanjeodražajo z različnimi učinki Poglablja se tveganje e-poslovanja gre za takoimenovana e-tveganja Biti brez varnosti v realnem času in hitre odzivne funkcije natveganja ter nepredvidene dogodke je lahko za poslovanje silno usodno Zatoobstajajo različne strategije orodja in načini za zdravljenje tveganj ki skupajpredstavljajo obrambne mehanizme organizacije Pri tem je pomembno zavedanje inizobraževanje ter neprestano usposabljanje strokovnjakov na teh področjihOperativna tveganja so izrazito povezana z internimi procesi in jih posamezneindustrije že obravnavajo vsekakor pa jih bo morala vpeljati finančna industrija zlastiban1048830ni sektor ki bo moral biti skladen z Baselskim II standardom in EU (CAD)direktivami Standard namreč zajema potencialne izgube tudi iz naslova operativnihtveganj ne glede na interne ali zunanje dejavnike Osredotočen je na objavopotencialnih izgub za vse poslovne linije organizacije po določeni strukturi poročanjaglede kapitalske ustreznostiKo pogledamo v bančni sektor je osnovni namen obvladovanja inupravljanja s tveganji v bankah zagotavljanje njene plačilnesposobnosti Med različnimi načini za uresničevanje tega cilja je naprvem mestu institut minimalnega kapitala in zagotavljanje potrebnekapitalske ustreznosti banke o katerem govori Basel IIDelež kapitala v celotni bilančni vsoti je pri bankah mnogo manjši kot pri drugihorganizacijah in podjetjih Tudi njegova funkcija je drugačna Kot najpomembnejšafunkcija bančnega kapitala se ponavadi navaja zaščita vlagateljev Bančni kapitalpoleg tega omogoča nadzornim institucijam omejevati obseg tveganih dejavnosti bankin hkrati omogoča banki financiranje njenih osnovnih sredstev Ker so upniki bankmnožice posameznikov ki imajo pri teh bankah praviloma vloge na vpogled alikratkoročno vezane vloge in ker je takrat ko banka postane nelikvidna ponavadi žeprepozno saj je takrat banka praviloma že nesolventna je velikost bančnega kapitalajavna zadeva
Filozofija današnje bančne regulative je dopustiti zdravo konkurenco med bankami inhkrati zagotoviti njihovo disciplino prek predpisovanja minimalnih kapitalskih zahtevBaselski standardi so vplivali na oblikovanje evropskih smernic za banke Polegstandardizirane metodologije za računanje potrebnega kapitala za pokrivanjeomenjenih tveganj so navedeni potrebni pogoji za uporabo internih modelov bank zamerjenje tveganj med njimi operativno tveganje (uporabniki IT in IT organizacij)
Obseg in narava tveganj s katerima se srečujejo banke sta odvisni od narave njihovihposlov Pri tradicionalnih bančnih poslih (dajanje posojil iz prejetih depozitov) se kotglavna tveganja pojavljajo kreditno tveganje (tveganje dolžnikove nezmožnosti alinepripravljenosti izpolniti obveznosti iz naslova kreditne pogodbe) tržnolikvidnostno tveganje (tveganje da banka v določenem trenutku ne more poravnativseh svojih dospelih plačilnih obveznosti) tveganje spremembe obrestne mere(tveganje da bo postala pogodbeno določena obrestna mera drugačna od tržne in dabo banka utrpela izgubo iz tega naslova) ter operacijsko tveganje (tveganje ki mu jebanka izpostavljena zaradi možnih človeških napak torej internih procesov napaktehnologije in zunanjih dejavnikov (gre tudi za prevare poneverbe pranje denarjaoperativne izgube pravne ter druge stroške ki jih banka nosi v primeru njihoveganastanka)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 28
Napredno vzdrževanje strojne opreme Učno gradivo
Z bankami so povezani poslovni subjekti in vsi morajo zagotavljati varno poslovanjeTveganja so precejšnja saj vsi PS ne morejo zagotavljati enako učinkovitihprotiukrepov in varnostnih mer Pogljablja se tudi STP e-poslovanje nastajajo eskupnostiIS-mi se pogovarjajo med seboj brezžične komunikacije nujno jeprivzemanje standardov in različice XML protokola vse različne storitve potrebujejoUT-IT Področje je v razmahu in lastniki ter nadzorni sveti bodo moralikontrolirati operativne izgube in učinkovitost IS NS bodo imeli vlogo potrditvestrategij UT-IT uprave oz vodstva pa bodo morali dokazati skladnost s standardi inmetodami
Primerov storitev ki jih lahko obsega napredno vzdrževanje strojne opreme v UT-IT
spremljanje tehnoloških novosti povezanih z vzdrževano opremo ter priprava predlogov in ukrepov za nemoteno delovanje oz izboljšanje njenega delovanja
zamenjava delov strojne opreme
namestitev varnostnih popravkov na strežniško infrastrukturo
namestitev varnostnih popravkov na delovne postaje in prenosnike
periodično preventivno vzdrževanje strojne opreme
dokumentiranje storitev vzdrževanja
popravilo in odstranitev vseh pomanjkljivosti odkritih med preventivnim pregledom
pomoč sistemskim administratorjem in uporabnikom odgovori na vprašanja in svetovanje glede uporabe vzdrževane infrastrukturne opreme na lokaciji naročnika oz uporabnika
izredni kontrolni nadzor nad delovanjem infrastrukturne opreme po dogovoru z naročnikom
nadgradnja strežnikov delovnih postaj in prenosnih računalnikov
nadgradnja komunikacijske opreme
daljinska pomoč preko telefona elektronske pošte faksa ali daljinskega dostopa pri reševanju problemov uporabnikov odgovori na vprašanja in svetovanje glede uporabe vzdrževane strojne opreme
Osnovno popraviloStrokovnjak bo preveril delovanje računalnika opredelil napako in jo odpravil V to storitev se uvršča odprava manjših napak na računalniku
Storitev vsebuje diagnostiko težave in njeno odpravo v primeru da gre za manjšo napako Med manjše napake sodi ponovna namestitev gonilnikov popravilo napačnih nastavitev v programski opremi ponovna namestitev programov itd
V primeru da sestavljamo ob nakupu nov računalnik z dodatno opremo moramo poskrbeti da bomo da za nakup dobili najboljšo ponudbo računalnika ali računalniške opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 29
Napredno vzdrževanje strojne opreme Učno gradivo
Pri sestavi sistema bomo upoštevali vaše potrebe ter dosegli najboljše razmerje med ceno in zmogljivostjo Poudarek je na individualnem svetovanju katerega namen je kar najbolje poskrbeti za želje uporabnika V ta sklop sodi poleg svetovanja za nakup računalnika tudi svetovanje o ostalih perifernih napravah (tiskalniki usmerjevalniki itd)
Pristop k osnovanju UT-IT
Težko je odgovoriti ali se odzvati na vsa tveganja brez ustreznega znanja Splošnoznano je tudi da se iz podatkov procesirajo informacije in iz njih znanje ki ga jesmiselno takoj uporabiti Gre za znanje poslovnega subjekta v celoti in nekateraspecialna znanja za katera je potrebno zagotoviti da so v pravilnem kontekstu in napravem mestu Upravljanje znanj (UZ) ima lahko odločilno vlogo pri strategiji zavpeljavo področja upravljanja tveganj IT v vsakodnevnem poslovanju UZ zmanjšaraquokorporacijskolaquo izpostavljenost tveganjem Zato je pametno zbrati vse ustrezneinformacije strukturirati znanje v kontekst ali okvir v katerega bodo vnesene vsebinepotrebne za UT-IT Kreiranje portala in repositorija za upravljanje tveganjopredeljujemo kot podporno infrastrukturo področju V repositoriju sopredefinirane strukture Zaposlenim so na voljo v obliki zemljevidov raquomaplaquo kikažejo na vsebine in povezave med njimi ter omogočajo polnjenje vsebin Pridoločanju vsebin lahko sodelujejo vsi želeno je da se v organizaciji na področjutveganj in varnosti ustvarja intelektualni potencialUpravljanje
Tveganj IT5Varnost
Metoda je opredeljena kot množica korakov (algoritem ali navodilo) uporabljenih zaizvršitev naloge (dela posla) Metodologija je nekako širši pojem in predstavljamnožico orodij lahko raziskovalne metode ali razlago teorije vodenja v vodstvenoprakso Torej metodologija organizira teorijo v nekaj razumljivega Ker je na voljo večpristopov metodologij in metod pri upravljanju tveganj bi torej metodologijopredstavljalo orodje za podporo odločitvenim sistemom iz področja UT-IT Tehnik inmetod je dejansko več katere bomo uporabili za različna področja in položaje toterja tehtni premislek
Slika 4 Zunanji disk WD Passport (klikni na sliko
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 30
Napredno vzdrževanje strojne opreme Učno gradivo
V glavnem so osnovane na točkovnih in statističnih metodah kvalitativni inkvantitativni tehniki Znana je enačba tveganj ALE (letnih pričakovanih izgub)Smiselno pa je privzeti metodo standarda BS7799 [10] ali ISO17799 za informacijskovarnost Smiselno je da bi vse industrije prevzele standard PSIST7799 (prevod) kivelja v državi od 13 6 2000 za bančni sektor (z dopolnitvami)Poslovni subjekti lahko uporabljajo lastno razvite tehnike in tehnologije zaidentifikacijo in analizo tveganj Za različne poslovne procese kot so vodenjesprememb združevanja in prevzemi raquocorporate governancelaquo strateško planiranje invrednotenje lahko privzete kvalitativne ali kvantitativne identifikacije tveganj inanalitske tehnike dodajo značilno vrednost za različne poslovne položaje in področjaUveljavljajo se metode analize scenarijev in raquoscorecardslaquo ter druge statistične metoderazne simulacije (Monte Carlo) itdTipično je da se simulacijski modeli uporabljajo za odločitve o sestavi realnihsistemov in za odločitve o politiki in postopkih ki jih uporabljamo pri delovanjurealnih sistemov Simulacija pomaga pri določanju sestave politike in postopkov vnegotovih torej tveganih pogojih okolja sistema Manager poskuša z modelom kotnadomestkom za realni sistem z uporabo različnih vhodnih podatkov in postopkovdoseči na osnovi dobljenih rezultatov pri simulaciji lažje odločanje pri vodenjurealnega sistema Vendar mora biti pri tem pazljiv in rezultatov dobljenih ssimulacijo ne more kratkomalo prenašati v realni svet Model in simulacija lahkopomagata bolje spoznati delovanje realnega sistema ne moreta pa zagotoviti raquopraveizbirelaquo za realni sistem Pri upravljanju tveganj IT lahko preveč subjektivne ocenepovzročajo nova tveganja predvsem na področju zunanjih virov (outsourcinga) invodenja pogodbZa UT-IT je na voljo dovolj modelov orodij programov in vzorcev ki jih lahkouporabimo v svojem poslovnem okolju Priporoljivo je da vsak poslovni subjektkreira sebi ustrezen model glede na specifiko vendar mora izvajati ovrednotenje da jeskladen s standardi in regulativo Standardi so uveljavljeni in nudijo dovolj velik okvirza njihovo privzemanje in funkcijo uporabe
Pregledni model UT-ITV podporo modelu UT-IT je že potreben omenjeni portal kot rezultat procesov priupravljanju znanj in repositorij kjer se shranjujejo potrebne vsebine in nastaja bazaznanja o dogodkih in tveganjih ter obrambnih mehanizmih Portal služi tudi zaizobraževanje Vsebine predstavljajo sezname in infostrukture od standardov doobrazcev ki se uporabljajo v posameznih fazah ali procesih analize in v obravnavanjutveganj Zbrani so tudi vsi principi zakonodaja politike procedure metrika procesiin tokovi informacij kakor tudi vnos v register tveganj zajem nevarnosti popis vsehkontrol varnostni mehanizmi in seznam protiukrepov vse to za dogodke in scenarijeki se lahko ali so se že zgodiliZa področje UT-IT se kreirajo smernice za posamezne entitete ali subjekte ki sovključeni kot participatorji ter navodila kako se izvajajo aktivnosti Učinkovitost sedoseže s poprej določenimi infostrukturami standardizacijo in povezavami medpodročji ter odnosi med entitetami ali objekti ki tvorijo sistem upravljanja tveganj IT
Kreiranje konteksta ali takšnega okvira je možno ker so v glavnem poznane vsestrukture in gradniki UT-IT in želenega sistema varnosti Dovolj predlog je že naInternetu zato je smiselno področje pregledati in izbrati želene infostrukture Posebnerazlage niso potrebne UT-IT se odvija po projektnih principih s skupinami ki so
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 31
Napredno vzdrževanje strojne opreme Učno gradivo
strokovne na svojih področjih Prav tako se v skupinah (samovodljivo) ocenjujejotveganja in definirajo strategije rešitev za identificirana tveganjaPodročje UT-IT je lahko služba ki je neodvisna in samostojna organizacijska enota v vrhu vodstva organizacijeIZVAJANJEOKVIRKaj kako s 1048830i
- Komunikacijski krogi
Bistven gradnik UT-IT predstavljajo komunikacijski krogi (KK) med področji inodgovornimi ali delegiranimi sodelavci po poslovnih linijah Le-ti predstavljajo raquokomunikatorje tveganjalaquo ki so povezani prek sistema zgodnjega opozarjanja inizvajajo vnos dogodkov ter podatkov za analize tveganj in ocenjevanje vpliva naposlovanje Izkušena skupina določi tudi ustrezne protiukrepe in varnostne mere ter jihposreduje lastnikom tveganj Ti s strokovnjaki za posamezna področja pripravijostrategijo rešitve in jo predstavijo (kot zagovor) odgovornim za področja da se posoglasju lahko izvedejo Področje UT-IT spremlja in spet ocenjuje učinke terrezidualna tveganja Zaradi narave tveganj in inherentnih tveganj IT so tovsakodnevne aktivnosti upravljanje tveganj in varnosti pa je vodstvena funkcijaObstaja še pomembna lastnost in specifika da področja varnosti in tveganj pripadajovsem zaposlenem v organizaciji zato so komunikacijski krogi in pravočasnoinformiranje nujniZa operacijsko kvaliteto v organizaciji je potrebno definirati oz določiti dimenzijo vkateri se meri kvaliteta Značilne so tri dimenzije (kriteriji)
- primernost in funkcionalnost- varnost in zanesljivost- razpoložljivost in dostopnost
- Metrike
-Tveganje je objektivizirane negotovosti glede na možnost pojavitve nezaželenegadogodka merjenje negotovosti in negotovosti izgube Negotovost nastane zaradipomanjkanja informacij o nekdanjih sedanjosti in prihodnjih dogodkih vrednostih inpogojih Ne glede na različne stopnje negotovosti je osnova koncepta negotovosti vpomanjkanju informacij o delih sistema ki ga obravnavamo ali opazujemo Zmanjšanje tveganj mora biti motiv za organizacijo Zmanjšanjestopnje negotovosti je korak k opredelitvi kaj je lahko narejeno zazmanjšanje izpostavljanju tveganj Kakšno metriko uporabimo jeodvisno od tega kaj želimo meriti obravnavati spremljati izboljšatiitdOceniti tveganje pomeni ovrednotiti koliko lahko prenesemo oz izgubimo če seneljubi dogodek zgodi in pri tem izgubimo npr kar posedujemo Ali predstavlja to zanas vrednost in kako pogosto se ti dogodki pojavljajo so začetna razmišljanja ko greza tveganja in reakcije na njihLahko trdimo da je tveganje vedno ocenjeno z analizo scenarijev kar pomenivrednotiti možne izgube in frekvenco verjetnosti možne škode Toda v kakšnemobsegu in po katerih predvidevanjih Vsekakor je pri ocenjevanju tveganj medkvalitativno in kvantitativno analizo razlika Smiselno je obravnavanje analizetveganj Še tako dobro zastavljena varnostna politika brez izvajanja in kontrole ne
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 32
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
Z računalniško strojno opremo smo si pripravljeni spremeniti navade odnos življenje Zatorej širimo znanje o kakem prenosu podatka ali odnosu v družbi V dobi informacijskega veka smo za primerne informacije pripravljeni kupiti najnovejšo strojno opremo za veliko denarja V hitrem informacijskem svetu hitro hitrejšo takoj napredno strojno opremo brez komunikacije in sistemov opreme ne moremo uporabiti kot pa so jo to sredi prejšnjega stoletja
Strojna oprema še posebno napredna se razvija iz dneva v dan vse bolj in bolj in vpliva na sodobnega človeka neposredno
21 Prednosti sodobne strojne opreme
Kvalitetna strojna oprema omogoča delo na različnih družbenih področjih kot so
Medicinska strojna oprema
Poslovna in zavarovalniška strojna oprema (delniško poslovanje- Wall Street Bančni poslovni inf sistemiipd)
Robotika
Prostorska in geodetska strojna oprema
Bio-informatika
Napredna izvedba strojne opreme za potrebe Outsourcinga raquood-zunajlaquo
Strojna oprema državni upravi
Strojna oprema namenjena za uporabo zahtevnih raziskav na terenu nemogočih tehničnih pogojev v delovnih okoljih (NASA SHELL FBI ipd)
Zabavna strojna oprema (računalniške igrice z svojo opremo Walt Disney Animirani filmi ipd)
Razpis za izbiro proizvajalcev dobaviteljev in izvajalcev napredne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 9
Napredno vzdrževanje strojne opreme Učno gradivo
Postopek izbiranja je zakonsko opredeljen Seveda kot računalničar ni toliko bistveno zakonsko stališče kot le pravila in izkušnje
A) Pomembno je izbiranje usposobljenih dobaviteljevB) Končno izbiranje proizvajalcev dobaviteljev in izvajalcev
Pri napredni izbiri strojne opreme moramo razlikovati proizvajalce dobavitelje in izvajalce vzpostavljanja komunikacijske infrastrukture Poleg strokovnih in finančnih ter časovnih lastnostih izbire ima vedno večjo težo ponudba napredne strojne opreme Ker želimo ponavadi že na določeno strojno opremo da opremo inštalira isto podjetje ponavadi izberemo ustrezno podjetje ki ponuja nadgradnjo le omenjene
22 Izvedbena faza projekta zamenjave strojne opreme
Tukaj govorimo o fizičnem postavljanju omrežja in strojne namestitve Prvi korak v tej smeri je podpis pogodbe z izbranim dobaviteljem napredne strojne opreme Zavedati se moramo da računalniška strojna oprema predstavlja hrbtenico kompleksnega porazdeljenega sistema zato je priporočljivo da kupec in dobavitelj podrobno opredelita želeno napredno strojno opremo inštalacije oz namestitve testiranje strojne opreme prevzemanje komunikacijske infrastrukture Upoštevati moramo naslednje vprašanja
Kako ugotavljamo ustreznost opreme
Kako ugotavljamo zmogljivost opreme
Kaj pomeni dobaviti določeno opremo
Kako bomo upoštevali zunanje faktorje ki vplivajo na potek izvedbe napredne strojne opreme
23 Količinski prevzem
Potrdi da je dobavitelj fizično dostavil strojno opremo opredeljeno s pogodbo Smiselno je da je naročnik za dobavljeno opremo sprejel le tisto ki je inštalirana na vnaprej opredeljeni lokaciji Inštalacija mora potrditi osnovno lokalno funkcionalnost strojne opreme Kot primer
na določeni lokaciji se nahaja usmerjevalnik z ustrezno linijsko opremo (konvertorji modemi monitorji ipd) ki je priključena na napajanje in prenosne medije Ker je računalniško
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 10
Napredno vzdrževanje strojne opreme Učno gradivo
omrežje kompleksen sistem je potrebno potrditi vsebinsko in funkcionalno ustreznost količinsko prevzete opreme Pogodba mora predpisovati način in pogoje testiranja ustreznosti opreme Običajno priv test napredne strojne opreme opravi naročnik ki lahko ugotovi nepravilnosti ki jih mora dobavitelj odpraviti in se izvajajo vsi naslednji testi na račun dobavitelja Ta predhodni korak prevzemanja zagotovita da oprema količinsko in funkcionalno ustreza naročeni strojni opremi
Preverjanje povezljivosti strojne opreme je proces nastavitve sistemskih parametrov za predvideni način delovanja in testiranja kompatibilnosti lokalne infrastrukture z okolico
Za izvedbo testa strojne opreme je potrebna primerna strojna računalniška oprema
24 Pilotna faza
Pilotna faza je namenjena preverjanju že nameščene strojne opreme kot celote s poudarkom na analizi zmogljivosti napredne strojne opreme saj je konformnost preverjena že v prejšnjih fazah
Pogosto se zgodi da zaradi različnih objektivnih razlogov projekta ni mogoče namestiti v dogovorjenem roku Razlog je lahko primer da za določeno lokacijo ne moremo najti ustreznih prenosnih poti ob tem pa večina lokacij (npr delovnih strojnih postaj) že uspešno deluje V takem primeru bi bilo nesmiselno odlagati nadaljevanje vzpostavljanja hrbtenice to je pilotno fazo delovanja
Pilotna faza namestitve strojne opreme se torej lahko prične ko vse lokacije lokalno privzete in ko ugotovimo dogovorjeni odstotek pogojno prevzetih lokacij hrbtenice računalniškega omrežja
Pilotna faza ni opredeljena samo s testi ampak je njeno bistvo predvsem opazovanje in presojanje delovanja napredne strojne opreme v delovanju V tej fazi končni uporabniki npr dijaki še ne morejo pričakovati predpisane kvalitete in stabilnosti delovanja Pilotna faza se zaključi takrat ko ugotovimo da omrežje določen čas deluje s predvideno zmogljivostjo in razpoložljivostjo npr več kot 95
Prevzem celotnega računalniške strojne opreme pomeni da naročnik dobavitelju prizna izpolnitev vseh pogodbenih obveznosti in obratno Poleg tega pa je potrebno poskrbeti za
- vzpostavitev nadzora in upravljanja omrežja s strani naročnika- zagotavljanje vzdrževanja in servisiranja vzpostavljene infrastrukture- ustrezno podporo končnim uporabnikom
Z zaključkom te faze omrežje pride v produkcijsko fazo s katero se začne normalen življenjski cikel naprednega vzdrževanja strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 11
Napredno vzdrževanje strojne opreme Učno gradivo
25 Arhitektura strojnega sistema
1slikaarhitektura ohišja
Mehanizem odjemalec ndash strežnik
- Izpad odjemalca
Strežnik ki je ostal brez svojih odjemalcev ker so ti nehali delovati ali so nedosegljivi imenujemo sirota
Tak strežnik požira vire lastnega sistema kar pa še ni najhuje Več težav lahko povzroči zmeda ki nastopi v vrstah odjemalcev ki se ponovno vzpostavljajo in dobivajo od strežnika odgovore na svoje zahteve iz časa pred izpadom Teh zahtev se namreč ne raquospominjajolaquo in ne vedo kako naj interpretirajo odgovore
Za reševanje take situacije pri naprednem vzdrževanju strojne opreme poznamo nekaj situacij
- Iztrebljanje je dokaj drakonska strategija takoj ko se odjemalec ndash roditelj procesa ponovno zavre samega sebe strežniku naroči da naj razvrednoti vse njegove morebitne procese Algoritem mora teči ker lahko najdemo v primeru pogostih izpadov na strežniku tudi procese posameznih zahtev
- Reinkarnacija je tretja strategija Odjemalec razseka čas v zaporedne intervale imenovane epohe Če odjemalcu po metodi iztrebljanja ni uspelo ubiti vseh svojih zahtev ndash procesov lahko oznani vsem strežnikom začetek novega obdobja Strežniki uničijo vse tiste zahteve ki ne sodijo v sedanjo uporabo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 12
Napredno vzdrževanje strojne opreme Učno gradivo
26 Lociranje strežnikov
V praksi nameščanja nadomestne strojne opreme je imenski strežnik tisti ki vodi evidenco o vseh ostalih strežnikih Odjemalec se s svojim problemom obrne na imenski strežnik in mu ta predlaga izvajalca Imenski strežniki se uporabljajo za izvedbo elektronske pošte
Ob namestitvi novega strežnika je potrebno ob njegovem obstoju obvestiti imenski strežnik Za to lahko poskrbi sama delovna postaja avtomatsko največkrat pa je potreben poseg vzdrževalca imenskega strežnika
Dostikrat odjemalec želi ugotoviti kateri strežnik je najbolj primeren za izvršitev njegove zahteve
27 Specifikacije in testiranje protokolov
S problemi testiranja komunikacijskih protokolov se soočamo v napredni strojni opremi že od začetkov povezovanja računalniških sistemov v omrežja Področje analize in testiranja komunikacijskih protokolov se je uvrstilo v okvire implementacije komunikacijskega procesa
Izvedba protokola je porazdeljen sistem v katerem ima vsak proces določeno stopnjo lokalne avtonomije in na nek način interakcije z okolico
- Informacijske storitve sistemov
Osnovni namen informacijsko komunikacijskih sistemov je nudenje svojih posrednih ali neposrednih storitev uporabnikov
Med standardne storitve sodijo na primer različne izvedbe računalniško podprtih omrežnih informacijskih sistemov z bolj ali manj decentraliziranimi elementi O splošnih lastnostih teh storitev velja da v vseh operacijskih sistemih podpirajo standardne storitve kjer se stikata lokalni uporabnik računalnik ndash odjemalec in virtualna naprava strežnik
28 Varnost strojne opreme
Varnost nadgradnje strojne opreme je zelo obsežen pojem zato ga je potrebno skrbno prestrukturirati Zanesljivost sistema dosežemo predvsem s skrbnim načrtovanjem nadzorom in upravljanjem sistema Pri tem imata pomembno vlogo organiziranost poslovanja in
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 13
Napredno vzdrževanje strojne opreme Učno gradivo
usposobljenost uporabnikov To področje je izredno široko in ga na tem mestu ne bomo obravnavali saj predstavlja samostojno disciplino sistemskega inženiringa
Zaščita sistema opazujemo z dveh osnovnih zornih kotov
- zaščita na nivoju končnih računalnikov ndash lokalna zaščita- zaščita ki je potrebna zaradi narave decentraliziranih sistemov ndash decentralizirana
zaščita
Iz vsakdanjega življenja vsi poznamo primere v katerih nam zelo veliko pove že dejstvo da vemo med katerimi ljudmi v določenem trenutku poteka komuniciranje ne glede na to da same vsebine ne moremo razbrati Ravno tako v primeru da razpoznamo da strojna oprema pri zagotavljanju kakovostnega komunikacijskega delovanja ne deluje jo nadomestimo z nadgradnjo
29 Odkrivanje napak
Pri uporabi in delovanju strojne opreme pride do napak predvidoma na prenosnih medijih kjer se lahko dogajajo napake Najpreprostejši način je odkrivanje napak v okviru nameščene strojne opreme v kontroli maske kjer je strojna oprema evidentirana kot okolje Windows
Komercialne različice računalniške strojne opreme s skupinskih prenosnim medijem se je pričela tudi kot omrežje
a) brezžičnoJe tisto ki je kot prenosni medij fizično opredeljivo z radijskimi valovi ali svetlobo
b) mobilnoOmrežje ni nujno brezžično bistveno je da podpira selitve računalnikov
Kot primer lahko navedem kombinacijo klasičnega modema in brezžičnega telefona ki ga lahko napredno vzdržujemo preko modema priključenega na modem npr v hotelski sobi in ga preko te linije vstopamo v drug računalnik ki je v povezavi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 14
Napredno vzdrževanje strojne opreme Učno gradivo
2slika diagnostika
- Napredno vzdrževanje prenosnih medijev
Prenosni mediji niso le žice kot pogosto najprej pomislimo Pojem bomo nekoliko razširili saj ne smemo pozabiti na prenosne medije ki nimajo zveze z računalniškimi komunikacijami tičejo pa se računalniških informacijskih sistemov
Z vidika IKS-a je poznavanje prenosnih medijev zanimivo le v toliko kolikor različne oblike prenosnih medijev omogočajo zasnovo prenosnih kanalov z različnimi kapacitetami primernih za različne razdalje in različno ceno Njihova tehnologijama sodi v področja ki so razdeljena
- Koaksialni kabel- Brezžične povezave- Optično vlakno
Optična vlakna so danes najzanesljivejši prenosni medij Prevajajo svetlobne signale ki jih običajno vzbujamo z laserskimi napravami Signal med prenosom po optičnem mediju le malo oslabi Danes dosegamo 100 kilometrske prenose brez ponavlalnikov signala Kaj takega je po parici ali koaksialnemu kablu nedosegljivo Kapaciteta optičnega kanala 100 Mbits na omenjeni razdalji ni vprašljiva na krajših odsekih pa so na pohodu že kapacitete 100 Gbits
- Brezžične povezave
Med brezžične povezave prištevamo več skupin povezav ki so zasnovane na širjenju elektromagnetnega valovanja skozi prostor Tipične oblike so
- Radijske zemeljske povezave
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 15
Napredno vzdrževanje strojne opreme Učno gradivo
- Mikrovalovne usmerjenje povezave- Infrardeče povezave - Satelitske povezave
Poleg brezžičnih povezav spada v nepogrešljivo komunikacijo tudi telefonsko omrežje Vzdrževanje telefonskega omrežja ima dostop večine opisanih graditeljev računalniških omrežij
Pripravljalne faze naprednega vzdrževanja strojne opreme
- Identificirati pristopne točke pokvarjenih delov strojne opreme- Oceniti storitve pokvarljivosti strojne opreme- Oceniti vrednost investicije za namestitev strojne opreme ter infrastrukturo ki bo
zmogla ocenjene napake opredeliti in načrtovati grobe okvire nove infrastrukture- Zagotoviti vire financiranja nameščanja nove strojne opreme
To sicer ni tehničen problem vendar pa navadno predstavlja nepomembnejše in pogosto najzamudnejše opravilo z dokaj nepredvidljivim izidom
- Opredeliti osnovne izvedbe okvire izvedbe Ti so neodvisni od infrastrukture dinamike financiranja in drugih dejavnikov Že v okviru te faze projekta je potrebno vzpostaviti stike z nameščeno strojno opremo
Večina ljudi čuti naraven odpor do razstavljanja električnih naprav in to z razlogom Proizvajalci drugih naprav vedno svarijo naj jih uporabniki ne odpirajo sami Možnost električnega šoka je prisotna pri vsej strojni opremi Vsi računalniki ne sodijo mednje saj so narejeni tako da jih uporabnik lahko do neke mere sam priredi
Ko nameščamo napredno strojno opremo npr v ohišju moramo najprej izključiti vse napeve
Iz vtičnice potegnemo napajanje za računalnik in za vse naprave ki so nanj priključene Nikakor se namešča napredne strojne opreme dokler je vtikač v vtičnici Ne samo da to škoduje računalniku nevarno je tudi za samega vzdrževalca oz uporabnika
Ohišje je lupina v katero so nameščene komponente ki sestavljajo jedro računalnika Napajalnik (ang power supply) pa je naprava ki pretvarja standardno omrežno izmenično napetost v nižje enosmerne napetosti ki jih za delovanje potrebuje računalnik
Čeprav nekateri pravijo da je to smešno sodita ohišje in napajalnik popolnoma upravičeno na vrh seznama obveznih komponent Brez njiju ni nobenega računalnika Včasih sta drug z drugim neločljivo povezana čeprav raquohodita vsak svojo potlaquo Kakršna vrsta strojne opreme se najprej ugotovi po ohišju ki je pri namiznih računalnikih zelo razkošno V ohišju najdemo prostor za osnovno ploščo z potrebnimi komponentami trde diske različne vmesniške kartice
Hrupa ki je pri stojni opremi v računalniku se lotimo ko reže v ohišju skozi katere priteka zrak v računalnik in ventilator napajalnika povečamo Ko nameščamo napredno strojno
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 16
Napredno vzdrževanje strojne opreme Učno gradivo
opremo mora biti tudi ohišje na primernem zračnem mestu To sicer ne pomeni da moramo računalnik spraviti pod mizo vendar moramo poskrbeti za učinkovit zračni preskok
Ohišja namiznih računalnikov se lahko med seboj močno razlikujejo vsa pa so praviloma dokaj velika in vanje je že vgrajen napajalnik Vgrajeni napajalnik je pri namiznih računalnikih najmočnejši ne pa edini vir hrupa Za hrup je ponavadi kriv ventilator ki skrbi za hlajenje napajalnika ohišje pa velikokrat deluje kot kakšen resonator in hrup še veča
Pri napredni strojni opremi ohišja računalnikov razdelimo na tri skupine
- Plosko ohišje
Ima obliko kvadrata z največjo ploskvijo kot osnovno stranico Navadno ga postavimo na eno od stranskih stranic in tako simuliramo ohišje v obliki stolpa Na voljo je več izvedb ploskih ohišij Tako lahko izbiramo med večjimi in manjšimi ohišji ter med bolj in manj primernimi za odpiranje
- Kompaktni sistemi
Pri kompaktnih sistemih je klasično ohišje računalnika združeno z ohišjem monitorja vanj pa so pogosto vgrajeni še zvočniki in mikrofon Ves računalnik je praktično v enem kosu vanj nista le integrirana le tipkovnica in kazalna naprava Čeprav računalniki po kompaktnosti približujejo prenosnim računalnikom Se za stalno prenašanje vseeno nekoliko okrni Kompaktni sistem je prava izbira če računalniku ne želite nameniti več prostora kot ga potrebuje povprečen monitor ali če se vam prenosni računalniki ne zdijo primerni zaradi cene oz premajhne tipkovnice
- Ročni računalniki so strpani v najmanjša ohišja kar jih je To ni nič čudnega saj morajo biti tako majhni da jih je mogoče med uporabo držati v roki Po velikosti lahko računalnike primerjamo z nekoliko boljšimi računali
- Osnovne plošče
Računalnik je skupek komponent
Tako delimo strojno opremo znotraj ohišja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 17
Napredno vzdrževanje strojne opreme Učno gradivo
3 slika pri CD-ju in CD romu je možno popravljanje napak
Če nameščamo vse tiste komponente ki jih osnovne plošče vgradijo izdelovalci računalnika ali jih nanje namestijo sestavljavci računalnikov glede na želje uporabnikov ali želje kupcev
- Procesor
Kljub pomembnosti je procesor najbolj odgovorno in je pri naprednem vzdrževanju potrebno ločeno kupiti ali popraviti od osnovne plošče Na njej je podnožje kamor ga sestavljavec računalnika lahko zamenja ali nadomesti z bolj zmogljivim Izdelovalci plošč skrbijo da je posamezna osnovna plošča uporabna z celo družino procesorjev včasih celo z različnimi družinami Družine se seveda razlikujejo po oznakah Večina korporacij med strojno opremo še posebno v zadnjem času se razlikuje po hitrosti delovnega takta frekvenci prenosa in zmogljivosti
3 NAČRTOVANJE STROJNE OPREME
Načrtovanje strojne opreme lahko izbiramo ob nakupu primernih računalnikov s pomočjo svetovalca serviserja ali vzdrževalca informacijske opreme Uporabe računalnikov in posebnih programov v proizvodnji in arhitekturi postavitve linijskih proizvodnji procesov urejajo posebni programi CAD
Za izdelavo prevodnikov in polprevodnikov na matični plošči oz integriranih vezij lahko srečamo naslednje kovine
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 18
Napredno vzdrževanje strojne opreme Učno gradivo
Krom barij iridij svinec paladij tantal arzen berilij baker zlato kadmij
Pri gradnji informacijske opreme in sistemov na osnovi mikroprocesorjev potrebujemo dodatne elemente rečemo jim raquopodporni elementilaquo To so periferni adapterji časovna vezja DMA krmilniki množilniki frekvence ROM in RAM pomnilniki Na osnovi fizičnih diskov pa imamo povezave IDE ter SATA vmesnikov - RAID diskov v samem ohišju računalnika
V tem času je podjetje Intel še razvilo večjedrsko delitev v enem procesorju kar pomeni da si vsa jedra morajo deliti predpomnilnik dostopnost do pomnilnika ter usklajeno delovati in imeti povezave do ostalih elementov Procesorji s porabo in zmogljivostjo Teraflop že omogočajo prepoznavo govora obraza in rokopisa Hitrost zmogljivosti število jeder ter odvajanje toplote pri mikroprocesorjih se bo eksponentno povečevalo (Intel source view 2010)
Vprašanja za ponavljanje
Kaj je več jedrski procesor Kaj je to napredni RAM Razišči in opiši katera napredna strojna oprema je na slovenskem trgu
34 Napredni operacijski sistemi
V naprednih strojnih vodah je znana večja prepoznavnost Windows XP operacijskega sistema ki ga ob nakupu lahko nastavimo in kasneje enostavno vzdržujemo
Vgrajena orodja znotraj OS-a
Raziskovalec (computer managment ) Register Nadzorna plošča in spremljajoči programi ter nastavitve
Kot pri vsaki informacijski opremi je preventiva vedno najprimernejša
V OS Windows XP_Nadzorni plošči_Computer managment imamo vsa navodila in upravljanje z napakami in popravki tako programske opreme napake na trdih RAID diskov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 19
Napredno vzdrževanje strojne opreme Učno gradivo
namestitev gonilnikov starih verzij programske opreme sistemske in aplikativne napake ter odstranitev vseh uporabnikov ki niso več priključeni v informacijski sistem
Nameščanje in odmeščanje strojne opreme (gonilnikov matične plošče uporabnih vhodnih -izhodnih enot sistemske strojne opreme ter do končnega cilja namestitve Odmeščanje ali odstranitev strojne opreme pri napredni strojni opremi pa je v okolju Windows XP narejeno z posebnimi odnamestitvenimi programi istega proizvajalca oz operacijskega sistema v našem primeru preko Windows nadzorne plošče
Register ki beleži vse namestitve ter spremembe programov znotraj le-tega ima funkcijo spominanja zatorej mora računalnikar uporabiti zmogljiva vzdrževalna orodja ki pretekle namestitve strojne opreme pobrišejo veliko hitreje kot pa uporabnik
Zaščita strojne opreme na uporabniškem nivoju poteka preko dodatnih požarnih zidov z nekaj 1028 bitnim ključi in več V primeru povezav veš računalniških sistemov in mrež znotraj LAN-a imajo najnovejša strojna oprema že nameščene programe za požarni zid znotraj HW proizvoda
3 slika primer brezžične matične plošče
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 20
Napredno vzdrževanje strojne opreme Učno gradivo
i Navodila za izdelavo tehničnega poročila
Kakovostna in po navodilih nadrejenega vzdrževalca - računalnikarja morajo biti zapisana v točno določenem Word formatu z primernim oblikovanjem in zapisom
Struktura naj bo sledeča
Naslovnica
Na njej je logotip Ljudske Univerze Radovljica naziv predmeta ime in priimek dijaka (tehničnega poročila seminarske oz pogodbenika) ime in priimek mentorja mesec in leto izdelave
Povzetek
V nekaj stavkih se povzame vsebino tehničnega poročila seminarske naloge oz naprednega nameščanja strojne opreme
Kazalo vsebine
Je izdelano na podlagi uporabe slogov za naslove Nivoji naslovov naj dosegajo največ nivo 3 (123)
Kazalo slik
Slike ki so uporabljene v nalogi morajo imeti napise Kazalo slik je izdelano na podlagi uporabe sloga za napise (arial 8 pt)
Poglavje uvoda
V tem poglavju se na eni strani strne in izbere kratko in jedrnato uvodna misel avtorja Namen uvoda je da bralca seznani z postopoma brano tematiko v gradivu
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 21
Napredno vzdrževanje strojne opreme Učno gradivo
Ostala poglavja
Nato sledijo ostala poglavja kot si jih je zamislil dijak
Povzetek
V povzetku se na kratko povzame obravnavan tema in nakaže morebitne težave in priložnosti pri obravnavanju tematike
Literatura
Zaradi avtorskih pravic in nelegalnega kopiranja inovacij predvsem tehničnih izumov se vedno navaja vire in informacije od tam kjer je avtor napisal strojno pogodbo tehnično poročilo ali seminarsko nalogo
Literatura zavzema spletne naslove podjetij gradiv časopisov revij in knjižnih strokovnih knjig
-------------------------------------------------------------------------------------------------------
Velikost pisave je 12 ali 14Pt
Vrsta pisave je Times New Roman
Slogi napisov
Naslov 1 pisava Cambria velikost 14pik krepko
Naslov 2 pisava Cambria velikost 13 pik krepko
Naslov 3 pisava Cambria velikost 12 pik krepko
Jezik
V strokovno-znanstveni literaturi je uporaba knjižnega jezika in urejevalnika besedil smiselna V primeru da je prevod izraza v tujkah se v oklepaju navede vrsto tujega jezika in prevod Primer
RAM (ang Random Access Memory)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 22
Napredno vzdrževanje strojne opreme Učno gradivo
Obseg
Tehnično poročilo je predvideno do 4 strani v primeru modula M8
Vzdrževalna pogodba je kratka in po členih pravno definirana v obliki medsebojnega dogovora naprednega vzdrževanja strojne opreme ter lastnika zastarele strojne opreme
Seminarska naloga je definirana glede na temo ni vrsto seminarske zatorej je priporočljivo imeti navodila strani- obsega ob začetku pisanja
Vprašanja za ponavljanje
Kakšno je tehnično poročilo
Zakaj je strojna oprema potrebna naprednega vzdrževanja ob koncu leta
Kakšne vrste pogodb o namestitvi strojne opreme poznaš v IT-ju
Kako izgleda licenčna namestitev strojne opreme Glej primer HW podjetij ki uporabljajo strojno opremo IBMHPLogitech ipd
Spletni brskalniki
Glede na naravo dela in poznavanje novih strojnih namestitev ter naprednih oprem ki nastajajo v posameznih multunacionalnih laboratorijih in proizvodnih procesih mora računalnikar biti seznanjen z novimi produkti oz strojno opremo v sodobnem času
Uporabo dostopa do wwwgooglecom wwwhpcom wwwibmcom wwwapplecom mu omogočajo pri velikanski izbiri na trgu da poišče primerno opremo proizvajalca zamenjati določen zastarel že servisiran produkt mikroprocesor izh-enoto ipd
Za brskanje po spletu je važno da se spozna na prodajo in uporabo strojne opreme kot tudi posameznih enot Oprema ki jo bo vzdrževal ima neko serijsko številko oziroma namestitveno pogodbo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 23
Napredno vzdrževanje strojne opreme Učno gradivo
Diski in na njem zaupni podatki strojna oprema ponarejanje in zamenjava s slabšimi produkti dolgoročne ne vodi računalnikarja tako do osebnega kot tudi poslovnega uspeha Res je da je mnogo različno kakovostnih produktov strojne opreme na trgu vendar tudi zloraba pri naprednem servisiranju in vzdrževanju prinašata posledice
Računalnikar se bo na terenu srečeval z identitetami računalnikov podjetij organizacij ki so po svoji naravi različna
Kot primer navajam uporabniške skupine strojne opreme ki so privrženci za Apple ter uporabniki oz privrženci za IBM Vsi bodo hvalili in zagotavljali boljšo kvaliteto in kakovost svoje strojne opreme
Zatorej vedno v tehničnem poročilu navedemo stanje strojne opreme pred našim prihodom in po tem ko smo jo le-to vzdrževali
Tako se profesionalno in komunikacijsko obnašamo s stranko kot pravi računalnikar z veliko odgovornostjo
Napredno svetovanje in pomoč uporabnikom strojne opreme
Pri pomembnosti komunikacije s s stranko moramo torej uporabljati pravila profesionalnega vedenja do stranke
Analizirati učinkovitost obstoječe strojne opreme Svetovati napredne matične plošče procesorje vodila Upoštevati različne strojne zahteve glede na namembnost osebnega računalnika Upoštevamo pomembnost shranjevanja dokumentacije vsaj 4 leta
S stranko je važno da vedno komuniciramo prijazno spoštljivo in umirjeno Kot svetovalec oz napredni računalnikar si lahko informacije o strojni opremi izmenjujemo preko strokovnih forumov novičarskih fan-tehničnih skupin (Apple HP Microsoftipd) ali pa smo povezani preko help-desk podpore na lokalnem zaščitenem omrežju kjer odpravljamo napake na terenu takoj
Zelo pomembna je tudi hitra odzivnost hitro in natančno odpravljanje napak poštenost do stranke ter na koncu primerna cena napredne strojne opreme vzdrževanja
Vprašanja za ponavljanje
Kaj je to komplet čipov
Kaj je osveževanje podpisana pogodbe o strojni opremi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 24
Napredno vzdrževanje strojne opreme Učno gradivo
Kaj je to etičnost in morala pravočasne namestitve napredne strojne opreme
4 Tveganje pri upravljanju napredne strojne opreme
Ko izrečemo ali preberemo besedi raquotveganje upravljanja napredne strojne opremelaquo se ne zavedamo da je tveganje skrito že kar v prvi besedi raquoupravljanjelaquo Tisti ki so odgovorni za upravljanje se tega namreč premalo ali sploh ne zavedajo Tveganja ki se v pri strojni opremi ter poslovnih subjektih na tem nivoju kažejo so
- nikoli dovolj resursov- cilji so nejasni- ni definirane politike standardov- število tveganj je preveliko ne ve se katera strojna oprema je najbolj pomembna- ni kulture
Sicer pa prevladuje prepričanje da se verjetno ne bo nič zgodilo Opisano ni zgled vodstvaZato moramo v svojo organizacijo sistematično s celostnim pristopom vpeljatiupravljanje tveganj Za drugo besedo raquotveganjelaquo se lahko vprašamo na kajnajprej pomislimo v vsakodnevnem življenju ko jo slišimo Najbrž pomislimo dalahko nekaj z določeno verjetnostjo izgubimo Preprosto sklepamo kaj in koliko lahko izgubimo ob neljubem dogodku to opredelimo z raquoresnostjolaquo verjetnost da izgubimo paobičajno opredelimo kot raquofrekvencalaquo pojavljanjaTo da se zgodi tisto česar v bistvu ne želimo je naša raquoranljivostlaquo če se ustreznoodzovemo ali reagiramo na tak dogodek pomeni da smo v aktivnostih privzelidoločene raquoobrambnelaquo mehanizme in zmanjšali raquoizpostavljenostlaquo tveganjemPri obravnavanju tveganj se izvajajo procesi analize ocene in rešitve kar lahkoopredelimo kot raquoupravljanjelaquo Resnost se meri z vrednostmi ovrednotimo jo finančnotorej določimo znesek Verjetnost pa merimo oz ocenimo s številom dogodkov včasovnem obdobju največkrat na leto Seveda bomo pozorni in dogodke spremljali dotiste varnosti in zaščite ki sta primerni sprejemljivi in hkrati skladni z našimivrednotami standardi in ekonomskimi zmožnostmi V bistvu so stvari boljkompleksne vsekakor je pomembna hitrost v odzivnosti Če želimo obravnavati inprimerjati tveganja moramo primerjati razsežnosti tveganj Ni rečeno da so tveganjanizka po vrednosti in visoka po frekvenci z enakim učinkom itd Zanimivo je da so vZDA in anglosaksonskem svetu upravljanje s tveganji vzeli kot tekmovalno prednostmedtem ko je v EU to bolj posledica regulative
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 25
Napredno vzdrževanje strojne opreme Učno gradivo
41 Spremembe pri strojni opremi
Spremembe so silovite Hitro se razvijajoča informacijska in telekomunikacijskatehnologija zahteva nove poslovne modele Gonilniki sprememb vplivajo na poslovnesubjekte ki morajo biti prilagodljivi hitri in hkrati varni Vse to med drugim prinašanegotovost znotraj poslovnega sistema pa tudi v zunanjem okolju Obvladovanjesprememb zahteva izjemne intelektualne napore saj so pritiski na poslovne subjekteveliki Prihajajo s strani zahtev regulative zakonodaje varnosti standardov nadzorakontrol konkurence itd Odražajo se v vrednostnih pogajalcih za PS kot soohranjanje rasti stroški in učinkovitost načrtna razdelitev kapitala in prioritetno sejim pridružuje upravljanje s tveganji torej investiranje v varnost Ključna tveganja vteh transformacijah so tako strateška kot procesna Sem sodijo informacijski sistemi(IS) infrastruktura tehnologija stranke partnerji konkurenca in intelektualni kapital -človeški viri itd Vsako od omenjenih tveganj je sicer možno omiliti ali odpravitivendar je potreben holistični pristop standardizacija privzemanje kulture tveganjpotrebno je kreirati program upravljanja tveganj program varnosti vpeljatiupravljanje znanj integralna orodja za tveganja orodja za analize scenarijev insimulacij uvesti nove discipline in metrike ter dobro prakso In kakšna je potem cenavarnosti Ni univerzalnih navodil ni garancij za uspeh ker v globalnem svetunenehno nastajajo nova tveganja V mreži poslovnih verig so medsebojno odvisna Vnadaljevanju je nakazano strukturno razumevanje oziroma pristop k upravljanjutveganj informacijske tehnologije (IT) kot podpore IS-mu in procesom v poslovnihsistemih ne glede na to kateri industriji poslovni subjekt pripada
V področje upravljanja s tveganji IT (UT-IT) vsekakor spadajo informacijski sistemi[1] IT viri procesi projekti in druge danosti ter kategorije povezane z IT Področjezajema vsa operativna tveganja kot posledice Človeških in tehnoloških napak Jeizjemno široko kompleksno interdisciplinarne narave s poudarkom na ustreznemrazumevanju konceptov z več področij (varnost tveganja nadzor (revizije)neprekinjeno poslovanje) Izhodišče so informacije ki jih podpira IS kateregaomogoča informacijska tehnologija v vsaki organizaciji Informacije potrebujejoanalizo tako domene IS kot poslovne domene Informacije so vitalen vir vsakeposlovne enote zato so tudi tarča napadov z različnimi motivi in vplivi na poslovanjeUT-IT tako zajema uporabnike IT organizacijo IT in njeno dejavnost kot storitevkončnim uporabnikom
IT organizacija mora biti ustrezno organizirana da zagotavljaposlanstvo varnosti učinkovitosti IS in dostavo storitev Zato imavarnost v organizacijah več oblik Odvisne so ena od druge inpredstavljalo celotno varnost (fizičnondashtehnično varnost in upravljalnisistem informacijske varnosti)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 26
Napredno vzdrževanje strojne opreme Učno gradivo
Pogled na strukturo IT organizacije je priporočljiv z več vidikov in dimenzijPredstava v prostoru je znana IT raquokockalaquo Med IT vire pa na splošno opredeljujemo
- ljudi- aplikacije- tehnologijo- podatke- Podporo-
Taka struktura je pomembna za odpravljanje tveganj v IT organizacijah namrečzajema tako procese kot več disciplin in upravljanje dejavnosti IT organizacije S temdemonstriramo funkcionalnost ki zagotavlja kvalitetno storitev IT Taka strukturaomogoča boljšo dostavljivost IT rešitev kar pomeni učinkovitost IS in zmanjšanjedoločenih tveganj med njimi tudi usklajevanje poslovnih ciljev najvišjega vodstva zIT
Ker izhajamo iz informacije poglejmo njene lastnosti Glavni kriteriji za ocenjevanjeso zaupnost integriteta in razpoložljivost Metoda UT-IT pa je skupni imenovalec zaanalizo neprekinjenemu poslovanju [4] projektnemu vodenju [5] drugim disciplinamin revizijam ter informacijskim varnostnim tveganjem Tveganja iz naslovainformacijske varnosti lahko do določene stopnje primerjamo s kontrolami [6] S tegavidika kontrole zmanjšujejo tveganja in so povezane z revizijami (notranjimi inzunanjimi) Pri tem se opirajo na preglede v katerih se ugotavljajo primernost inskladnost varnostne arhitekture ter učinkovitosti izvajanja upravljanja tveganjTudi odločitve običajno temeljijo na informacijah če so informacije mehke pride doizraza večja negotovost in odločitve ki se sprejemajo lahko pripeljejo do usodnihdogodkov v katerih se tveganja uresničijo in nastajajo izgube v poslovanjuDefinicij informacije je precej Velja da je to vir vsakega poslovnega subjekta Takopridemo do vrednosti informacije kot vseh drugih vitalnih vrednih virov v poslovnemsistemu Prav neustrezno ravnanje z informacijami povzroča velika tveganja ininformacijsko nestabilnost Dejstvo je da se mora v digitalni ekonomiji in globalnemsvetu poleg socialne finančne in ekonomske stabilnosti upoštevati tudi informacijska
Pri poslovanju so vsekakor pomembni procesi ki so predmet obravnave na področjuupravljanja tveganj IT Tako UT-IT opredeljuje in zajema tudi operativna tveganja Izpraktičnega vidika je v poslovnem sistemu veliko procesov ki se nadalje delijo napodprocese in aktivnosti temeljni in podporni Toda vsi morajo biti raquooptimalnilaquovodeni in nadzorovani Precej kompleksnosti naraste v informacijskem sistemu ki gapodpirata informacijska in telekomunikacijska tehnologija Zato je za področje UT-ITsmiselno uporabiti okvir COBIT Ta standard se lahko uspešno privzame tudi pri samiorganiziranosti in definiciji procesov v organizacijah ITUT-IT je prav tako proces v katerem se proučuje in obravnava IS-me Sem spadajotudi nevarnosti ki pretijo poslovnemu sitemu IS-mu IT organizaciji njeni storitveni
dejavnosti torej vsem virom v sistemu kakor tudi drugim poslovnim subjektom vposlovni verigi V njej so tehnološke razdalje med subjekti izjemno ranljive saj nasvoji poti informacije doživljajo spremembe procesi v katerih se to dogaja pa so semorali razširiti izven okolja posamezne organizacije ali PS Pot je posejana z
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 27
Napredno vzdrževanje strojne opreme Učno gradivo
nevarnostmi različnih izvorov tako da se tudi tveganja in njihovi vplivi na poslovanjeodražajo z različnimi učinki Poglablja se tveganje e-poslovanja gre za takoimenovana e-tveganja Biti brez varnosti v realnem času in hitre odzivne funkcije natveganja ter nepredvidene dogodke je lahko za poslovanje silno usodno Zatoobstajajo različne strategije orodja in načini za zdravljenje tveganj ki skupajpredstavljajo obrambne mehanizme organizacije Pri tem je pomembno zavedanje inizobraževanje ter neprestano usposabljanje strokovnjakov na teh področjihOperativna tveganja so izrazito povezana z internimi procesi in jih posamezneindustrije že obravnavajo vsekakor pa jih bo morala vpeljati finančna industrija zlastiban1048830ni sektor ki bo moral biti skladen z Baselskim II standardom in EU (CAD)direktivami Standard namreč zajema potencialne izgube tudi iz naslova operativnihtveganj ne glede na interne ali zunanje dejavnike Osredotočen je na objavopotencialnih izgub za vse poslovne linije organizacije po določeni strukturi poročanjaglede kapitalske ustreznostiKo pogledamo v bančni sektor je osnovni namen obvladovanja inupravljanja s tveganji v bankah zagotavljanje njene plačilnesposobnosti Med različnimi načini za uresničevanje tega cilja je naprvem mestu institut minimalnega kapitala in zagotavljanje potrebnekapitalske ustreznosti banke o katerem govori Basel IIDelež kapitala v celotni bilančni vsoti je pri bankah mnogo manjši kot pri drugihorganizacijah in podjetjih Tudi njegova funkcija je drugačna Kot najpomembnejšafunkcija bančnega kapitala se ponavadi navaja zaščita vlagateljev Bančni kapitalpoleg tega omogoča nadzornim institucijam omejevati obseg tveganih dejavnosti bankin hkrati omogoča banki financiranje njenih osnovnih sredstev Ker so upniki bankmnožice posameznikov ki imajo pri teh bankah praviloma vloge na vpogled alikratkoročno vezane vloge in ker je takrat ko banka postane nelikvidna ponavadi žeprepozno saj je takrat banka praviloma že nesolventna je velikost bančnega kapitalajavna zadeva
Filozofija današnje bančne regulative je dopustiti zdravo konkurenco med bankami inhkrati zagotoviti njihovo disciplino prek predpisovanja minimalnih kapitalskih zahtevBaselski standardi so vplivali na oblikovanje evropskih smernic za banke Polegstandardizirane metodologije za računanje potrebnega kapitala za pokrivanjeomenjenih tveganj so navedeni potrebni pogoji za uporabo internih modelov bank zamerjenje tveganj med njimi operativno tveganje (uporabniki IT in IT organizacij)
Obseg in narava tveganj s katerima se srečujejo banke sta odvisni od narave njihovihposlov Pri tradicionalnih bančnih poslih (dajanje posojil iz prejetih depozitov) se kotglavna tveganja pojavljajo kreditno tveganje (tveganje dolžnikove nezmožnosti alinepripravljenosti izpolniti obveznosti iz naslova kreditne pogodbe) tržnolikvidnostno tveganje (tveganje da banka v določenem trenutku ne more poravnativseh svojih dospelih plačilnih obveznosti) tveganje spremembe obrestne mere(tveganje da bo postala pogodbeno določena obrestna mera drugačna od tržne in dabo banka utrpela izgubo iz tega naslova) ter operacijsko tveganje (tveganje ki mu jebanka izpostavljena zaradi možnih človeških napak torej internih procesov napaktehnologije in zunanjih dejavnikov (gre tudi za prevare poneverbe pranje denarjaoperativne izgube pravne ter druge stroške ki jih banka nosi v primeru njihoveganastanka)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 28
Napredno vzdrževanje strojne opreme Učno gradivo
Z bankami so povezani poslovni subjekti in vsi morajo zagotavljati varno poslovanjeTveganja so precejšnja saj vsi PS ne morejo zagotavljati enako učinkovitihprotiukrepov in varnostnih mer Pogljablja se tudi STP e-poslovanje nastajajo eskupnostiIS-mi se pogovarjajo med seboj brezžične komunikacije nujno jeprivzemanje standardov in različice XML protokola vse različne storitve potrebujejoUT-IT Področje je v razmahu in lastniki ter nadzorni sveti bodo moralikontrolirati operativne izgube in učinkovitost IS NS bodo imeli vlogo potrditvestrategij UT-IT uprave oz vodstva pa bodo morali dokazati skladnost s standardi inmetodami
Primerov storitev ki jih lahko obsega napredno vzdrževanje strojne opreme v UT-IT
spremljanje tehnoloških novosti povezanih z vzdrževano opremo ter priprava predlogov in ukrepov za nemoteno delovanje oz izboljšanje njenega delovanja
zamenjava delov strojne opreme
namestitev varnostnih popravkov na strežniško infrastrukturo
namestitev varnostnih popravkov na delovne postaje in prenosnike
periodično preventivno vzdrževanje strojne opreme
dokumentiranje storitev vzdrževanja
popravilo in odstranitev vseh pomanjkljivosti odkritih med preventivnim pregledom
pomoč sistemskim administratorjem in uporabnikom odgovori na vprašanja in svetovanje glede uporabe vzdrževane infrastrukturne opreme na lokaciji naročnika oz uporabnika
izredni kontrolni nadzor nad delovanjem infrastrukturne opreme po dogovoru z naročnikom
nadgradnja strežnikov delovnih postaj in prenosnih računalnikov
nadgradnja komunikacijske opreme
daljinska pomoč preko telefona elektronske pošte faksa ali daljinskega dostopa pri reševanju problemov uporabnikov odgovori na vprašanja in svetovanje glede uporabe vzdrževane strojne opreme
Osnovno popraviloStrokovnjak bo preveril delovanje računalnika opredelil napako in jo odpravil V to storitev se uvršča odprava manjših napak na računalniku
Storitev vsebuje diagnostiko težave in njeno odpravo v primeru da gre za manjšo napako Med manjše napake sodi ponovna namestitev gonilnikov popravilo napačnih nastavitev v programski opremi ponovna namestitev programov itd
V primeru da sestavljamo ob nakupu nov računalnik z dodatno opremo moramo poskrbeti da bomo da za nakup dobili najboljšo ponudbo računalnika ali računalniške opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 29
Napredno vzdrževanje strojne opreme Učno gradivo
Pri sestavi sistema bomo upoštevali vaše potrebe ter dosegli najboljše razmerje med ceno in zmogljivostjo Poudarek je na individualnem svetovanju katerega namen je kar najbolje poskrbeti za želje uporabnika V ta sklop sodi poleg svetovanja za nakup računalnika tudi svetovanje o ostalih perifernih napravah (tiskalniki usmerjevalniki itd)
Pristop k osnovanju UT-IT
Težko je odgovoriti ali se odzvati na vsa tveganja brez ustreznega znanja Splošnoznano je tudi da se iz podatkov procesirajo informacije in iz njih znanje ki ga jesmiselno takoj uporabiti Gre za znanje poslovnega subjekta v celoti in nekateraspecialna znanja za katera je potrebno zagotoviti da so v pravilnem kontekstu in napravem mestu Upravljanje znanj (UZ) ima lahko odločilno vlogo pri strategiji zavpeljavo področja upravljanja tveganj IT v vsakodnevnem poslovanju UZ zmanjšaraquokorporacijskolaquo izpostavljenost tveganjem Zato je pametno zbrati vse ustrezneinformacije strukturirati znanje v kontekst ali okvir v katerega bodo vnesene vsebinepotrebne za UT-IT Kreiranje portala in repositorija za upravljanje tveganjopredeljujemo kot podporno infrastrukturo področju V repositoriju sopredefinirane strukture Zaposlenim so na voljo v obliki zemljevidov raquomaplaquo kikažejo na vsebine in povezave med njimi ter omogočajo polnjenje vsebin Pridoločanju vsebin lahko sodelujejo vsi želeno je da se v organizaciji na področjutveganj in varnosti ustvarja intelektualni potencialUpravljanje
Tveganj IT5Varnost
Metoda je opredeljena kot množica korakov (algoritem ali navodilo) uporabljenih zaizvršitev naloge (dela posla) Metodologija je nekako širši pojem in predstavljamnožico orodij lahko raziskovalne metode ali razlago teorije vodenja v vodstvenoprakso Torej metodologija organizira teorijo v nekaj razumljivega Ker je na voljo večpristopov metodologij in metod pri upravljanju tveganj bi torej metodologijopredstavljalo orodje za podporo odločitvenim sistemom iz področja UT-IT Tehnik inmetod je dejansko več katere bomo uporabili za različna področja in položaje toterja tehtni premislek
Slika 4 Zunanji disk WD Passport (klikni na sliko
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 30
Napredno vzdrževanje strojne opreme Učno gradivo
V glavnem so osnovane na točkovnih in statističnih metodah kvalitativni inkvantitativni tehniki Znana je enačba tveganj ALE (letnih pričakovanih izgub)Smiselno pa je privzeti metodo standarda BS7799 [10] ali ISO17799 za informacijskovarnost Smiselno je da bi vse industrije prevzele standard PSIST7799 (prevod) kivelja v državi od 13 6 2000 za bančni sektor (z dopolnitvami)Poslovni subjekti lahko uporabljajo lastno razvite tehnike in tehnologije zaidentifikacijo in analizo tveganj Za različne poslovne procese kot so vodenjesprememb združevanja in prevzemi raquocorporate governancelaquo strateško planiranje invrednotenje lahko privzete kvalitativne ali kvantitativne identifikacije tveganj inanalitske tehnike dodajo značilno vrednost za različne poslovne položaje in področjaUveljavljajo se metode analize scenarijev in raquoscorecardslaquo ter druge statistične metoderazne simulacije (Monte Carlo) itdTipično je da se simulacijski modeli uporabljajo za odločitve o sestavi realnihsistemov in za odločitve o politiki in postopkih ki jih uporabljamo pri delovanjurealnih sistemov Simulacija pomaga pri določanju sestave politike in postopkov vnegotovih torej tveganih pogojih okolja sistema Manager poskuša z modelom kotnadomestkom za realni sistem z uporabo različnih vhodnih podatkov in postopkovdoseči na osnovi dobljenih rezultatov pri simulaciji lažje odločanje pri vodenjurealnega sistema Vendar mora biti pri tem pazljiv in rezultatov dobljenih ssimulacijo ne more kratkomalo prenašati v realni svet Model in simulacija lahkopomagata bolje spoznati delovanje realnega sistema ne moreta pa zagotoviti raquopraveizbirelaquo za realni sistem Pri upravljanju tveganj IT lahko preveč subjektivne ocenepovzročajo nova tveganja predvsem na področju zunanjih virov (outsourcinga) invodenja pogodbZa UT-IT je na voljo dovolj modelov orodij programov in vzorcev ki jih lahkouporabimo v svojem poslovnem okolju Priporoljivo je da vsak poslovni subjektkreira sebi ustrezen model glede na specifiko vendar mora izvajati ovrednotenje da jeskladen s standardi in regulativo Standardi so uveljavljeni in nudijo dovolj velik okvirza njihovo privzemanje in funkcijo uporabe
Pregledni model UT-ITV podporo modelu UT-IT je že potreben omenjeni portal kot rezultat procesov priupravljanju znanj in repositorij kjer se shranjujejo potrebne vsebine in nastaja bazaznanja o dogodkih in tveganjih ter obrambnih mehanizmih Portal služi tudi zaizobraževanje Vsebine predstavljajo sezname in infostrukture od standardov doobrazcev ki se uporabljajo v posameznih fazah ali procesih analize in v obravnavanjutveganj Zbrani so tudi vsi principi zakonodaja politike procedure metrika procesiin tokovi informacij kakor tudi vnos v register tveganj zajem nevarnosti popis vsehkontrol varnostni mehanizmi in seznam protiukrepov vse to za dogodke in scenarijeki se lahko ali so se že zgodiliZa področje UT-IT se kreirajo smernice za posamezne entitete ali subjekte ki sovključeni kot participatorji ter navodila kako se izvajajo aktivnosti Učinkovitost sedoseže s poprej določenimi infostrukturami standardizacijo in povezavami medpodročji ter odnosi med entitetami ali objekti ki tvorijo sistem upravljanja tveganj IT
Kreiranje konteksta ali takšnega okvira je možno ker so v glavnem poznane vsestrukture in gradniki UT-IT in želenega sistema varnosti Dovolj predlog je že naInternetu zato je smiselno področje pregledati in izbrati želene infostrukture Posebnerazlage niso potrebne UT-IT se odvija po projektnih principih s skupinami ki so
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 31
Napredno vzdrževanje strojne opreme Učno gradivo
strokovne na svojih področjih Prav tako se v skupinah (samovodljivo) ocenjujejotveganja in definirajo strategije rešitev za identificirana tveganjaPodročje UT-IT je lahko služba ki je neodvisna in samostojna organizacijska enota v vrhu vodstva organizacijeIZVAJANJEOKVIRKaj kako s 1048830i
- Komunikacijski krogi
Bistven gradnik UT-IT predstavljajo komunikacijski krogi (KK) med področji inodgovornimi ali delegiranimi sodelavci po poslovnih linijah Le-ti predstavljajo raquokomunikatorje tveganjalaquo ki so povezani prek sistema zgodnjega opozarjanja inizvajajo vnos dogodkov ter podatkov za analize tveganj in ocenjevanje vpliva naposlovanje Izkušena skupina določi tudi ustrezne protiukrepe in varnostne mere ter jihposreduje lastnikom tveganj Ti s strokovnjaki za posamezna področja pripravijostrategijo rešitve in jo predstavijo (kot zagovor) odgovornim za področja da se posoglasju lahko izvedejo Področje UT-IT spremlja in spet ocenjuje učinke terrezidualna tveganja Zaradi narave tveganj in inherentnih tveganj IT so tovsakodnevne aktivnosti upravljanje tveganj in varnosti pa je vodstvena funkcijaObstaja še pomembna lastnost in specifika da področja varnosti in tveganj pripadajovsem zaposlenem v organizaciji zato so komunikacijski krogi in pravočasnoinformiranje nujniZa operacijsko kvaliteto v organizaciji je potrebno definirati oz določiti dimenzijo vkateri se meri kvaliteta Značilne so tri dimenzije (kriteriji)
- primernost in funkcionalnost- varnost in zanesljivost- razpoložljivost in dostopnost
- Metrike
-Tveganje je objektivizirane negotovosti glede na možnost pojavitve nezaželenegadogodka merjenje negotovosti in negotovosti izgube Negotovost nastane zaradipomanjkanja informacij o nekdanjih sedanjosti in prihodnjih dogodkih vrednostih inpogojih Ne glede na različne stopnje negotovosti je osnova koncepta negotovosti vpomanjkanju informacij o delih sistema ki ga obravnavamo ali opazujemo Zmanjšanje tveganj mora biti motiv za organizacijo Zmanjšanjestopnje negotovosti je korak k opredelitvi kaj je lahko narejeno zazmanjšanje izpostavljanju tveganj Kakšno metriko uporabimo jeodvisno od tega kaj želimo meriti obravnavati spremljati izboljšatiitdOceniti tveganje pomeni ovrednotiti koliko lahko prenesemo oz izgubimo če seneljubi dogodek zgodi in pri tem izgubimo npr kar posedujemo Ali predstavlja to zanas vrednost in kako pogosto se ti dogodki pojavljajo so začetna razmišljanja ko greza tveganja in reakcije na njihLahko trdimo da je tveganje vedno ocenjeno z analizo scenarijev kar pomenivrednotiti možne izgube in frekvenco verjetnosti možne škode Toda v kakšnemobsegu in po katerih predvidevanjih Vsekakor je pri ocenjevanju tveganj medkvalitativno in kvantitativno analizo razlika Smiselno je obravnavanje analizetveganj Še tako dobro zastavljena varnostna politika brez izvajanja in kontrole ne
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 32
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
Postopek izbiranja je zakonsko opredeljen Seveda kot računalničar ni toliko bistveno zakonsko stališče kot le pravila in izkušnje
A) Pomembno je izbiranje usposobljenih dobaviteljevB) Končno izbiranje proizvajalcev dobaviteljev in izvajalcev
Pri napredni izbiri strojne opreme moramo razlikovati proizvajalce dobavitelje in izvajalce vzpostavljanja komunikacijske infrastrukture Poleg strokovnih in finančnih ter časovnih lastnostih izbire ima vedno večjo težo ponudba napredne strojne opreme Ker želimo ponavadi že na določeno strojno opremo da opremo inštalira isto podjetje ponavadi izberemo ustrezno podjetje ki ponuja nadgradnjo le omenjene
22 Izvedbena faza projekta zamenjave strojne opreme
Tukaj govorimo o fizičnem postavljanju omrežja in strojne namestitve Prvi korak v tej smeri je podpis pogodbe z izbranim dobaviteljem napredne strojne opreme Zavedati se moramo da računalniška strojna oprema predstavlja hrbtenico kompleksnega porazdeljenega sistema zato je priporočljivo da kupec in dobavitelj podrobno opredelita želeno napredno strojno opremo inštalacije oz namestitve testiranje strojne opreme prevzemanje komunikacijske infrastrukture Upoštevati moramo naslednje vprašanja
Kako ugotavljamo ustreznost opreme
Kako ugotavljamo zmogljivost opreme
Kaj pomeni dobaviti določeno opremo
Kako bomo upoštevali zunanje faktorje ki vplivajo na potek izvedbe napredne strojne opreme
23 Količinski prevzem
Potrdi da je dobavitelj fizično dostavil strojno opremo opredeljeno s pogodbo Smiselno je da je naročnik za dobavljeno opremo sprejel le tisto ki je inštalirana na vnaprej opredeljeni lokaciji Inštalacija mora potrditi osnovno lokalno funkcionalnost strojne opreme Kot primer
na določeni lokaciji se nahaja usmerjevalnik z ustrezno linijsko opremo (konvertorji modemi monitorji ipd) ki je priključena na napajanje in prenosne medije Ker je računalniško
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 10
Napredno vzdrževanje strojne opreme Učno gradivo
omrežje kompleksen sistem je potrebno potrditi vsebinsko in funkcionalno ustreznost količinsko prevzete opreme Pogodba mora predpisovati način in pogoje testiranja ustreznosti opreme Običajno priv test napredne strojne opreme opravi naročnik ki lahko ugotovi nepravilnosti ki jih mora dobavitelj odpraviti in se izvajajo vsi naslednji testi na račun dobavitelja Ta predhodni korak prevzemanja zagotovita da oprema količinsko in funkcionalno ustreza naročeni strojni opremi
Preverjanje povezljivosti strojne opreme je proces nastavitve sistemskih parametrov za predvideni način delovanja in testiranja kompatibilnosti lokalne infrastrukture z okolico
Za izvedbo testa strojne opreme je potrebna primerna strojna računalniška oprema
24 Pilotna faza
Pilotna faza je namenjena preverjanju že nameščene strojne opreme kot celote s poudarkom na analizi zmogljivosti napredne strojne opreme saj je konformnost preverjena že v prejšnjih fazah
Pogosto se zgodi da zaradi različnih objektivnih razlogov projekta ni mogoče namestiti v dogovorjenem roku Razlog je lahko primer da za določeno lokacijo ne moremo najti ustreznih prenosnih poti ob tem pa večina lokacij (npr delovnih strojnih postaj) že uspešno deluje V takem primeru bi bilo nesmiselno odlagati nadaljevanje vzpostavljanja hrbtenice to je pilotno fazo delovanja
Pilotna faza namestitve strojne opreme se torej lahko prične ko vse lokacije lokalno privzete in ko ugotovimo dogovorjeni odstotek pogojno prevzetih lokacij hrbtenice računalniškega omrežja
Pilotna faza ni opredeljena samo s testi ampak je njeno bistvo predvsem opazovanje in presojanje delovanja napredne strojne opreme v delovanju V tej fazi končni uporabniki npr dijaki še ne morejo pričakovati predpisane kvalitete in stabilnosti delovanja Pilotna faza se zaključi takrat ko ugotovimo da omrežje določen čas deluje s predvideno zmogljivostjo in razpoložljivostjo npr več kot 95
Prevzem celotnega računalniške strojne opreme pomeni da naročnik dobavitelju prizna izpolnitev vseh pogodbenih obveznosti in obratno Poleg tega pa je potrebno poskrbeti za
- vzpostavitev nadzora in upravljanja omrežja s strani naročnika- zagotavljanje vzdrževanja in servisiranja vzpostavljene infrastrukture- ustrezno podporo končnim uporabnikom
Z zaključkom te faze omrežje pride v produkcijsko fazo s katero se začne normalen življenjski cikel naprednega vzdrževanja strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 11
Napredno vzdrževanje strojne opreme Učno gradivo
25 Arhitektura strojnega sistema
1slikaarhitektura ohišja
Mehanizem odjemalec ndash strežnik
- Izpad odjemalca
Strežnik ki je ostal brez svojih odjemalcev ker so ti nehali delovati ali so nedosegljivi imenujemo sirota
Tak strežnik požira vire lastnega sistema kar pa še ni najhuje Več težav lahko povzroči zmeda ki nastopi v vrstah odjemalcev ki se ponovno vzpostavljajo in dobivajo od strežnika odgovore na svoje zahteve iz časa pred izpadom Teh zahtev se namreč ne raquospominjajolaquo in ne vedo kako naj interpretirajo odgovore
Za reševanje take situacije pri naprednem vzdrževanju strojne opreme poznamo nekaj situacij
- Iztrebljanje je dokaj drakonska strategija takoj ko se odjemalec ndash roditelj procesa ponovno zavre samega sebe strežniku naroči da naj razvrednoti vse njegove morebitne procese Algoritem mora teči ker lahko najdemo v primeru pogostih izpadov na strežniku tudi procese posameznih zahtev
- Reinkarnacija je tretja strategija Odjemalec razseka čas v zaporedne intervale imenovane epohe Če odjemalcu po metodi iztrebljanja ni uspelo ubiti vseh svojih zahtev ndash procesov lahko oznani vsem strežnikom začetek novega obdobja Strežniki uničijo vse tiste zahteve ki ne sodijo v sedanjo uporabo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 12
Napredno vzdrževanje strojne opreme Učno gradivo
26 Lociranje strežnikov
V praksi nameščanja nadomestne strojne opreme je imenski strežnik tisti ki vodi evidenco o vseh ostalih strežnikih Odjemalec se s svojim problemom obrne na imenski strežnik in mu ta predlaga izvajalca Imenski strežniki se uporabljajo za izvedbo elektronske pošte
Ob namestitvi novega strežnika je potrebno ob njegovem obstoju obvestiti imenski strežnik Za to lahko poskrbi sama delovna postaja avtomatsko največkrat pa je potreben poseg vzdrževalca imenskega strežnika
Dostikrat odjemalec želi ugotoviti kateri strežnik je najbolj primeren za izvršitev njegove zahteve
27 Specifikacije in testiranje protokolov
S problemi testiranja komunikacijskih protokolov se soočamo v napredni strojni opremi že od začetkov povezovanja računalniških sistemov v omrežja Področje analize in testiranja komunikacijskih protokolov se je uvrstilo v okvire implementacije komunikacijskega procesa
Izvedba protokola je porazdeljen sistem v katerem ima vsak proces določeno stopnjo lokalne avtonomije in na nek način interakcije z okolico
- Informacijske storitve sistemov
Osnovni namen informacijsko komunikacijskih sistemov je nudenje svojih posrednih ali neposrednih storitev uporabnikov
Med standardne storitve sodijo na primer različne izvedbe računalniško podprtih omrežnih informacijskih sistemov z bolj ali manj decentraliziranimi elementi O splošnih lastnostih teh storitev velja da v vseh operacijskih sistemih podpirajo standardne storitve kjer se stikata lokalni uporabnik računalnik ndash odjemalec in virtualna naprava strežnik
28 Varnost strojne opreme
Varnost nadgradnje strojne opreme je zelo obsežen pojem zato ga je potrebno skrbno prestrukturirati Zanesljivost sistema dosežemo predvsem s skrbnim načrtovanjem nadzorom in upravljanjem sistema Pri tem imata pomembno vlogo organiziranost poslovanja in
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 13
Napredno vzdrževanje strojne opreme Učno gradivo
usposobljenost uporabnikov To področje je izredno široko in ga na tem mestu ne bomo obravnavali saj predstavlja samostojno disciplino sistemskega inženiringa
Zaščita sistema opazujemo z dveh osnovnih zornih kotov
- zaščita na nivoju končnih računalnikov ndash lokalna zaščita- zaščita ki je potrebna zaradi narave decentraliziranih sistemov ndash decentralizirana
zaščita
Iz vsakdanjega življenja vsi poznamo primere v katerih nam zelo veliko pove že dejstvo da vemo med katerimi ljudmi v določenem trenutku poteka komuniciranje ne glede na to da same vsebine ne moremo razbrati Ravno tako v primeru da razpoznamo da strojna oprema pri zagotavljanju kakovostnega komunikacijskega delovanja ne deluje jo nadomestimo z nadgradnjo
29 Odkrivanje napak
Pri uporabi in delovanju strojne opreme pride do napak predvidoma na prenosnih medijih kjer se lahko dogajajo napake Najpreprostejši način je odkrivanje napak v okviru nameščene strojne opreme v kontroli maske kjer je strojna oprema evidentirana kot okolje Windows
Komercialne različice računalniške strojne opreme s skupinskih prenosnim medijem se je pričela tudi kot omrežje
a) brezžičnoJe tisto ki je kot prenosni medij fizično opredeljivo z radijskimi valovi ali svetlobo
b) mobilnoOmrežje ni nujno brezžično bistveno je da podpira selitve računalnikov
Kot primer lahko navedem kombinacijo klasičnega modema in brezžičnega telefona ki ga lahko napredno vzdržujemo preko modema priključenega na modem npr v hotelski sobi in ga preko te linije vstopamo v drug računalnik ki je v povezavi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 14
Napredno vzdrževanje strojne opreme Učno gradivo
2slika diagnostika
- Napredno vzdrževanje prenosnih medijev
Prenosni mediji niso le žice kot pogosto najprej pomislimo Pojem bomo nekoliko razširili saj ne smemo pozabiti na prenosne medije ki nimajo zveze z računalniškimi komunikacijami tičejo pa se računalniških informacijskih sistemov
Z vidika IKS-a je poznavanje prenosnih medijev zanimivo le v toliko kolikor različne oblike prenosnih medijev omogočajo zasnovo prenosnih kanalov z različnimi kapacitetami primernih za različne razdalje in različno ceno Njihova tehnologijama sodi v področja ki so razdeljena
- Koaksialni kabel- Brezžične povezave- Optično vlakno
Optična vlakna so danes najzanesljivejši prenosni medij Prevajajo svetlobne signale ki jih običajno vzbujamo z laserskimi napravami Signal med prenosom po optičnem mediju le malo oslabi Danes dosegamo 100 kilometrske prenose brez ponavlalnikov signala Kaj takega je po parici ali koaksialnemu kablu nedosegljivo Kapaciteta optičnega kanala 100 Mbits na omenjeni razdalji ni vprašljiva na krajših odsekih pa so na pohodu že kapacitete 100 Gbits
- Brezžične povezave
Med brezžične povezave prištevamo več skupin povezav ki so zasnovane na širjenju elektromagnetnega valovanja skozi prostor Tipične oblike so
- Radijske zemeljske povezave
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 15
Napredno vzdrževanje strojne opreme Učno gradivo
- Mikrovalovne usmerjenje povezave- Infrardeče povezave - Satelitske povezave
Poleg brezžičnih povezav spada v nepogrešljivo komunikacijo tudi telefonsko omrežje Vzdrževanje telefonskega omrežja ima dostop večine opisanih graditeljev računalniških omrežij
Pripravljalne faze naprednega vzdrževanja strojne opreme
- Identificirati pristopne točke pokvarjenih delov strojne opreme- Oceniti storitve pokvarljivosti strojne opreme- Oceniti vrednost investicije za namestitev strojne opreme ter infrastrukturo ki bo
zmogla ocenjene napake opredeliti in načrtovati grobe okvire nove infrastrukture- Zagotoviti vire financiranja nameščanja nove strojne opreme
To sicer ni tehničen problem vendar pa navadno predstavlja nepomembnejše in pogosto najzamudnejše opravilo z dokaj nepredvidljivim izidom
- Opredeliti osnovne izvedbe okvire izvedbe Ti so neodvisni od infrastrukture dinamike financiranja in drugih dejavnikov Že v okviru te faze projekta je potrebno vzpostaviti stike z nameščeno strojno opremo
Večina ljudi čuti naraven odpor do razstavljanja električnih naprav in to z razlogom Proizvajalci drugih naprav vedno svarijo naj jih uporabniki ne odpirajo sami Možnost električnega šoka je prisotna pri vsej strojni opremi Vsi računalniki ne sodijo mednje saj so narejeni tako da jih uporabnik lahko do neke mere sam priredi
Ko nameščamo napredno strojno opremo npr v ohišju moramo najprej izključiti vse napeve
Iz vtičnice potegnemo napajanje za računalnik in za vse naprave ki so nanj priključene Nikakor se namešča napredne strojne opreme dokler je vtikač v vtičnici Ne samo da to škoduje računalniku nevarno je tudi za samega vzdrževalca oz uporabnika
Ohišje je lupina v katero so nameščene komponente ki sestavljajo jedro računalnika Napajalnik (ang power supply) pa je naprava ki pretvarja standardno omrežno izmenično napetost v nižje enosmerne napetosti ki jih za delovanje potrebuje računalnik
Čeprav nekateri pravijo da je to smešno sodita ohišje in napajalnik popolnoma upravičeno na vrh seznama obveznih komponent Brez njiju ni nobenega računalnika Včasih sta drug z drugim neločljivo povezana čeprav raquohodita vsak svojo potlaquo Kakršna vrsta strojne opreme se najprej ugotovi po ohišju ki je pri namiznih računalnikih zelo razkošno V ohišju najdemo prostor za osnovno ploščo z potrebnimi komponentami trde diske različne vmesniške kartice
Hrupa ki je pri stojni opremi v računalniku se lotimo ko reže v ohišju skozi katere priteka zrak v računalnik in ventilator napajalnika povečamo Ko nameščamo napredno strojno
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 16
Napredno vzdrževanje strojne opreme Učno gradivo
opremo mora biti tudi ohišje na primernem zračnem mestu To sicer ne pomeni da moramo računalnik spraviti pod mizo vendar moramo poskrbeti za učinkovit zračni preskok
Ohišja namiznih računalnikov se lahko med seboj močno razlikujejo vsa pa so praviloma dokaj velika in vanje je že vgrajen napajalnik Vgrajeni napajalnik je pri namiznih računalnikih najmočnejši ne pa edini vir hrupa Za hrup je ponavadi kriv ventilator ki skrbi za hlajenje napajalnika ohišje pa velikokrat deluje kot kakšen resonator in hrup še veča
Pri napredni strojni opremi ohišja računalnikov razdelimo na tri skupine
- Plosko ohišje
Ima obliko kvadrata z največjo ploskvijo kot osnovno stranico Navadno ga postavimo na eno od stranskih stranic in tako simuliramo ohišje v obliki stolpa Na voljo je več izvedb ploskih ohišij Tako lahko izbiramo med večjimi in manjšimi ohišji ter med bolj in manj primernimi za odpiranje
- Kompaktni sistemi
Pri kompaktnih sistemih je klasično ohišje računalnika združeno z ohišjem monitorja vanj pa so pogosto vgrajeni še zvočniki in mikrofon Ves računalnik je praktično v enem kosu vanj nista le integrirana le tipkovnica in kazalna naprava Čeprav računalniki po kompaktnosti približujejo prenosnim računalnikom Se za stalno prenašanje vseeno nekoliko okrni Kompaktni sistem je prava izbira če računalniku ne želite nameniti več prostora kot ga potrebuje povprečen monitor ali če se vam prenosni računalniki ne zdijo primerni zaradi cene oz premajhne tipkovnice
- Ročni računalniki so strpani v najmanjša ohišja kar jih je To ni nič čudnega saj morajo biti tako majhni da jih je mogoče med uporabo držati v roki Po velikosti lahko računalnike primerjamo z nekoliko boljšimi računali
- Osnovne plošče
Računalnik je skupek komponent
Tako delimo strojno opremo znotraj ohišja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 17
Napredno vzdrževanje strojne opreme Učno gradivo
3 slika pri CD-ju in CD romu je možno popravljanje napak
Če nameščamo vse tiste komponente ki jih osnovne plošče vgradijo izdelovalci računalnika ali jih nanje namestijo sestavljavci računalnikov glede na želje uporabnikov ali želje kupcev
- Procesor
Kljub pomembnosti je procesor najbolj odgovorno in je pri naprednem vzdrževanju potrebno ločeno kupiti ali popraviti od osnovne plošče Na njej je podnožje kamor ga sestavljavec računalnika lahko zamenja ali nadomesti z bolj zmogljivim Izdelovalci plošč skrbijo da je posamezna osnovna plošča uporabna z celo družino procesorjev včasih celo z različnimi družinami Družine se seveda razlikujejo po oznakah Večina korporacij med strojno opremo še posebno v zadnjem času se razlikuje po hitrosti delovnega takta frekvenci prenosa in zmogljivosti
3 NAČRTOVANJE STROJNE OPREME
Načrtovanje strojne opreme lahko izbiramo ob nakupu primernih računalnikov s pomočjo svetovalca serviserja ali vzdrževalca informacijske opreme Uporabe računalnikov in posebnih programov v proizvodnji in arhitekturi postavitve linijskih proizvodnji procesov urejajo posebni programi CAD
Za izdelavo prevodnikov in polprevodnikov na matični plošči oz integriranih vezij lahko srečamo naslednje kovine
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 18
Napredno vzdrževanje strojne opreme Učno gradivo
Krom barij iridij svinec paladij tantal arzen berilij baker zlato kadmij
Pri gradnji informacijske opreme in sistemov na osnovi mikroprocesorjev potrebujemo dodatne elemente rečemo jim raquopodporni elementilaquo To so periferni adapterji časovna vezja DMA krmilniki množilniki frekvence ROM in RAM pomnilniki Na osnovi fizičnih diskov pa imamo povezave IDE ter SATA vmesnikov - RAID diskov v samem ohišju računalnika
V tem času je podjetje Intel še razvilo večjedrsko delitev v enem procesorju kar pomeni da si vsa jedra morajo deliti predpomnilnik dostopnost do pomnilnika ter usklajeno delovati in imeti povezave do ostalih elementov Procesorji s porabo in zmogljivostjo Teraflop že omogočajo prepoznavo govora obraza in rokopisa Hitrost zmogljivosti število jeder ter odvajanje toplote pri mikroprocesorjih se bo eksponentno povečevalo (Intel source view 2010)
Vprašanja za ponavljanje
Kaj je več jedrski procesor Kaj je to napredni RAM Razišči in opiši katera napredna strojna oprema je na slovenskem trgu
34 Napredni operacijski sistemi
V naprednih strojnih vodah je znana večja prepoznavnost Windows XP operacijskega sistema ki ga ob nakupu lahko nastavimo in kasneje enostavno vzdržujemo
Vgrajena orodja znotraj OS-a
Raziskovalec (computer managment ) Register Nadzorna plošča in spremljajoči programi ter nastavitve
Kot pri vsaki informacijski opremi je preventiva vedno najprimernejša
V OS Windows XP_Nadzorni plošči_Computer managment imamo vsa navodila in upravljanje z napakami in popravki tako programske opreme napake na trdih RAID diskov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 19
Napredno vzdrževanje strojne opreme Učno gradivo
namestitev gonilnikov starih verzij programske opreme sistemske in aplikativne napake ter odstranitev vseh uporabnikov ki niso več priključeni v informacijski sistem
Nameščanje in odmeščanje strojne opreme (gonilnikov matične plošče uporabnih vhodnih -izhodnih enot sistemske strojne opreme ter do končnega cilja namestitve Odmeščanje ali odstranitev strojne opreme pri napredni strojni opremi pa je v okolju Windows XP narejeno z posebnimi odnamestitvenimi programi istega proizvajalca oz operacijskega sistema v našem primeru preko Windows nadzorne plošče
Register ki beleži vse namestitve ter spremembe programov znotraj le-tega ima funkcijo spominanja zatorej mora računalnikar uporabiti zmogljiva vzdrževalna orodja ki pretekle namestitve strojne opreme pobrišejo veliko hitreje kot pa uporabnik
Zaščita strojne opreme na uporabniškem nivoju poteka preko dodatnih požarnih zidov z nekaj 1028 bitnim ključi in več V primeru povezav veš računalniških sistemov in mrež znotraj LAN-a imajo najnovejša strojna oprema že nameščene programe za požarni zid znotraj HW proizvoda
3 slika primer brezžične matične plošče
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 20
Napredno vzdrževanje strojne opreme Učno gradivo
i Navodila za izdelavo tehničnega poročila
Kakovostna in po navodilih nadrejenega vzdrževalca - računalnikarja morajo biti zapisana v točno določenem Word formatu z primernim oblikovanjem in zapisom
Struktura naj bo sledeča
Naslovnica
Na njej je logotip Ljudske Univerze Radovljica naziv predmeta ime in priimek dijaka (tehničnega poročila seminarske oz pogodbenika) ime in priimek mentorja mesec in leto izdelave
Povzetek
V nekaj stavkih se povzame vsebino tehničnega poročila seminarske naloge oz naprednega nameščanja strojne opreme
Kazalo vsebine
Je izdelano na podlagi uporabe slogov za naslove Nivoji naslovov naj dosegajo največ nivo 3 (123)
Kazalo slik
Slike ki so uporabljene v nalogi morajo imeti napise Kazalo slik je izdelano na podlagi uporabe sloga za napise (arial 8 pt)
Poglavje uvoda
V tem poglavju se na eni strani strne in izbere kratko in jedrnato uvodna misel avtorja Namen uvoda je da bralca seznani z postopoma brano tematiko v gradivu
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 21
Napredno vzdrževanje strojne opreme Učno gradivo
Ostala poglavja
Nato sledijo ostala poglavja kot si jih je zamislil dijak
Povzetek
V povzetku se na kratko povzame obravnavan tema in nakaže morebitne težave in priložnosti pri obravnavanju tematike
Literatura
Zaradi avtorskih pravic in nelegalnega kopiranja inovacij predvsem tehničnih izumov se vedno navaja vire in informacije od tam kjer je avtor napisal strojno pogodbo tehnično poročilo ali seminarsko nalogo
Literatura zavzema spletne naslove podjetij gradiv časopisov revij in knjižnih strokovnih knjig
-------------------------------------------------------------------------------------------------------
Velikost pisave je 12 ali 14Pt
Vrsta pisave je Times New Roman
Slogi napisov
Naslov 1 pisava Cambria velikost 14pik krepko
Naslov 2 pisava Cambria velikost 13 pik krepko
Naslov 3 pisava Cambria velikost 12 pik krepko
Jezik
V strokovno-znanstveni literaturi je uporaba knjižnega jezika in urejevalnika besedil smiselna V primeru da je prevod izraza v tujkah se v oklepaju navede vrsto tujega jezika in prevod Primer
RAM (ang Random Access Memory)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 22
Napredno vzdrževanje strojne opreme Učno gradivo
Obseg
Tehnično poročilo je predvideno do 4 strani v primeru modula M8
Vzdrževalna pogodba je kratka in po členih pravno definirana v obliki medsebojnega dogovora naprednega vzdrževanja strojne opreme ter lastnika zastarele strojne opreme
Seminarska naloga je definirana glede na temo ni vrsto seminarske zatorej je priporočljivo imeti navodila strani- obsega ob začetku pisanja
Vprašanja za ponavljanje
Kakšno je tehnično poročilo
Zakaj je strojna oprema potrebna naprednega vzdrževanja ob koncu leta
Kakšne vrste pogodb o namestitvi strojne opreme poznaš v IT-ju
Kako izgleda licenčna namestitev strojne opreme Glej primer HW podjetij ki uporabljajo strojno opremo IBMHPLogitech ipd
Spletni brskalniki
Glede na naravo dela in poznavanje novih strojnih namestitev ter naprednih oprem ki nastajajo v posameznih multunacionalnih laboratorijih in proizvodnih procesih mora računalnikar biti seznanjen z novimi produkti oz strojno opremo v sodobnem času
Uporabo dostopa do wwwgooglecom wwwhpcom wwwibmcom wwwapplecom mu omogočajo pri velikanski izbiri na trgu da poišče primerno opremo proizvajalca zamenjati določen zastarel že servisiran produkt mikroprocesor izh-enoto ipd
Za brskanje po spletu je važno da se spozna na prodajo in uporabo strojne opreme kot tudi posameznih enot Oprema ki jo bo vzdrževal ima neko serijsko številko oziroma namestitveno pogodbo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 23
Napredno vzdrževanje strojne opreme Učno gradivo
Diski in na njem zaupni podatki strojna oprema ponarejanje in zamenjava s slabšimi produkti dolgoročne ne vodi računalnikarja tako do osebnega kot tudi poslovnega uspeha Res je da je mnogo različno kakovostnih produktov strojne opreme na trgu vendar tudi zloraba pri naprednem servisiranju in vzdrževanju prinašata posledice
Računalnikar se bo na terenu srečeval z identitetami računalnikov podjetij organizacij ki so po svoji naravi različna
Kot primer navajam uporabniške skupine strojne opreme ki so privrženci za Apple ter uporabniki oz privrženci za IBM Vsi bodo hvalili in zagotavljali boljšo kvaliteto in kakovost svoje strojne opreme
Zatorej vedno v tehničnem poročilu navedemo stanje strojne opreme pred našim prihodom in po tem ko smo jo le-to vzdrževali
Tako se profesionalno in komunikacijsko obnašamo s stranko kot pravi računalnikar z veliko odgovornostjo
Napredno svetovanje in pomoč uporabnikom strojne opreme
Pri pomembnosti komunikacije s s stranko moramo torej uporabljati pravila profesionalnega vedenja do stranke
Analizirati učinkovitost obstoječe strojne opreme Svetovati napredne matične plošče procesorje vodila Upoštevati različne strojne zahteve glede na namembnost osebnega računalnika Upoštevamo pomembnost shranjevanja dokumentacije vsaj 4 leta
S stranko je važno da vedno komuniciramo prijazno spoštljivo in umirjeno Kot svetovalec oz napredni računalnikar si lahko informacije o strojni opremi izmenjujemo preko strokovnih forumov novičarskih fan-tehničnih skupin (Apple HP Microsoftipd) ali pa smo povezani preko help-desk podpore na lokalnem zaščitenem omrežju kjer odpravljamo napake na terenu takoj
Zelo pomembna je tudi hitra odzivnost hitro in natančno odpravljanje napak poštenost do stranke ter na koncu primerna cena napredne strojne opreme vzdrževanja
Vprašanja za ponavljanje
Kaj je to komplet čipov
Kaj je osveževanje podpisana pogodbe o strojni opremi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 24
Napredno vzdrževanje strojne opreme Učno gradivo
Kaj je to etičnost in morala pravočasne namestitve napredne strojne opreme
4 Tveganje pri upravljanju napredne strojne opreme
Ko izrečemo ali preberemo besedi raquotveganje upravljanja napredne strojne opremelaquo se ne zavedamo da je tveganje skrito že kar v prvi besedi raquoupravljanjelaquo Tisti ki so odgovorni za upravljanje se tega namreč premalo ali sploh ne zavedajo Tveganja ki se v pri strojni opremi ter poslovnih subjektih na tem nivoju kažejo so
- nikoli dovolj resursov- cilji so nejasni- ni definirane politike standardov- število tveganj je preveliko ne ve se katera strojna oprema je najbolj pomembna- ni kulture
Sicer pa prevladuje prepričanje da se verjetno ne bo nič zgodilo Opisano ni zgled vodstvaZato moramo v svojo organizacijo sistematično s celostnim pristopom vpeljatiupravljanje tveganj Za drugo besedo raquotveganjelaquo se lahko vprašamo na kajnajprej pomislimo v vsakodnevnem življenju ko jo slišimo Najbrž pomislimo dalahko nekaj z določeno verjetnostjo izgubimo Preprosto sklepamo kaj in koliko lahko izgubimo ob neljubem dogodku to opredelimo z raquoresnostjolaquo verjetnost da izgubimo paobičajno opredelimo kot raquofrekvencalaquo pojavljanjaTo da se zgodi tisto česar v bistvu ne želimo je naša raquoranljivostlaquo če se ustreznoodzovemo ali reagiramo na tak dogodek pomeni da smo v aktivnostih privzelidoločene raquoobrambnelaquo mehanizme in zmanjšali raquoizpostavljenostlaquo tveganjemPri obravnavanju tveganj se izvajajo procesi analize ocene in rešitve kar lahkoopredelimo kot raquoupravljanjelaquo Resnost se meri z vrednostmi ovrednotimo jo finančnotorej določimo znesek Verjetnost pa merimo oz ocenimo s številom dogodkov včasovnem obdobju največkrat na leto Seveda bomo pozorni in dogodke spremljali dotiste varnosti in zaščite ki sta primerni sprejemljivi in hkrati skladni z našimivrednotami standardi in ekonomskimi zmožnostmi V bistvu so stvari boljkompleksne vsekakor je pomembna hitrost v odzivnosti Če želimo obravnavati inprimerjati tveganja moramo primerjati razsežnosti tveganj Ni rečeno da so tveganjanizka po vrednosti in visoka po frekvenci z enakim učinkom itd Zanimivo je da so vZDA in anglosaksonskem svetu upravljanje s tveganji vzeli kot tekmovalno prednostmedtem ko je v EU to bolj posledica regulative
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 25
Napredno vzdrževanje strojne opreme Učno gradivo
41 Spremembe pri strojni opremi
Spremembe so silovite Hitro se razvijajoča informacijska in telekomunikacijskatehnologija zahteva nove poslovne modele Gonilniki sprememb vplivajo na poslovnesubjekte ki morajo biti prilagodljivi hitri in hkrati varni Vse to med drugim prinašanegotovost znotraj poslovnega sistema pa tudi v zunanjem okolju Obvladovanjesprememb zahteva izjemne intelektualne napore saj so pritiski na poslovne subjekteveliki Prihajajo s strani zahtev regulative zakonodaje varnosti standardov nadzorakontrol konkurence itd Odražajo se v vrednostnih pogajalcih za PS kot soohranjanje rasti stroški in učinkovitost načrtna razdelitev kapitala in prioritetno sejim pridružuje upravljanje s tveganji torej investiranje v varnost Ključna tveganja vteh transformacijah so tako strateška kot procesna Sem sodijo informacijski sistemi(IS) infrastruktura tehnologija stranke partnerji konkurenca in intelektualni kapital -človeški viri itd Vsako od omenjenih tveganj je sicer možno omiliti ali odpravitivendar je potreben holistični pristop standardizacija privzemanje kulture tveganjpotrebno je kreirati program upravljanja tveganj program varnosti vpeljatiupravljanje znanj integralna orodja za tveganja orodja za analize scenarijev insimulacij uvesti nove discipline in metrike ter dobro prakso In kakšna je potem cenavarnosti Ni univerzalnih navodil ni garancij za uspeh ker v globalnem svetunenehno nastajajo nova tveganja V mreži poslovnih verig so medsebojno odvisna Vnadaljevanju je nakazano strukturno razumevanje oziroma pristop k upravljanjutveganj informacijske tehnologije (IT) kot podpore IS-mu in procesom v poslovnihsistemih ne glede na to kateri industriji poslovni subjekt pripada
V področje upravljanja s tveganji IT (UT-IT) vsekakor spadajo informacijski sistemi[1] IT viri procesi projekti in druge danosti ter kategorije povezane z IT Področjezajema vsa operativna tveganja kot posledice Človeških in tehnoloških napak Jeizjemno široko kompleksno interdisciplinarne narave s poudarkom na ustreznemrazumevanju konceptov z več področij (varnost tveganja nadzor (revizije)neprekinjeno poslovanje) Izhodišče so informacije ki jih podpira IS kateregaomogoča informacijska tehnologija v vsaki organizaciji Informacije potrebujejoanalizo tako domene IS kot poslovne domene Informacije so vitalen vir vsakeposlovne enote zato so tudi tarča napadov z različnimi motivi in vplivi na poslovanjeUT-IT tako zajema uporabnike IT organizacijo IT in njeno dejavnost kot storitevkončnim uporabnikom
IT organizacija mora biti ustrezno organizirana da zagotavljaposlanstvo varnosti učinkovitosti IS in dostavo storitev Zato imavarnost v organizacijah več oblik Odvisne so ena od druge inpredstavljalo celotno varnost (fizičnondashtehnično varnost in upravljalnisistem informacijske varnosti)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 26
Napredno vzdrževanje strojne opreme Učno gradivo
Pogled na strukturo IT organizacije je priporočljiv z več vidikov in dimenzijPredstava v prostoru je znana IT raquokockalaquo Med IT vire pa na splošno opredeljujemo
- ljudi- aplikacije- tehnologijo- podatke- Podporo-
Taka struktura je pomembna za odpravljanje tveganj v IT organizacijah namrečzajema tako procese kot več disciplin in upravljanje dejavnosti IT organizacije S temdemonstriramo funkcionalnost ki zagotavlja kvalitetno storitev IT Taka strukturaomogoča boljšo dostavljivost IT rešitev kar pomeni učinkovitost IS in zmanjšanjedoločenih tveganj med njimi tudi usklajevanje poslovnih ciljev najvišjega vodstva zIT
Ker izhajamo iz informacije poglejmo njene lastnosti Glavni kriteriji za ocenjevanjeso zaupnost integriteta in razpoložljivost Metoda UT-IT pa je skupni imenovalec zaanalizo neprekinjenemu poslovanju [4] projektnemu vodenju [5] drugim disciplinamin revizijam ter informacijskim varnostnim tveganjem Tveganja iz naslovainformacijske varnosti lahko do določene stopnje primerjamo s kontrolami [6] S tegavidika kontrole zmanjšujejo tveganja in so povezane z revizijami (notranjimi inzunanjimi) Pri tem se opirajo na preglede v katerih se ugotavljajo primernost inskladnost varnostne arhitekture ter učinkovitosti izvajanja upravljanja tveganjTudi odločitve običajno temeljijo na informacijah če so informacije mehke pride doizraza večja negotovost in odločitve ki se sprejemajo lahko pripeljejo do usodnihdogodkov v katerih se tveganja uresničijo in nastajajo izgube v poslovanjuDefinicij informacije je precej Velja da je to vir vsakega poslovnega subjekta Takopridemo do vrednosti informacije kot vseh drugih vitalnih vrednih virov v poslovnemsistemu Prav neustrezno ravnanje z informacijami povzroča velika tveganja ininformacijsko nestabilnost Dejstvo je da se mora v digitalni ekonomiji in globalnemsvetu poleg socialne finančne in ekonomske stabilnosti upoštevati tudi informacijska
Pri poslovanju so vsekakor pomembni procesi ki so predmet obravnave na področjuupravljanja tveganj IT Tako UT-IT opredeljuje in zajema tudi operativna tveganja Izpraktičnega vidika je v poslovnem sistemu veliko procesov ki se nadalje delijo napodprocese in aktivnosti temeljni in podporni Toda vsi morajo biti raquooptimalnilaquovodeni in nadzorovani Precej kompleksnosti naraste v informacijskem sistemu ki gapodpirata informacijska in telekomunikacijska tehnologija Zato je za področje UT-ITsmiselno uporabiti okvir COBIT Ta standard se lahko uspešno privzame tudi pri samiorganiziranosti in definiciji procesov v organizacijah ITUT-IT je prav tako proces v katerem se proučuje in obravnava IS-me Sem spadajotudi nevarnosti ki pretijo poslovnemu sitemu IS-mu IT organizaciji njeni storitveni
dejavnosti torej vsem virom v sistemu kakor tudi drugim poslovnim subjektom vposlovni verigi V njej so tehnološke razdalje med subjekti izjemno ranljive saj nasvoji poti informacije doživljajo spremembe procesi v katerih se to dogaja pa so semorali razširiti izven okolja posamezne organizacije ali PS Pot je posejana z
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 27
Napredno vzdrževanje strojne opreme Učno gradivo
nevarnostmi različnih izvorov tako da se tudi tveganja in njihovi vplivi na poslovanjeodražajo z različnimi učinki Poglablja se tveganje e-poslovanja gre za takoimenovana e-tveganja Biti brez varnosti v realnem času in hitre odzivne funkcije natveganja ter nepredvidene dogodke je lahko za poslovanje silno usodno Zatoobstajajo različne strategije orodja in načini za zdravljenje tveganj ki skupajpredstavljajo obrambne mehanizme organizacije Pri tem je pomembno zavedanje inizobraževanje ter neprestano usposabljanje strokovnjakov na teh področjihOperativna tveganja so izrazito povezana z internimi procesi in jih posamezneindustrije že obravnavajo vsekakor pa jih bo morala vpeljati finančna industrija zlastiban1048830ni sektor ki bo moral biti skladen z Baselskim II standardom in EU (CAD)direktivami Standard namreč zajema potencialne izgube tudi iz naslova operativnihtveganj ne glede na interne ali zunanje dejavnike Osredotočen je na objavopotencialnih izgub za vse poslovne linije organizacije po določeni strukturi poročanjaglede kapitalske ustreznostiKo pogledamo v bančni sektor je osnovni namen obvladovanja inupravljanja s tveganji v bankah zagotavljanje njene plačilnesposobnosti Med različnimi načini za uresničevanje tega cilja je naprvem mestu institut minimalnega kapitala in zagotavljanje potrebnekapitalske ustreznosti banke o katerem govori Basel IIDelež kapitala v celotni bilančni vsoti je pri bankah mnogo manjši kot pri drugihorganizacijah in podjetjih Tudi njegova funkcija je drugačna Kot najpomembnejšafunkcija bančnega kapitala se ponavadi navaja zaščita vlagateljev Bančni kapitalpoleg tega omogoča nadzornim institucijam omejevati obseg tveganih dejavnosti bankin hkrati omogoča banki financiranje njenih osnovnih sredstev Ker so upniki bankmnožice posameznikov ki imajo pri teh bankah praviloma vloge na vpogled alikratkoročno vezane vloge in ker je takrat ko banka postane nelikvidna ponavadi žeprepozno saj je takrat banka praviloma že nesolventna je velikost bančnega kapitalajavna zadeva
Filozofija današnje bančne regulative je dopustiti zdravo konkurenco med bankami inhkrati zagotoviti njihovo disciplino prek predpisovanja minimalnih kapitalskih zahtevBaselski standardi so vplivali na oblikovanje evropskih smernic za banke Polegstandardizirane metodologije za računanje potrebnega kapitala za pokrivanjeomenjenih tveganj so navedeni potrebni pogoji za uporabo internih modelov bank zamerjenje tveganj med njimi operativno tveganje (uporabniki IT in IT organizacij)
Obseg in narava tveganj s katerima se srečujejo banke sta odvisni od narave njihovihposlov Pri tradicionalnih bančnih poslih (dajanje posojil iz prejetih depozitov) se kotglavna tveganja pojavljajo kreditno tveganje (tveganje dolžnikove nezmožnosti alinepripravljenosti izpolniti obveznosti iz naslova kreditne pogodbe) tržnolikvidnostno tveganje (tveganje da banka v določenem trenutku ne more poravnativseh svojih dospelih plačilnih obveznosti) tveganje spremembe obrestne mere(tveganje da bo postala pogodbeno določena obrestna mera drugačna od tržne in dabo banka utrpela izgubo iz tega naslova) ter operacijsko tveganje (tveganje ki mu jebanka izpostavljena zaradi možnih človeških napak torej internih procesov napaktehnologije in zunanjih dejavnikov (gre tudi za prevare poneverbe pranje denarjaoperativne izgube pravne ter druge stroške ki jih banka nosi v primeru njihoveganastanka)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 28
Napredno vzdrževanje strojne opreme Učno gradivo
Z bankami so povezani poslovni subjekti in vsi morajo zagotavljati varno poslovanjeTveganja so precejšnja saj vsi PS ne morejo zagotavljati enako učinkovitihprotiukrepov in varnostnih mer Pogljablja se tudi STP e-poslovanje nastajajo eskupnostiIS-mi se pogovarjajo med seboj brezžične komunikacije nujno jeprivzemanje standardov in različice XML protokola vse različne storitve potrebujejoUT-IT Področje je v razmahu in lastniki ter nadzorni sveti bodo moralikontrolirati operativne izgube in učinkovitost IS NS bodo imeli vlogo potrditvestrategij UT-IT uprave oz vodstva pa bodo morali dokazati skladnost s standardi inmetodami
Primerov storitev ki jih lahko obsega napredno vzdrževanje strojne opreme v UT-IT
spremljanje tehnoloških novosti povezanih z vzdrževano opremo ter priprava predlogov in ukrepov za nemoteno delovanje oz izboljšanje njenega delovanja
zamenjava delov strojne opreme
namestitev varnostnih popravkov na strežniško infrastrukturo
namestitev varnostnih popravkov na delovne postaje in prenosnike
periodično preventivno vzdrževanje strojne opreme
dokumentiranje storitev vzdrževanja
popravilo in odstranitev vseh pomanjkljivosti odkritih med preventivnim pregledom
pomoč sistemskim administratorjem in uporabnikom odgovori na vprašanja in svetovanje glede uporabe vzdrževane infrastrukturne opreme na lokaciji naročnika oz uporabnika
izredni kontrolni nadzor nad delovanjem infrastrukturne opreme po dogovoru z naročnikom
nadgradnja strežnikov delovnih postaj in prenosnih računalnikov
nadgradnja komunikacijske opreme
daljinska pomoč preko telefona elektronske pošte faksa ali daljinskega dostopa pri reševanju problemov uporabnikov odgovori na vprašanja in svetovanje glede uporabe vzdrževane strojne opreme
Osnovno popraviloStrokovnjak bo preveril delovanje računalnika opredelil napako in jo odpravil V to storitev se uvršča odprava manjših napak na računalniku
Storitev vsebuje diagnostiko težave in njeno odpravo v primeru da gre za manjšo napako Med manjše napake sodi ponovna namestitev gonilnikov popravilo napačnih nastavitev v programski opremi ponovna namestitev programov itd
V primeru da sestavljamo ob nakupu nov računalnik z dodatno opremo moramo poskrbeti da bomo da za nakup dobili najboljšo ponudbo računalnika ali računalniške opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 29
Napredno vzdrževanje strojne opreme Učno gradivo
Pri sestavi sistema bomo upoštevali vaše potrebe ter dosegli najboljše razmerje med ceno in zmogljivostjo Poudarek je na individualnem svetovanju katerega namen je kar najbolje poskrbeti za želje uporabnika V ta sklop sodi poleg svetovanja za nakup računalnika tudi svetovanje o ostalih perifernih napravah (tiskalniki usmerjevalniki itd)
Pristop k osnovanju UT-IT
Težko je odgovoriti ali se odzvati na vsa tveganja brez ustreznega znanja Splošnoznano je tudi da se iz podatkov procesirajo informacije in iz njih znanje ki ga jesmiselno takoj uporabiti Gre za znanje poslovnega subjekta v celoti in nekateraspecialna znanja za katera je potrebno zagotoviti da so v pravilnem kontekstu in napravem mestu Upravljanje znanj (UZ) ima lahko odločilno vlogo pri strategiji zavpeljavo področja upravljanja tveganj IT v vsakodnevnem poslovanju UZ zmanjšaraquokorporacijskolaquo izpostavljenost tveganjem Zato je pametno zbrati vse ustrezneinformacije strukturirati znanje v kontekst ali okvir v katerega bodo vnesene vsebinepotrebne za UT-IT Kreiranje portala in repositorija za upravljanje tveganjopredeljujemo kot podporno infrastrukturo področju V repositoriju sopredefinirane strukture Zaposlenim so na voljo v obliki zemljevidov raquomaplaquo kikažejo na vsebine in povezave med njimi ter omogočajo polnjenje vsebin Pridoločanju vsebin lahko sodelujejo vsi želeno je da se v organizaciji na področjutveganj in varnosti ustvarja intelektualni potencialUpravljanje
Tveganj IT5Varnost
Metoda je opredeljena kot množica korakov (algoritem ali navodilo) uporabljenih zaizvršitev naloge (dela posla) Metodologija je nekako širši pojem in predstavljamnožico orodij lahko raziskovalne metode ali razlago teorije vodenja v vodstvenoprakso Torej metodologija organizira teorijo v nekaj razumljivega Ker je na voljo večpristopov metodologij in metod pri upravljanju tveganj bi torej metodologijopredstavljalo orodje za podporo odločitvenim sistemom iz področja UT-IT Tehnik inmetod je dejansko več katere bomo uporabili za različna področja in položaje toterja tehtni premislek
Slika 4 Zunanji disk WD Passport (klikni na sliko
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 30
Napredno vzdrževanje strojne opreme Učno gradivo
V glavnem so osnovane na točkovnih in statističnih metodah kvalitativni inkvantitativni tehniki Znana je enačba tveganj ALE (letnih pričakovanih izgub)Smiselno pa je privzeti metodo standarda BS7799 [10] ali ISO17799 za informacijskovarnost Smiselno je da bi vse industrije prevzele standard PSIST7799 (prevod) kivelja v državi od 13 6 2000 za bančni sektor (z dopolnitvami)Poslovni subjekti lahko uporabljajo lastno razvite tehnike in tehnologije zaidentifikacijo in analizo tveganj Za različne poslovne procese kot so vodenjesprememb združevanja in prevzemi raquocorporate governancelaquo strateško planiranje invrednotenje lahko privzete kvalitativne ali kvantitativne identifikacije tveganj inanalitske tehnike dodajo značilno vrednost za različne poslovne položaje in področjaUveljavljajo se metode analize scenarijev in raquoscorecardslaquo ter druge statistične metoderazne simulacije (Monte Carlo) itdTipično je da se simulacijski modeli uporabljajo za odločitve o sestavi realnihsistemov in za odločitve o politiki in postopkih ki jih uporabljamo pri delovanjurealnih sistemov Simulacija pomaga pri določanju sestave politike in postopkov vnegotovih torej tveganih pogojih okolja sistema Manager poskuša z modelom kotnadomestkom za realni sistem z uporabo različnih vhodnih podatkov in postopkovdoseči na osnovi dobljenih rezultatov pri simulaciji lažje odločanje pri vodenjurealnega sistema Vendar mora biti pri tem pazljiv in rezultatov dobljenih ssimulacijo ne more kratkomalo prenašati v realni svet Model in simulacija lahkopomagata bolje spoznati delovanje realnega sistema ne moreta pa zagotoviti raquopraveizbirelaquo za realni sistem Pri upravljanju tveganj IT lahko preveč subjektivne ocenepovzročajo nova tveganja predvsem na področju zunanjih virov (outsourcinga) invodenja pogodbZa UT-IT je na voljo dovolj modelov orodij programov in vzorcev ki jih lahkouporabimo v svojem poslovnem okolju Priporoljivo je da vsak poslovni subjektkreira sebi ustrezen model glede na specifiko vendar mora izvajati ovrednotenje da jeskladen s standardi in regulativo Standardi so uveljavljeni in nudijo dovolj velik okvirza njihovo privzemanje in funkcijo uporabe
Pregledni model UT-ITV podporo modelu UT-IT je že potreben omenjeni portal kot rezultat procesov priupravljanju znanj in repositorij kjer se shranjujejo potrebne vsebine in nastaja bazaznanja o dogodkih in tveganjih ter obrambnih mehanizmih Portal služi tudi zaizobraževanje Vsebine predstavljajo sezname in infostrukture od standardov doobrazcev ki se uporabljajo v posameznih fazah ali procesih analize in v obravnavanjutveganj Zbrani so tudi vsi principi zakonodaja politike procedure metrika procesiin tokovi informacij kakor tudi vnos v register tveganj zajem nevarnosti popis vsehkontrol varnostni mehanizmi in seznam protiukrepov vse to za dogodke in scenarijeki se lahko ali so se že zgodiliZa področje UT-IT se kreirajo smernice za posamezne entitete ali subjekte ki sovključeni kot participatorji ter navodila kako se izvajajo aktivnosti Učinkovitost sedoseže s poprej določenimi infostrukturami standardizacijo in povezavami medpodročji ter odnosi med entitetami ali objekti ki tvorijo sistem upravljanja tveganj IT
Kreiranje konteksta ali takšnega okvira je možno ker so v glavnem poznane vsestrukture in gradniki UT-IT in želenega sistema varnosti Dovolj predlog je že naInternetu zato je smiselno področje pregledati in izbrati želene infostrukture Posebnerazlage niso potrebne UT-IT se odvija po projektnih principih s skupinami ki so
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 31
Napredno vzdrževanje strojne opreme Učno gradivo
strokovne na svojih področjih Prav tako se v skupinah (samovodljivo) ocenjujejotveganja in definirajo strategije rešitev za identificirana tveganjaPodročje UT-IT je lahko služba ki je neodvisna in samostojna organizacijska enota v vrhu vodstva organizacijeIZVAJANJEOKVIRKaj kako s 1048830i
- Komunikacijski krogi
Bistven gradnik UT-IT predstavljajo komunikacijski krogi (KK) med področji inodgovornimi ali delegiranimi sodelavci po poslovnih linijah Le-ti predstavljajo raquokomunikatorje tveganjalaquo ki so povezani prek sistema zgodnjega opozarjanja inizvajajo vnos dogodkov ter podatkov za analize tveganj in ocenjevanje vpliva naposlovanje Izkušena skupina določi tudi ustrezne protiukrepe in varnostne mere ter jihposreduje lastnikom tveganj Ti s strokovnjaki za posamezna področja pripravijostrategijo rešitve in jo predstavijo (kot zagovor) odgovornim za področja da se posoglasju lahko izvedejo Področje UT-IT spremlja in spet ocenjuje učinke terrezidualna tveganja Zaradi narave tveganj in inherentnih tveganj IT so tovsakodnevne aktivnosti upravljanje tveganj in varnosti pa je vodstvena funkcijaObstaja še pomembna lastnost in specifika da področja varnosti in tveganj pripadajovsem zaposlenem v organizaciji zato so komunikacijski krogi in pravočasnoinformiranje nujniZa operacijsko kvaliteto v organizaciji je potrebno definirati oz določiti dimenzijo vkateri se meri kvaliteta Značilne so tri dimenzije (kriteriji)
- primernost in funkcionalnost- varnost in zanesljivost- razpoložljivost in dostopnost
- Metrike
-Tveganje je objektivizirane negotovosti glede na možnost pojavitve nezaželenegadogodka merjenje negotovosti in negotovosti izgube Negotovost nastane zaradipomanjkanja informacij o nekdanjih sedanjosti in prihodnjih dogodkih vrednostih inpogojih Ne glede na različne stopnje negotovosti je osnova koncepta negotovosti vpomanjkanju informacij o delih sistema ki ga obravnavamo ali opazujemo Zmanjšanje tveganj mora biti motiv za organizacijo Zmanjšanjestopnje negotovosti je korak k opredelitvi kaj je lahko narejeno zazmanjšanje izpostavljanju tveganj Kakšno metriko uporabimo jeodvisno od tega kaj želimo meriti obravnavati spremljati izboljšatiitdOceniti tveganje pomeni ovrednotiti koliko lahko prenesemo oz izgubimo če seneljubi dogodek zgodi in pri tem izgubimo npr kar posedujemo Ali predstavlja to zanas vrednost in kako pogosto se ti dogodki pojavljajo so začetna razmišljanja ko greza tveganja in reakcije na njihLahko trdimo da je tveganje vedno ocenjeno z analizo scenarijev kar pomenivrednotiti možne izgube in frekvenco verjetnosti možne škode Toda v kakšnemobsegu in po katerih predvidevanjih Vsekakor je pri ocenjevanju tveganj medkvalitativno in kvantitativno analizo razlika Smiselno je obravnavanje analizetveganj Še tako dobro zastavljena varnostna politika brez izvajanja in kontrole ne
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 32
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
omrežje kompleksen sistem je potrebno potrditi vsebinsko in funkcionalno ustreznost količinsko prevzete opreme Pogodba mora predpisovati način in pogoje testiranja ustreznosti opreme Običajno priv test napredne strojne opreme opravi naročnik ki lahko ugotovi nepravilnosti ki jih mora dobavitelj odpraviti in se izvajajo vsi naslednji testi na račun dobavitelja Ta predhodni korak prevzemanja zagotovita da oprema količinsko in funkcionalno ustreza naročeni strojni opremi
Preverjanje povezljivosti strojne opreme je proces nastavitve sistemskih parametrov za predvideni način delovanja in testiranja kompatibilnosti lokalne infrastrukture z okolico
Za izvedbo testa strojne opreme je potrebna primerna strojna računalniška oprema
24 Pilotna faza
Pilotna faza je namenjena preverjanju že nameščene strojne opreme kot celote s poudarkom na analizi zmogljivosti napredne strojne opreme saj je konformnost preverjena že v prejšnjih fazah
Pogosto se zgodi da zaradi različnih objektivnih razlogov projekta ni mogoče namestiti v dogovorjenem roku Razlog je lahko primer da za določeno lokacijo ne moremo najti ustreznih prenosnih poti ob tem pa večina lokacij (npr delovnih strojnih postaj) že uspešno deluje V takem primeru bi bilo nesmiselno odlagati nadaljevanje vzpostavljanja hrbtenice to je pilotno fazo delovanja
Pilotna faza namestitve strojne opreme se torej lahko prične ko vse lokacije lokalno privzete in ko ugotovimo dogovorjeni odstotek pogojno prevzetih lokacij hrbtenice računalniškega omrežja
Pilotna faza ni opredeljena samo s testi ampak je njeno bistvo predvsem opazovanje in presojanje delovanja napredne strojne opreme v delovanju V tej fazi končni uporabniki npr dijaki še ne morejo pričakovati predpisane kvalitete in stabilnosti delovanja Pilotna faza se zaključi takrat ko ugotovimo da omrežje določen čas deluje s predvideno zmogljivostjo in razpoložljivostjo npr več kot 95
Prevzem celotnega računalniške strojne opreme pomeni da naročnik dobavitelju prizna izpolnitev vseh pogodbenih obveznosti in obratno Poleg tega pa je potrebno poskrbeti za
- vzpostavitev nadzora in upravljanja omrežja s strani naročnika- zagotavljanje vzdrževanja in servisiranja vzpostavljene infrastrukture- ustrezno podporo končnim uporabnikom
Z zaključkom te faze omrežje pride v produkcijsko fazo s katero se začne normalen življenjski cikel naprednega vzdrževanja strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 11
Napredno vzdrževanje strojne opreme Učno gradivo
25 Arhitektura strojnega sistema
1slikaarhitektura ohišja
Mehanizem odjemalec ndash strežnik
- Izpad odjemalca
Strežnik ki je ostal brez svojih odjemalcev ker so ti nehali delovati ali so nedosegljivi imenujemo sirota
Tak strežnik požira vire lastnega sistema kar pa še ni najhuje Več težav lahko povzroči zmeda ki nastopi v vrstah odjemalcev ki se ponovno vzpostavljajo in dobivajo od strežnika odgovore na svoje zahteve iz časa pred izpadom Teh zahtev se namreč ne raquospominjajolaquo in ne vedo kako naj interpretirajo odgovore
Za reševanje take situacije pri naprednem vzdrževanju strojne opreme poznamo nekaj situacij
- Iztrebljanje je dokaj drakonska strategija takoj ko se odjemalec ndash roditelj procesa ponovno zavre samega sebe strežniku naroči da naj razvrednoti vse njegove morebitne procese Algoritem mora teči ker lahko najdemo v primeru pogostih izpadov na strežniku tudi procese posameznih zahtev
- Reinkarnacija je tretja strategija Odjemalec razseka čas v zaporedne intervale imenovane epohe Če odjemalcu po metodi iztrebljanja ni uspelo ubiti vseh svojih zahtev ndash procesov lahko oznani vsem strežnikom začetek novega obdobja Strežniki uničijo vse tiste zahteve ki ne sodijo v sedanjo uporabo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 12
Napredno vzdrževanje strojne opreme Učno gradivo
26 Lociranje strežnikov
V praksi nameščanja nadomestne strojne opreme je imenski strežnik tisti ki vodi evidenco o vseh ostalih strežnikih Odjemalec se s svojim problemom obrne na imenski strežnik in mu ta predlaga izvajalca Imenski strežniki se uporabljajo za izvedbo elektronske pošte
Ob namestitvi novega strežnika je potrebno ob njegovem obstoju obvestiti imenski strežnik Za to lahko poskrbi sama delovna postaja avtomatsko največkrat pa je potreben poseg vzdrževalca imenskega strežnika
Dostikrat odjemalec želi ugotoviti kateri strežnik je najbolj primeren za izvršitev njegove zahteve
27 Specifikacije in testiranje protokolov
S problemi testiranja komunikacijskih protokolov se soočamo v napredni strojni opremi že od začetkov povezovanja računalniških sistemov v omrežja Področje analize in testiranja komunikacijskih protokolov se je uvrstilo v okvire implementacije komunikacijskega procesa
Izvedba protokola je porazdeljen sistem v katerem ima vsak proces določeno stopnjo lokalne avtonomije in na nek način interakcije z okolico
- Informacijske storitve sistemov
Osnovni namen informacijsko komunikacijskih sistemov je nudenje svojih posrednih ali neposrednih storitev uporabnikov
Med standardne storitve sodijo na primer različne izvedbe računalniško podprtih omrežnih informacijskih sistemov z bolj ali manj decentraliziranimi elementi O splošnih lastnostih teh storitev velja da v vseh operacijskih sistemih podpirajo standardne storitve kjer se stikata lokalni uporabnik računalnik ndash odjemalec in virtualna naprava strežnik
28 Varnost strojne opreme
Varnost nadgradnje strojne opreme je zelo obsežen pojem zato ga je potrebno skrbno prestrukturirati Zanesljivost sistema dosežemo predvsem s skrbnim načrtovanjem nadzorom in upravljanjem sistema Pri tem imata pomembno vlogo organiziranost poslovanja in
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 13
Napredno vzdrževanje strojne opreme Učno gradivo
usposobljenost uporabnikov To področje je izredno široko in ga na tem mestu ne bomo obravnavali saj predstavlja samostojno disciplino sistemskega inženiringa
Zaščita sistema opazujemo z dveh osnovnih zornih kotov
- zaščita na nivoju končnih računalnikov ndash lokalna zaščita- zaščita ki je potrebna zaradi narave decentraliziranih sistemov ndash decentralizirana
zaščita
Iz vsakdanjega življenja vsi poznamo primere v katerih nam zelo veliko pove že dejstvo da vemo med katerimi ljudmi v določenem trenutku poteka komuniciranje ne glede na to da same vsebine ne moremo razbrati Ravno tako v primeru da razpoznamo da strojna oprema pri zagotavljanju kakovostnega komunikacijskega delovanja ne deluje jo nadomestimo z nadgradnjo
29 Odkrivanje napak
Pri uporabi in delovanju strojne opreme pride do napak predvidoma na prenosnih medijih kjer se lahko dogajajo napake Najpreprostejši način je odkrivanje napak v okviru nameščene strojne opreme v kontroli maske kjer je strojna oprema evidentirana kot okolje Windows
Komercialne različice računalniške strojne opreme s skupinskih prenosnim medijem se je pričela tudi kot omrežje
a) brezžičnoJe tisto ki je kot prenosni medij fizično opredeljivo z radijskimi valovi ali svetlobo
b) mobilnoOmrežje ni nujno brezžično bistveno je da podpira selitve računalnikov
Kot primer lahko navedem kombinacijo klasičnega modema in brezžičnega telefona ki ga lahko napredno vzdržujemo preko modema priključenega na modem npr v hotelski sobi in ga preko te linije vstopamo v drug računalnik ki je v povezavi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 14
Napredno vzdrževanje strojne opreme Učno gradivo
2slika diagnostika
- Napredno vzdrževanje prenosnih medijev
Prenosni mediji niso le žice kot pogosto najprej pomislimo Pojem bomo nekoliko razširili saj ne smemo pozabiti na prenosne medije ki nimajo zveze z računalniškimi komunikacijami tičejo pa se računalniških informacijskih sistemov
Z vidika IKS-a je poznavanje prenosnih medijev zanimivo le v toliko kolikor različne oblike prenosnih medijev omogočajo zasnovo prenosnih kanalov z različnimi kapacitetami primernih za različne razdalje in različno ceno Njihova tehnologijama sodi v področja ki so razdeljena
- Koaksialni kabel- Brezžične povezave- Optično vlakno
Optična vlakna so danes najzanesljivejši prenosni medij Prevajajo svetlobne signale ki jih običajno vzbujamo z laserskimi napravami Signal med prenosom po optičnem mediju le malo oslabi Danes dosegamo 100 kilometrske prenose brez ponavlalnikov signala Kaj takega je po parici ali koaksialnemu kablu nedosegljivo Kapaciteta optičnega kanala 100 Mbits na omenjeni razdalji ni vprašljiva na krajših odsekih pa so na pohodu že kapacitete 100 Gbits
- Brezžične povezave
Med brezžične povezave prištevamo več skupin povezav ki so zasnovane na širjenju elektromagnetnega valovanja skozi prostor Tipične oblike so
- Radijske zemeljske povezave
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 15
Napredno vzdrževanje strojne opreme Učno gradivo
- Mikrovalovne usmerjenje povezave- Infrardeče povezave - Satelitske povezave
Poleg brezžičnih povezav spada v nepogrešljivo komunikacijo tudi telefonsko omrežje Vzdrževanje telefonskega omrežja ima dostop večine opisanih graditeljev računalniških omrežij
Pripravljalne faze naprednega vzdrževanja strojne opreme
- Identificirati pristopne točke pokvarjenih delov strojne opreme- Oceniti storitve pokvarljivosti strojne opreme- Oceniti vrednost investicije za namestitev strojne opreme ter infrastrukturo ki bo
zmogla ocenjene napake opredeliti in načrtovati grobe okvire nove infrastrukture- Zagotoviti vire financiranja nameščanja nove strojne opreme
To sicer ni tehničen problem vendar pa navadno predstavlja nepomembnejše in pogosto najzamudnejše opravilo z dokaj nepredvidljivim izidom
- Opredeliti osnovne izvedbe okvire izvedbe Ti so neodvisni od infrastrukture dinamike financiranja in drugih dejavnikov Že v okviru te faze projekta je potrebno vzpostaviti stike z nameščeno strojno opremo
Večina ljudi čuti naraven odpor do razstavljanja električnih naprav in to z razlogom Proizvajalci drugih naprav vedno svarijo naj jih uporabniki ne odpirajo sami Možnost električnega šoka je prisotna pri vsej strojni opremi Vsi računalniki ne sodijo mednje saj so narejeni tako da jih uporabnik lahko do neke mere sam priredi
Ko nameščamo napredno strojno opremo npr v ohišju moramo najprej izključiti vse napeve
Iz vtičnice potegnemo napajanje za računalnik in za vse naprave ki so nanj priključene Nikakor se namešča napredne strojne opreme dokler je vtikač v vtičnici Ne samo da to škoduje računalniku nevarno je tudi za samega vzdrževalca oz uporabnika
Ohišje je lupina v katero so nameščene komponente ki sestavljajo jedro računalnika Napajalnik (ang power supply) pa je naprava ki pretvarja standardno omrežno izmenično napetost v nižje enosmerne napetosti ki jih za delovanje potrebuje računalnik
Čeprav nekateri pravijo da je to smešno sodita ohišje in napajalnik popolnoma upravičeno na vrh seznama obveznih komponent Brez njiju ni nobenega računalnika Včasih sta drug z drugim neločljivo povezana čeprav raquohodita vsak svojo potlaquo Kakršna vrsta strojne opreme se najprej ugotovi po ohišju ki je pri namiznih računalnikih zelo razkošno V ohišju najdemo prostor za osnovno ploščo z potrebnimi komponentami trde diske različne vmesniške kartice
Hrupa ki je pri stojni opremi v računalniku se lotimo ko reže v ohišju skozi katere priteka zrak v računalnik in ventilator napajalnika povečamo Ko nameščamo napredno strojno
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 16
Napredno vzdrževanje strojne opreme Učno gradivo
opremo mora biti tudi ohišje na primernem zračnem mestu To sicer ne pomeni da moramo računalnik spraviti pod mizo vendar moramo poskrbeti za učinkovit zračni preskok
Ohišja namiznih računalnikov se lahko med seboj močno razlikujejo vsa pa so praviloma dokaj velika in vanje je že vgrajen napajalnik Vgrajeni napajalnik je pri namiznih računalnikih najmočnejši ne pa edini vir hrupa Za hrup je ponavadi kriv ventilator ki skrbi za hlajenje napajalnika ohišje pa velikokrat deluje kot kakšen resonator in hrup še veča
Pri napredni strojni opremi ohišja računalnikov razdelimo na tri skupine
- Plosko ohišje
Ima obliko kvadrata z največjo ploskvijo kot osnovno stranico Navadno ga postavimo na eno od stranskih stranic in tako simuliramo ohišje v obliki stolpa Na voljo je več izvedb ploskih ohišij Tako lahko izbiramo med večjimi in manjšimi ohišji ter med bolj in manj primernimi za odpiranje
- Kompaktni sistemi
Pri kompaktnih sistemih je klasično ohišje računalnika združeno z ohišjem monitorja vanj pa so pogosto vgrajeni še zvočniki in mikrofon Ves računalnik je praktično v enem kosu vanj nista le integrirana le tipkovnica in kazalna naprava Čeprav računalniki po kompaktnosti približujejo prenosnim računalnikom Se za stalno prenašanje vseeno nekoliko okrni Kompaktni sistem je prava izbira če računalniku ne želite nameniti več prostora kot ga potrebuje povprečen monitor ali če se vam prenosni računalniki ne zdijo primerni zaradi cene oz premajhne tipkovnice
- Ročni računalniki so strpani v najmanjša ohišja kar jih je To ni nič čudnega saj morajo biti tako majhni da jih je mogoče med uporabo držati v roki Po velikosti lahko računalnike primerjamo z nekoliko boljšimi računali
- Osnovne plošče
Računalnik je skupek komponent
Tako delimo strojno opremo znotraj ohišja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 17
Napredno vzdrževanje strojne opreme Učno gradivo
3 slika pri CD-ju in CD romu je možno popravljanje napak
Če nameščamo vse tiste komponente ki jih osnovne plošče vgradijo izdelovalci računalnika ali jih nanje namestijo sestavljavci računalnikov glede na želje uporabnikov ali želje kupcev
- Procesor
Kljub pomembnosti je procesor najbolj odgovorno in je pri naprednem vzdrževanju potrebno ločeno kupiti ali popraviti od osnovne plošče Na njej je podnožje kamor ga sestavljavec računalnika lahko zamenja ali nadomesti z bolj zmogljivim Izdelovalci plošč skrbijo da je posamezna osnovna plošča uporabna z celo družino procesorjev včasih celo z različnimi družinami Družine se seveda razlikujejo po oznakah Večina korporacij med strojno opremo še posebno v zadnjem času se razlikuje po hitrosti delovnega takta frekvenci prenosa in zmogljivosti
3 NAČRTOVANJE STROJNE OPREME
Načrtovanje strojne opreme lahko izbiramo ob nakupu primernih računalnikov s pomočjo svetovalca serviserja ali vzdrževalca informacijske opreme Uporabe računalnikov in posebnih programov v proizvodnji in arhitekturi postavitve linijskih proizvodnji procesov urejajo posebni programi CAD
Za izdelavo prevodnikov in polprevodnikov na matični plošči oz integriranih vezij lahko srečamo naslednje kovine
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 18
Napredno vzdrževanje strojne opreme Učno gradivo
Krom barij iridij svinec paladij tantal arzen berilij baker zlato kadmij
Pri gradnji informacijske opreme in sistemov na osnovi mikroprocesorjev potrebujemo dodatne elemente rečemo jim raquopodporni elementilaquo To so periferni adapterji časovna vezja DMA krmilniki množilniki frekvence ROM in RAM pomnilniki Na osnovi fizičnih diskov pa imamo povezave IDE ter SATA vmesnikov - RAID diskov v samem ohišju računalnika
V tem času je podjetje Intel še razvilo večjedrsko delitev v enem procesorju kar pomeni da si vsa jedra morajo deliti predpomnilnik dostopnost do pomnilnika ter usklajeno delovati in imeti povezave do ostalih elementov Procesorji s porabo in zmogljivostjo Teraflop že omogočajo prepoznavo govora obraza in rokopisa Hitrost zmogljivosti število jeder ter odvajanje toplote pri mikroprocesorjih se bo eksponentno povečevalo (Intel source view 2010)
Vprašanja za ponavljanje
Kaj je več jedrski procesor Kaj je to napredni RAM Razišči in opiši katera napredna strojna oprema je na slovenskem trgu
34 Napredni operacijski sistemi
V naprednih strojnih vodah je znana večja prepoznavnost Windows XP operacijskega sistema ki ga ob nakupu lahko nastavimo in kasneje enostavno vzdržujemo
Vgrajena orodja znotraj OS-a
Raziskovalec (computer managment ) Register Nadzorna plošča in spremljajoči programi ter nastavitve
Kot pri vsaki informacijski opremi je preventiva vedno najprimernejša
V OS Windows XP_Nadzorni plošči_Computer managment imamo vsa navodila in upravljanje z napakami in popravki tako programske opreme napake na trdih RAID diskov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 19
Napredno vzdrževanje strojne opreme Učno gradivo
namestitev gonilnikov starih verzij programske opreme sistemske in aplikativne napake ter odstranitev vseh uporabnikov ki niso več priključeni v informacijski sistem
Nameščanje in odmeščanje strojne opreme (gonilnikov matične plošče uporabnih vhodnih -izhodnih enot sistemske strojne opreme ter do končnega cilja namestitve Odmeščanje ali odstranitev strojne opreme pri napredni strojni opremi pa je v okolju Windows XP narejeno z posebnimi odnamestitvenimi programi istega proizvajalca oz operacijskega sistema v našem primeru preko Windows nadzorne plošče
Register ki beleži vse namestitve ter spremembe programov znotraj le-tega ima funkcijo spominanja zatorej mora računalnikar uporabiti zmogljiva vzdrževalna orodja ki pretekle namestitve strojne opreme pobrišejo veliko hitreje kot pa uporabnik
Zaščita strojne opreme na uporabniškem nivoju poteka preko dodatnih požarnih zidov z nekaj 1028 bitnim ključi in več V primeru povezav veš računalniških sistemov in mrež znotraj LAN-a imajo najnovejša strojna oprema že nameščene programe za požarni zid znotraj HW proizvoda
3 slika primer brezžične matične plošče
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 20
Napredno vzdrževanje strojne opreme Učno gradivo
i Navodila za izdelavo tehničnega poročila
Kakovostna in po navodilih nadrejenega vzdrževalca - računalnikarja morajo biti zapisana v točno določenem Word formatu z primernim oblikovanjem in zapisom
Struktura naj bo sledeča
Naslovnica
Na njej je logotip Ljudske Univerze Radovljica naziv predmeta ime in priimek dijaka (tehničnega poročila seminarske oz pogodbenika) ime in priimek mentorja mesec in leto izdelave
Povzetek
V nekaj stavkih se povzame vsebino tehničnega poročila seminarske naloge oz naprednega nameščanja strojne opreme
Kazalo vsebine
Je izdelano na podlagi uporabe slogov za naslove Nivoji naslovov naj dosegajo največ nivo 3 (123)
Kazalo slik
Slike ki so uporabljene v nalogi morajo imeti napise Kazalo slik je izdelano na podlagi uporabe sloga za napise (arial 8 pt)
Poglavje uvoda
V tem poglavju se na eni strani strne in izbere kratko in jedrnato uvodna misel avtorja Namen uvoda je da bralca seznani z postopoma brano tematiko v gradivu
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 21
Napredno vzdrževanje strojne opreme Učno gradivo
Ostala poglavja
Nato sledijo ostala poglavja kot si jih je zamislil dijak
Povzetek
V povzetku se na kratko povzame obravnavan tema in nakaže morebitne težave in priložnosti pri obravnavanju tematike
Literatura
Zaradi avtorskih pravic in nelegalnega kopiranja inovacij predvsem tehničnih izumov se vedno navaja vire in informacije od tam kjer je avtor napisal strojno pogodbo tehnično poročilo ali seminarsko nalogo
Literatura zavzema spletne naslove podjetij gradiv časopisov revij in knjižnih strokovnih knjig
-------------------------------------------------------------------------------------------------------
Velikost pisave je 12 ali 14Pt
Vrsta pisave je Times New Roman
Slogi napisov
Naslov 1 pisava Cambria velikost 14pik krepko
Naslov 2 pisava Cambria velikost 13 pik krepko
Naslov 3 pisava Cambria velikost 12 pik krepko
Jezik
V strokovno-znanstveni literaturi je uporaba knjižnega jezika in urejevalnika besedil smiselna V primeru da je prevod izraza v tujkah se v oklepaju navede vrsto tujega jezika in prevod Primer
RAM (ang Random Access Memory)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 22
Napredno vzdrževanje strojne opreme Učno gradivo
Obseg
Tehnično poročilo je predvideno do 4 strani v primeru modula M8
Vzdrževalna pogodba je kratka in po členih pravno definirana v obliki medsebojnega dogovora naprednega vzdrževanja strojne opreme ter lastnika zastarele strojne opreme
Seminarska naloga je definirana glede na temo ni vrsto seminarske zatorej je priporočljivo imeti navodila strani- obsega ob začetku pisanja
Vprašanja za ponavljanje
Kakšno je tehnično poročilo
Zakaj je strojna oprema potrebna naprednega vzdrževanja ob koncu leta
Kakšne vrste pogodb o namestitvi strojne opreme poznaš v IT-ju
Kako izgleda licenčna namestitev strojne opreme Glej primer HW podjetij ki uporabljajo strojno opremo IBMHPLogitech ipd
Spletni brskalniki
Glede na naravo dela in poznavanje novih strojnih namestitev ter naprednih oprem ki nastajajo v posameznih multunacionalnih laboratorijih in proizvodnih procesih mora računalnikar biti seznanjen z novimi produkti oz strojno opremo v sodobnem času
Uporabo dostopa do wwwgooglecom wwwhpcom wwwibmcom wwwapplecom mu omogočajo pri velikanski izbiri na trgu da poišče primerno opremo proizvajalca zamenjati določen zastarel že servisiran produkt mikroprocesor izh-enoto ipd
Za brskanje po spletu je važno da se spozna na prodajo in uporabo strojne opreme kot tudi posameznih enot Oprema ki jo bo vzdrževal ima neko serijsko številko oziroma namestitveno pogodbo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 23
Napredno vzdrževanje strojne opreme Učno gradivo
Diski in na njem zaupni podatki strojna oprema ponarejanje in zamenjava s slabšimi produkti dolgoročne ne vodi računalnikarja tako do osebnega kot tudi poslovnega uspeha Res je da je mnogo različno kakovostnih produktov strojne opreme na trgu vendar tudi zloraba pri naprednem servisiranju in vzdrževanju prinašata posledice
Računalnikar se bo na terenu srečeval z identitetami računalnikov podjetij organizacij ki so po svoji naravi različna
Kot primer navajam uporabniške skupine strojne opreme ki so privrženci za Apple ter uporabniki oz privrženci za IBM Vsi bodo hvalili in zagotavljali boljšo kvaliteto in kakovost svoje strojne opreme
Zatorej vedno v tehničnem poročilu navedemo stanje strojne opreme pred našim prihodom in po tem ko smo jo le-to vzdrževali
Tako se profesionalno in komunikacijsko obnašamo s stranko kot pravi računalnikar z veliko odgovornostjo
Napredno svetovanje in pomoč uporabnikom strojne opreme
Pri pomembnosti komunikacije s s stranko moramo torej uporabljati pravila profesionalnega vedenja do stranke
Analizirati učinkovitost obstoječe strojne opreme Svetovati napredne matične plošče procesorje vodila Upoštevati različne strojne zahteve glede na namembnost osebnega računalnika Upoštevamo pomembnost shranjevanja dokumentacije vsaj 4 leta
S stranko je važno da vedno komuniciramo prijazno spoštljivo in umirjeno Kot svetovalec oz napredni računalnikar si lahko informacije o strojni opremi izmenjujemo preko strokovnih forumov novičarskih fan-tehničnih skupin (Apple HP Microsoftipd) ali pa smo povezani preko help-desk podpore na lokalnem zaščitenem omrežju kjer odpravljamo napake na terenu takoj
Zelo pomembna je tudi hitra odzivnost hitro in natančno odpravljanje napak poštenost do stranke ter na koncu primerna cena napredne strojne opreme vzdrževanja
Vprašanja za ponavljanje
Kaj je to komplet čipov
Kaj je osveževanje podpisana pogodbe o strojni opremi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 24
Napredno vzdrževanje strojne opreme Učno gradivo
Kaj je to etičnost in morala pravočasne namestitve napredne strojne opreme
4 Tveganje pri upravljanju napredne strojne opreme
Ko izrečemo ali preberemo besedi raquotveganje upravljanja napredne strojne opremelaquo se ne zavedamo da je tveganje skrito že kar v prvi besedi raquoupravljanjelaquo Tisti ki so odgovorni za upravljanje se tega namreč premalo ali sploh ne zavedajo Tveganja ki se v pri strojni opremi ter poslovnih subjektih na tem nivoju kažejo so
- nikoli dovolj resursov- cilji so nejasni- ni definirane politike standardov- število tveganj je preveliko ne ve se katera strojna oprema je najbolj pomembna- ni kulture
Sicer pa prevladuje prepričanje da se verjetno ne bo nič zgodilo Opisano ni zgled vodstvaZato moramo v svojo organizacijo sistematično s celostnim pristopom vpeljatiupravljanje tveganj Za drugo besedo raquotveganjelaquo se lahko vprašamo na kajnajprej pomislimo v vsakodnevnem življenju ko jo slišimo Najbrž pomislimo dalahko nekaj z določeno verjetnostjo izgubimo Preprosto sklepamo kaj in koliko lahko izgubimo ob neljubem dogodku to opredelimo z raquoresnostjolaquo verjetnost da izgubimo paobičajno opredelimo kot raquofrekvencalaquo pojavljanjaTo da se zgodi tisto česar v bistvu ne želimo je naša raquoranljivostlaquo če se ustreznoodzovemo ali reagiramo na tak dogodek pomeni da smo v aktivnostih privzelidoločene raquoobrambnelaquo mehanizme in zmanjšali raquoizpostavljenostlaquo tveganjemPri obravnavanju tveganj se izvajajo procesi analize ocene in rešitve kar lahkoopredelimo kot raquoupravljanjelaquo Resnost se meri z vrednostmi ovrednotimo jo finančnotorej določimo znesek Verjetnost pa merimo oz ocenimo s številom dogodkov včasovnem obdobju največkrat na leto Seveda bomo pozorni in dogodke spremljali dotiste varnosti in zaščite ki sta primerni sprejemljivi in hkrati skladni z našimivrednotami standardi in ekonomskimi zmožnostmi V bistvu so stvari boljkompleksne vsekakor je pomembna hitrost v odzivnosti Če želimo obravnavati inprimerjati tveganja moramo primerjati razsežnosti tveganj Ni rečeno da so tveganjanizka po vrednosti in visoka po frekvenci z enakim učinkom itd Zanimivo je da so vZDA in anglosaksonskem svetu upravljanje s tveganji vzeli kot tekmovalno prednostmedtem ko je v EU to bolj posledica regulative
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 25
Napredno vzdrževanje strojne opreme Učno gradivo
41 Spremembe pri strojni opremi
Spremembe so silovite Hitro se razvijajoča informacijska in telekomunikacijskatehnologija zahteva nove poslovne modele Gonilniki sprememb vplivajo na poslovnesubjekte ki morajo biti prilagodljivi hitri in hkrati varni Vse to med drugim prinašanegotovost znotraj poslovnega sistema pa tudi v zunanjem okolju Obvladovanjesprememb zahteva izjemne intelektualne napore saj so pritiski na poslovne subjekteveliki Prihajajo s strani zahtev regulative zakonodaje varnosti standardov nadzorakontrol konkurence itd Odražajo se v vrednostnih pogajalcih za PS kot soohranjanje rasti stroški in učinkovitost načrtna razdelitev kapitala in prioritetno sejim pridružuje upravljanje s tveganji torej investiranje v varnost Ključna tveganja vteh transformacijah so tako strateška kot procesna Sem sodijo informacijski sistemi(IS) infrastruktura tehnologija stranke partnerji konkurenca in intelektualni kapital -človeški viri itd Vsako od omenjenih tveganj je sicer možno omiliti ali odpravitivendar je potreben holistični pristop standardizacija privzemanje kulture tveganjpotrebno je kreirati program upravljanja tveganj program varnosti vpeljatiupravljanje znanj integralna orodja za tveganja orodja za analize scenarijev insimulacij uvesti nove discipline in metrike ter dobro prakso In kakšna je potem cenavarnosti Ni univerzalnih navodil ni garancij za uspeh ker v globalnem svetunenehno nastajajo nova tveganja V mreži poslovnih verig so medsebojno odvisna Vnadaljevanju je nakazano strukturno razumevanje oziroma pristop k upravljanjutveganj informacijske tehnologije (IT) kot podpore IS-mu in procesom v poslovnihsistemih ne glede na to kateri industriji poslovni subjekt pripada
V področje upravljanja s tveganji IT (UT-IT) vsekakor spadajo informacijski sistemi[1] IT viri procesi projekti in druge danosti ter kategorije povezane z IT Področjezajema vsa operativna tveganja kot posledice Človeških in tehnoloških napak Jeizjemno široko kompleksno interdisciplinarne narave s poudarkom na ustreznemrazumevanju konceptov z več področij (varnost tveganja nadzor (revizije)neprekinjeno poslovanje) Izhodišče so informacije ki jih podpira IS kateregaomogoča informacijska tehnologija v vsaki organizaciji Informacije potrebujejoanalizo tako domene IS kot poslovne domene Informacije so vitalen vir vsakeposlovne enote zato so tudi tarča napadov z različnimi motivi in vplivi na poslovanjeUT-IT tako zajema uporabnike IT organizacijo IT in njeno dejavnost kot storitevkončnim uporabnikom
IT organizacija mora biti ustrezno organizirana da zagotavljaposlanstvo varnosti učinkovitosti IS in dostavo storitev Zato imavarnost v organizacijah več oblik Odvisne so ena od druge inpredstavljalo celotno varnost (fizičnondashtehnično varnost in upravljalnisistem informacijske varnosti)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 26
Napredno vzdrževanje strojne opreme Učno gradivo
Pogled na strukturo IT organizacije je priporočljiv z več vidikov in dimenzijPredstava v prostoru je znana IT raquokockalaquo Med IT vire pa na splošno opredeljujemo
- ljudi- aplikacije- tehnologijo- podatke- Podporo-
Taka struktura je pomembna za odpravljanje tveganj v IT organizacijah namrečzajema tako procese kot več disciplin in upravljanje dejavnosti IT organizacije S temdemonstriramo funkcionalnost ki zagotavlja kvalitetno storitev IT Taka strukturaomogoča boljšo dostavljivost IT rešitev kar pomeni učinkovitost IS in zmanjšanjedoločenih tveganj med njimi tudi usklajevanje poslovnih ciljev najvišjega vodstva zIT
Ker izhajamo iz informacije poglejmo njene lastnosti Glavni kriteriji za ocenjevanjeso zaupnost integriteta in razpoložljivost Metoda UT-IT pa je skupni imenovalec zaanalizo neprekinjenemu poslovanju [4] projektnemu vodenju [5] drugim disciplinamin revizijam ter informacijskim varnostnim tveganjem Tveganja iz naslovainformacijske varnosti lahko do določene stopnje primerjamo s kontrolami [6] S tegavidika kontrole zmanjšujejo tveganja in so povezane z revizijami (notranjimi inzunanjimi) Pri tem se opirajo na preglede v katerih se ugotavljajo primernost inskladnost varnostne arhitekture ter učinkovitosti izvajanja upravljanja tveganjTudi odločitve običajno temeljijo na informacijah če so informacije mehke pride doizraza večja negotovost in odločitve ki se sprejemajo lahko pripeljejo do usodnihdogodkov v katerih se tveganja uresničijo in nastajajo izgube v poslovanjuDefinicij informacije je precej Velja da je to vir vsakega poslovnega subjekta Takopridemo do vrednosti informacije kot vseh drugih vitalnih vrednih virov v poslovnemsistemu Prav neustrezno ravnanje z informacijami povzroča velika tveganja ininformacijsko nestabilnost Dejstvo je da se mora v digitalni ekonomiji in globalnemsvetu poleg socialne finančne in ekonomske stabilnosti upoštevati tudi informacijska
Pri poslovanju so vsekakor pomembni procesi ki so predmet obravnave na področjuupravljanja tveganj IT Tako UT-IT opredeljuje in zajema tudi operativna tveganja Izpraktičnega vidika je v poslovnem sistemu veliko procesov ki se nadalje delijo napodprocese in aktivnosti temeljni in podporni Toda vsi morajo biti raquooptimalnilaquovodeni in nadzorovani Precej kompleksnosti naraste v informacijskem sistemu ki gapodpirata informacijska in telekomunikacijska tehnologija Zato je za področje UT-ITsmiselno uporabiti okvir COBIT Ta standard se lahko uspešno privzame tudi pri samiorganiziranosti in definiciji procesov v organizacijah ITUT-IT je prav tako proces v katerem se proučuje in obravnava IS-me Sem spadajotudi nevarnosti ki pretijo poslovnemu sitemu IS-mu IT organizaciji njeni storitveni
dejavnosti torej vsem virom v sistemu kakor tudi drugim poslovnim subjektom vposlovni verigi V njej so tehnološke razdalje med subjekti izjemno ranljive saj nasvoji poti informacije doživljajo spremembe procesi v katerih se to dogaja pa so semorali razširiti izven okolja posamezne organizacije ali PS Pot je posejana z
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 27
Napredno vzdrževanje strojne opreme Učno gradivo
nevarnostmi različnih izvorov tako da se tudi tveganja in njihovi vplivi na poslovanjeodražajo z različnimi učinki Poglablja se tveganje e-poslovanja gre za takoimenovana e-tveganja Biti brez varnosti v realnem času in hitre odzivne funkcije natveganja ter nepredvidene dogodke je lahko za poslovanje silno usodno Zatoobstajajo različne strategije orodja in načini za zdravljenje tveganj ki skupajpredstavljajo obrambne mehanizme organizacije Pri tem je pomembno zavedanje inizobraževanje ter neprestano usposabljanje strokovnjakov na teh področjihOperativna tveganja so izrazito povezana z internimi procesi in jih posamezneindustrije že obravnavajo vsekakor pa jih bo morala vpeljati finančna industrija zlastiban1048830ni sektor ki bo moral biti skladen z Baselskim II standardom in EU (CAD)direktivami Standard namreč zajema potencialne izgube tudi iz naslova operativnihtveganj ne glede na interne ali zunanje dejavnike Osredotočen je na objavopotencialnih izgub za vse poslovne linije organizacije po določeni strukturi poročanjaglede kapitalske ustreznostiKo pogledamo v bančni sektor je osnovni namen obvladovanja inupravljanja s tveganji v bankah zagotavljanje njene plačilnesposobnosti Med različnimi načini za uresničevanje tega cilja je naprvem mestu institut minimalnega kapitala in zagotavljanje potrebnekapitalske ustreznosti banke o katerem govori Basel IIDelež kapitala v celotni bilančni vsoti je pri bankah mnogo manjši kot pri drugihorganizacijah in podjetjih Tudi njegova funkcija je drugačna Kot najpomembnejšafunkcija bančnega kapitala se ponavadi navaja zaščita vlagateljev Bančni kapitalpoleg tega omogoča nadzornim institucijam omejevati obseg tveganih dejavnosti bankin hkrati omogoča banki financiranje njenih osnovnih sredstev Ker so upniki bankmnožice posameznikov ki imajo pri teh bankah praviloma vloge na vpogled alikratkoročno vezane vloge in ker je takrat ko banka postane nelikvidna ponavadi žeprepozno saj je takrat banka praviloma že nesolventna je velikost bančnega kapitalajavna zadeva
Filozofija današnje bančne regulative je dopustiti zdravo konkurenco med bankami inhkrati zagotoviti njihovo disciplino prek predpisovanja minimalnih kapitalskih zahtevBaselski standardi so vplivali na oblikovanje evropskih smernic za banke Polegstandardizirane metodologije za računanje potrebnega kapitala za pokrivanjeomenjenih tveganj so navedeni potrebni pogoji za uporabo internih modelov bank zamerjenje tveganj med njimi operativno tveganje (uporabniki IT in IT organizacij)
Obseg in narava tveganj s katerima se srečujejo banke sta odvisni od narave njihovihposlov Pri tradicionalnih bančnih poslih (dajanje posojil iz prejetih depozitov) se kotglavna tveganja pojavljajo kreditno tveganje (tveganje dolžnikove nezmožnosti alinepripravljenosti izpolniti obveznosti iz naslova kreditne pogodbe) tržnolikvidnostno tveganje (tveganje da banka v določenem trenutku ne more poravnativseh svojih dospelih plačilnih obveznosti) tveganje spremembe obrestne mere(tveganje da bo postala pogodbeno določena obrestna mera drugačna od tržne in dabo banka utrpela izgubo iz tega naslova) ter operacijsko tveganje (tveganje ki mu jebanka izpostavljena zaradi možnih človeških napak torej internih procesov napaktehnologije in zunanjih dejavnikov (gre tudi za prevare poneverbe pranje denarjaoperativne izgube pravne ter druge stroške ki jih banka nosi v primeru njihoveganastanka)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 28
Napredno vzdrževanje strojne opreme Učno gradivo
Z bankami so povezani poslovni subjekti in vsi morajo zagotavljati varno poslovanjeTveganja so precejšnja saj vsi PS ne morejo zagotavljati enako učinkovitihprotiukrepov in varnostnih mer Pogljablja se tudi STP e-poslovanje nastajajo eskupnostiIS-mi se pogovarjajo med seboj brezžične komunikacije nujno jeprivzemanje standardov in različice XML protokola vse različne storitve potrebujejoUT-IT Področje je v razmahu in lastniki ter nadzorni sveti bodo moralikontrolirati operativne izgube in učinkovitost IS NS bodo imeli vlogo potrditvestrategij UT-IT uprave oz vodstva pa bodo morali dokazati skladnost s standardi inmetodami
Primerov storitev ki jih lahko obsega napredno vzdrževanje strojne opreme v UT-IT
spremljanje tehnoloških novosti povezanih z vzdrževano opremo ter priprava predlogov in ukrepov za nemoteno delovanje oz izboljšanje njenega delovanja
zamenjava delov strojne opreme
namestitev varnostnih popravkov na strežniško infrastrukturo
namestitev varnostnih popravkov na delovne postaje in prenosnike
periodično preventivno vzdrževanje strojne opreme
dokumentiranje storitev vzdrževanja
popravilo in odstranitev vseh pomanjkljivosti odkritih med preventivnim pregledom
pomoč sistemskim administratorjem in uporabnikom odgovori na vprašanja in svetovanje glede uporabe vzdrževane infrastrukturne opreme na lokaciji naročnika oz uporabnika
izredni kontrolni nadzor nad delovanjem infrastrukturne opreme po dogovoru z naročnikom
nadgradnja strežnikov delovnih postaj in prenosnih računalnikov
nadgradnja komunikacijske opreme
daljinska pomoč preko telefona elektronske pošte faksa ali daljinskega dostopa pri reševanju problemov uporabnikov odgovori na vprašanja in svetovanje glede uporabe vzdrževane strojne opreme
Osnovno popraviloStrokovnjak bo preveril delovanje računalnika opredelil napako in jo odpravil V to storitev se uvršča odprava manjših napak na računalniku
Storitev vsebuje diagnostiko težave in njeno odpravo v primeru da gre za manjšo napako Med manjše napake sodi ponovna namestitev gonilnikov popravilo napačnih nastavitev v programski opremi ponovna namestitev programov itd
V primeru da sestavljamo ob nakupu nov računalnik z dodatno opremo moramo poskrbeti da bomo da za nakup dobili najboljšo ponudbo računalnika ali računalniške opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 29
Napredno vzdrževanje strojne opreme Učno gradivo
Pri sestavi sistema bomo upoštevali vaše potrebe ter dosegli najboljše razmerje med ceno in zmogljivostjo Poudarek je na individualnem svetovanju katerega namen je kar najbolje poskrbeti za želje uporabnika V ta sklop sodi poleg svetovanja za nakup računalnika tudi svetovanje o ostalih perifernih napravah (tiskalniki usmerjevalniki itd)
Pristop k osnovanju UT-IT
Težko je odgovoriti ali se odzvati na vsa tveganja brez ustreznega znanja Splošnoznano je tudi da se iz podatkov procesirajo informacije in iz njih znanje ki ga jesmiselno takoj uporabiti Gre za znanje poslovnega subjekta v celoti in nekateraspecialna znanja za katera je potrebno zagotoviti da so v pravilnem kontekstu in napravem mestu Upravljanje znanj (UZ) ima lahko odločilno vlogo pri strategiji zavpeljavo področja upravljanja tveganj IT v vsakodnevnem poslovanju UZ zmanjšaraquokorporacijskolaquo izpostavljenost tveganjem Zato je pametno zbrati vse ustrezneinformacije strukturirati znanje v kontekst ali okvir v katerega bodo vnesene vsebinepotrebne za UT-IT Kreiranje portala in repositorija za upravljanje tveganjopredeljujemo kot podporno infrastrukturo področju V repositoriju sopredefinirane strukture Zaposlenim so na voljo v obliki zemljevidov raquomaplaquo kikažejo na vsebine in povezave med njimi ter omogočajo polnjenje vsebin Pridoločanju vsebin lahko sodelujejo vsi želeno je da se v organizaciji na področjutveganj in varnosti ustvarja intelektualni potencialUpravljanje
Tveganj IT5Varnost
Metoda je opredeljena kot množica korakov (algoritem ali navodilo) uporabljenih zaizvršitev naloge (dela posla) Metodologija je nekako širši pojem in predstavljamnožico orodij lahko raziskovalne metode ali razlago teorije vodenja v vodstvenoprakso Torej metodologija organizira teorijo v nekaj razumljivega Ker je na voljo večpristopov metodologij in metod pri upravljanju tveganj bi torej metodologijopredstavljalo orodje za podporo odločitvenim sistemom iz področja UT-IT Tehnik inmetod je dejansko več katere bomo uporabili za različna področja in položaje toterja tehtni premislek
Slika 4 Zunanji disk WD Passport (klikni na sliko
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 30
Napredno vzdrževanje strojne opreme Učno gradivo
V glavnem so osnovane na točkovnih in statističnih metodah kvalitativni inkvantitativni tehniki Znana je enačba tveganj ALE (letnih pričakovanih izgub)Smiselno pa je privzeti metodo standarda BS7799 [10] ali ISO17799 za informacijskovarnost Smiselno je da bi vse industrije prevzele standard PSIST7799 (prevod) kivelja v državi od 13 6 2000 za bančni sektor (z dopolnitvami)Poslovni subjekti lahko uporabljajo lastno razvite tehnike in tehnologije zaidentifikacijo in analizo tveganj Za različne poslovne procese kot so vodenjesprememb združevanja in prevzemi raquocorporate governancelaquo strateško planiranje invrednotenje lahko privzete kvalitativne ali kvantitativne identifikacije tveganj inanalitske tehnike dodajo značilno vrednost za različne poslovne položaje in področjaUveljavljajo se metode analize scenarijev in raquoscorecardslaquo ter druge statistične metoderazne simulacije (Monte Carlo) itdTipično je da se simulacijski modeli uporabljajo za odločitve o sestavi realnihsistemov in za odločitve o politiki in postopkih ki jih uporabljamo pri delovanjurealnih sistemov Simulacija pomaga pri določanju sestave politike in postopkov vnegotovih torej tveganih pogojih okolja sistema Manager poskuša z modelom kotnadomestkom za realni sistem z uporabo različnih vhodnih podatkov in postopkovdoseči na osnovi dobljenih rezultatov pri simulaciji lažje odločanje pri vodenjurealnega sistema Vendar mora biti pri tem pazljiv in rezultatov dobljenih ssimulacijo ne more kratkomalo prenašati v realni svet Model in simulacija lahkopomagata bolje spoznati delovanje realnega sistema ne moreta pa zagotoviti raquopraveizbirelaquo za realni sistem Pri upravljanju tveganj IT lahko preveč subjektivne ocenepovzročajo nova tveganja predvsem na področju zunanjih virov (outsourcinga) invodenja pogodbZa UT-IT je na voljo dovolj modelov orodij programov in vzorcev ki jih lahkouporabimo v svojem poslovnem okolju Priporoljivo je da vsak poslovni subjektkreira sebi ustrezen model glede na specifiko vendar mora izvajati ovrednotenje da jeskladen s standardi in regulativo Standardi so uveljavljeni in nudijo dovolj velik okvirza njihovo privzemanje in funkcijo uporabe
Pregledni model UT-ITV podporo modelu UT-IT je že potreben omenjeni portal kot rezultat procesov priupravljanju znanj in repositorij kjer se shranjujejo potrebne vsebine in nastaja bazaznanja o dogodkih in tveganjih ter obrambnih mehanizmih Portal služi tudi zaizobraževanje Vsebine predstavljajo sezname in infostrukture od standardov doobrazcev ki se uporabljajo v posameznih fazah ali procesih analize in v obravnavanjutveganj Zbrani so tudi vsi principi zakonodaja politike procedure metrika procesiin tokovi informacij kakor tudi vnos v register tveganj zajem nevarnosti popis vsehkontrol varnostni mehanizmi in seznam protiukrepov vse to za dogodke in scenarijeki se lahko ali so se že zgodiliZa področje UT-IT se kreirajo smernice za posamezne entitete ali subjekte ki sovključeni kot participatorji ter navodila kako se izvajajo aktivnosti Učinkovitost sedoseže s poprej določenimi infostrukturami standardizacijo in povezavami medpodročji ter odnosi med entitetami ali objekti ki tvorijo sistem upravljanja tveganj IT
Kreiranje konteksta ali takšnega okvira je možno ker so v glavnem poznane vsestrukture in gradniki UT-IT in želenega sistema varnosti Dovolj predlog je že naInternetu zato je smiselno področje pregledati in izbrati želene infostrukture Posebnerazlage niso potrebne UT-IT se odvija po projektnih principih s skupinami ki so
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 31
Napredno vzdrževanje strojne opreme Učno gradivo
strokovne na svojih področjih Prav tako se v skupinah (samovodljivo) ocenjujejotveganja in definirajo strategije rešitev za identificirana tveganjaPodročje UT-IT je lahko služba ki je neodvisna in samostojna organizacijska enota v vrhu vodstva organizacijeIZVAJANJEOKVIRKaj kako s 1048830i
- Komunikacijski krogi
Bistven gradnik UT-IT predstavljajo komunikacijski krogi (KK) med področji inodgovornimi ali delegiranimi sodelavci po poslovnih linijah Le-ti predstavljajo raquokomunikatorje tveganjalaquo ki so povezani prek sistema zgodnjega opozarjanja inizvajajo vnos dogodkov ter podatkov za analize tveganj in ocenjevanje vpliva naposlovanje Izkušena skupina določi tudi ustrezne protiukrepe in varnostne mere ter jihposreduje lastnikom tveganj Ti s strokovnjaki za posamezna področja pripravijostrategijo rešitve in jo predstavijo (kot zagovor) odgovornim za področja da se posoglasju lahko izvedejo Področje UT-IT spremlja in spet ocenjuje učinke terrezidualna tveganja Zaradi narave tveganj in inherentnih tveganj IT so tovsakodnevne aktivnosti upravljanje tveganj in varnosti pa je vodstvena funkcijaObstaja še pomembna lastnost in specifika da področja varnosti in tveganj pripadajovsem zaposlenem v organizaciji zato so komunikacijski krogi in pravočasnoinformiranje nujniZa operacijsko kvaliteto v organizaciji je potrebno definirati oz določiti dimenzijo vkateri se meri kvaliteta Značilne so tri dimenzije (kriteriji)
- primernost in funkcionalnost- varnost in zanesljivost- razpoložljivost in dostopnost
- Metrike
-Tveganje je objektivizirane negotovosti glede na možnost pojavitve nezaželenegadogodka merjenje negotovosti in negotovosti izgube Negotovost nastane zaradipomanjkanja informacij o nekdanjih sedanjosti in prihodnjih dogodkih vrednostih inpogojih Ne glede na različne stopnje negotovosti je osnova koncepta negotovosti vpomanjkanju informacij o delih sistema ki ga obravnavamo ali opazujemo Zmanjšanje tveganj mora biti motiv za organizacijo Zmanjšanjestopnje negotovosti je korak k opredelitvi kaj je lahko narejeno zazmanjšanje izpostavljanju tveganj Kakšno metriko uporabimo jeodvisno od tega kaj želimo meriti obravnavati spremljati izboljšatiitdOceniti tveganje pomeni ovrednotiti koliko lahko prenesemo oz izgubimo če seneljubi dogodek zgodi in pri tem izgubimo npr kar posedujemo Ali predstavlja to zanas vrednost in kako pogosto se ti dogodki pojavljajo so začetna razmišljanja ko greza tveganja in reakcije na njihLahko trdimo da je tveganje vedno ocenjeno z analizo scenarijev kar pomenivrednotiti možne izgube in frekvenco verjetnosti možne škode Toda v kakšnemobsegu in po katerih predvidevanjih Vsekakor je pri ocenjevanju tveganj medkvalitativno in kvantitativno analizo razlika Smiselno je obravnavanje analizetveganj Še tako dobro zastavljena varnostna politika brez izvajanja in kontrole ne
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 32
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
25 Arhitektura strojnega sistema
1slikaarhitektura ohišja
Mehanizem odjemalec ndash strežnik
- Izpad odjemalca
Strežnik ki je ostal brez svojih odjemalcev ker so ti nehali delovati ali so nedosegljivi imenujemo sirota
Tak strežnik požira vire lastnega sistema kar pa še ni najhuje Več težav lahko povzroči zmeda ki nastopi v vrstah odjemalcev ki se ponovno vzpostavljajo in dobivajo od strežnika odgovore na svoje zahteve iz časa pred izpadom Teh zahtev se namreč ne raquospominjajolaquo in ne vedo kako naj interpretirajo odgovore
Za reševanje take situacije pri naprednem vzdrževanju strojne opreme poznamo nekaj situacij
- Iztrebljanje je dokaj drakonska strategija takoj ko se odjemalec ndash roditelj procesa ponovno zavre samega sebe strežniku naroči da naj razvrednoti vse njegove morebitne procese Algoritem mora teči ker lahko najdemo v primeru pogostih izpadov na strežniku tudi procese posameznih zahtev
- Reinkarnacija je tretja strategija Odjemalec razseka čas v zaporedne intervale imenovane epohe Če odjemalcu po metodi iztrebljanja ni uspelo ubiti vseh svojih zahtev ndash procesov lahko oznani vsem strežnikom začetek novega obdobja Strežniki uničijo vse tiste zahteve ki ne sodijo v sedanjo uporabo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 12
Napredno vzdrževanje strojne opreme Učno gradivo
26 Lociranje strežnikov
V praksi nameščanja nadomestne strojne opreme je imenski strežnik tisti ki vodi evidenco o vseh ostalih strežnikih Odjemalec se s svojim problemom obrne na imenski strežnik in mu ta predlaga izvajalca Imenski strežniki se uporabljajo za izvedbo elektronske pošte
Ob namestitvi novega strežnika je potrebno ob njegovem obstoju obvestiti imenski strežnik Za to lahko poskrbi sama delovna postaja avtomatsko največkrat pa je potreben poseg vzdrževalca imenskega strežnika
Dostikrat odjemalec želi ugotoviti kateri strežnik je najbolj primeren za izvršitev njegove zahteve
27 Specifikacije in testiranje protokolov
S problemi testiranja komunikacijskih protokolov se soočamo v napredni strojni opremi že od začetkov povezovanja računalniških sistemov v omrežja Področje analize in testiranja komunikacijskih protokolov se je uvrstilo v okvire implementacije komunikacijskega procesa
Izvedba protokola je porazdeljen sistem v katerem ima vsak proces določeno stopnjo lokalne avtonomije in na nek način interakcije z okolico
- Informacijske storitve sistemov
Osnovni namen informacijsko komunikacijskih sistemov je nudenje svojih posrednih ali neposrednih storitev uporabnikov
Med standardne storitve sodijo na primer različne izvedbe računalniško podprtih omrežnih informacijskih sistemov z bolj ali manj decentraliziranimi elementi O splošnih lastnostih teh storitev velja da v vseh operacijskih sistemih podpirajo standardne storitve kjer se stikata lokalni uporabnik računalnik ndash odjemalec in virtualna naprava strežnik
28 Varnost strojne opreme
Varnost nadgradnje strojne opreme je zelo obsežen pojem zato ga je potrebno skrbno prestrukturirati Zanesljivost sistema dosežemo predvsem s skrbnim načrtovanjem nadzorom in upravljanjem sistema Pri tem imata pomembno vlogo organiziranost poslovanja in
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 13
Napredno vzdrževanje strojne opreme Učno gradivo
usposobljenost uporabnikov To področje je izredno široko in ga na tem mestu ne bomo obravnavali saj predstavlja samostojno disciplino sistemskega inženiringa
Zaščita sistema opazujemo z dveh osnovnih zornih kotov
- zaščita na nivoju končnih računalnikov ndash lokalna zaščita- zaščita ki je potrebna zaradi narave decentraliziranih sistemov ndash decentralizirana
zaščita
Iz vsakdanjega življenja vsi poznamo primere v katerih nam zelo veliko pove že dejstvo da vemo med katerimi ljudmi v določenem trenutku poteka komuniciranje ne glede na to da same vsebine ne moremo razbrati Ravno tako v primeru da razpoznamo da strojna oprema pri zagotavljanju kakovostnega komunikacijskega delovanja ne deluje jo nadomestimo z nadgradnjo
29 Odkrivanje napak
Pri uporabi in delovanju strojne opreme pride do napak predvidoma na prenosnih medijih kjer se lahko dogajajo napake Najpreprostejši način je odkrivanje napak v okviru nameščene strojne opreme v kontroli maske kjer je strojna oprema evidentirana kot okolje Windows
Komercialne različice računalniške strojne opreme s skupinskih prenosnim medijem se je pričela tudi kot omrežje
a) brezžičnoJe tisto ki je kot prenosni medij fizično opredeljivo z radijskimi valovi ali svetlobo
b) mobilnoOmrežje ni nujno brezžično bistveno je da podpira selitve računalnikov
Kot primer lahko navedem kombinacijo klasičnega modema in brezžičnega telefona ki ga lahko napredno vzdržujemo preko modema priključenega na modem npr v hotelski sobi in ga preko te linije vstopamo v drug računalnik ki je v povezavi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 14
Napredno vzdrževanje strojne opreme Učno gradivo
2slika diagnostika
- Napredno vzdrževanje prenosnih medijev
Prenosni mediji niso le žice kot pogosto najprej pomislimo Pojem bomo nekoliko razširili saj ne smemo pozabiti na prenosne medije ki nimajo zveze z računalniškimi komunikacijami tičejo pa se računalniških informacijskih sistemov
Z vidika IKS-a je poznavanje prenosnih medijev zanimivo le v toliko kolikor različne oblike prenosnih medijev omogočajo zasnovo prenosnih kanalov z različnimi kapacitetami primernih za različne razdalje in različno ceno Njihova tehnologijama sodi v področja ki so razdeljena
- Koaksialni kabel- Brezžične povezave- Optično vlakno
Optična vlakna so danes najzanesljivejši prenosni medij Prevajajo svetlobne signale ki jih običajno vzbujamo z laserskimi napravami Signal med prenosom po optičnem mediju le malo oslabi Danes dosegamo 100 kilometrske prenose brez ponavlalnikov signala Kaj takega je po parici ali koaksialnemu kablu nedosegljivo Kapaciteta optičnega kanala 100 Mbits na omenjeni razdalji ni vprašljiva na krajših odsekih pa so na pohodu že kapacitete 100 Gbits
- Brezžične povezave
Med brezžične povezave prištevamo več skupin povezav ki so zasnovane na širjenju elektromagnetnega valovanja skozi prostor Tipične oblike so
- Radijske zemeljske povezave
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 15
Napredno vzdrževanje strojne opreme Učno gradivo
- Mikrovalovne usmerjenje povezave- Infrardeče povezave - Satelitske povezave
Poleg brezžičnih povezav spada v nepogrešljivo komunikacijo tudi telefonsko omrežje Vzdrževanje telefonskega omrežja ima dostop večine opisanih graditeljev računalniških omrežij
Pripravljalne faze naprednega vzdrževanja strojne opreme
- Identificirati pristopne točke pokvarjenih delov strojne opreme- Oceniti storitve pokvarljivosti strojne opreme- Oceniti vrednost investicije za namestitev strojne opreme ter infrastrukturo ki bo
zmogla ocenjene napake opredeliti in načrtovati grobe okvire nove infrastrukture- Zagotoviti vire financiranja nameščanja nove strojne opreme
To sicer ni tehničen problem vendar pa navadno predstavlja nepomembnejše in pogosto najzamudnejše opravilo z dokaj nepredvidljivim izidom
- Opredeliti osnovne izvedbe okvire izvedbe Ti so neodvisni od infrastrukture dinamike financiranja in drugih dejavnikov Že v okviru te faze projekta je potrebno vzpostaviti stike z nameščeno strojno opremo
Večina ljudi čuti naraven odpor do razstavljanja električnih naprav in to z razlogom Proizvajalci drugih naprav vedno svarijo naj jih uporabniki ne odpirajo sami Možnost električnega šoka je prisotna pri vsej strojni opremi Vsi računalniki ne sodijo mednje saj so narejeni tako da jih uporabnik lahko do neke mere sam priredi
Ko nameščamo napredno strojno opremo npr v ohišju moramo najprej izključiti vse napeve
Iz vtičnice potegnemo napajanje za računalnik in za vse naprave ki so nanj priključene Nikakor se namešča napredne strojne opreme dokler je vtikač v vtičnici Ne samo da to škoduje računalniku nevarno je tudi za samega vzdrževalca oz uporabnika
Ohišje je lupina v katero so nameščene komponente ki sestavljajo jedro računalnika Napajalnik (ang power supply) pa je naprava ki pretvarja standardno omrežno izmenično napetost v nižje enosmerne napetosti ki jih za delovanje potrebuje računalnik
Čeprav nekateri pravijo da je to smešno sodita ohišje in napajalnik popolnoma upravičeno na vrh seznama obveznih komponent Brez njiju ni nobenega računalnika Včasih sta drug z drugim neločljivo povezana čeprav raquohodita vsak svojo potlaquo Kakršna vrsta strojne opreme se najprej ugotovi po ohišju ki je pri namiznih računalnikih zelo razkošno V ohišju najdemo prostor za osnovno ploščo z potrebnimi komponentami trde diske različne vmesniške kartice
Hrupa ki je pri stojni opremi v računalniku se lotimo ko reže v ohišju skozi katere priteka zrak v računalnik in ventilator napajalnika povečamo Ko nameščamo napredno strojno
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 16
Napredno vzdrževanje strojne opreme Učno gradivo
opremo mora biti tudi ohišje na primernem zračnem mestu To sicer ne pomeni da moramo računalnik spraviti pod mizo vendar moramo poskrbeti za učinkovit zračni preskok
Ohišja namiznih računalnikov se lahko med seboj močno razlikujejo vsa pa so praviloma dokaj velika in vanje je že vgrajen napajalnik Vgrajeni napajalnik je pri namiznih računalnikih najmočnejši ne pa edini vir hrupa Za hrup je ponavadi kriv ventilator ki skrbi za hlajenje napajalnika ohišje pa velikokrat deluje kot kakšen resonator in hrup še veča
Pri napredni strojni opremi ohišja računalnikov razdelimo na tri skupine
- Plosko ohišje
Ima obliko kvadrata z največjo ploskvijo kot osnovno stranico Navadno ga postavimo na eno od stranskih stranic in tako simuliramo ohišje v obliki stolpa Na voljo je več izvedb ploskih ohišij Tako lahko izbiramo med večjimi in manjšimi ohišji ter med bolj in manj primernimi za odpiranje
- Kompaktni sistemi
Pri kompaktnih sistemih je klasično ohišje računalnika združeno z ohišjem monitorja vanj pa so pogosto vgrajeni še zvočniki in mikrofon Ves računalnik je praktično v enem kosu vanj nista le integrirana le tipkovnica in kazalna naprava Čeprav računalniki po kompaktnosti približujejo prenosnim računalnikom Se za stalno prenašanje vseeno nekoliko okrni Kompaktni sistem je prava izbira če računalniku ne želite nameniti več prostora kot ga potrebuje povprečen monitor ali če se vam prenosni računalniki ne zdijo primerni zaradi cene oz premajhne tipkovnice
- Ročni računalniki so strpani v najmanjša ohišja kar jih je To ni nič čudnega saj morajo biti tako majhni da jih je mogoče med uporabo držati v roki Po velikosti lahko računalnike primerjamo z nekoliko boljšimi računali
- Osnovne plošče
Računalnik je skupek komponent
Tako delimo strojno opremo znotraj ohišja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 17
Napredno vzdrževanje strojne opreme Učno gradivo
3 slika pri CD-ju in CD romu je možno popravljanje napak
Če nameščamo vse tiste komponente ki jih osnovne plošče vgradijo izdelovalci računalnika ali jih nanje namestijo sestavljavci računalnikov glede na želje uporabnikov ali želje kupcev
- Procesor
Kljub pomembnosti je procesor najbolj odgovorno in je pri naprednem vzdrževanju potrebno ločeno kupiti ali popraviti od osnovne plošče Na njej je podnožje kamor ga sestavljavec računalnika lahko zamenja ali nadomesti z bolj zmogljivim Izdelovalci plošč skrbijo da je posamezna osnovna plošča uporabna z celo družino procesorjev včasih celo z različnimi družinami Družine se seveda razlikujejo po oznakah Večina korporacij med strojno opremo še posebno v zadnjem času se razlikuje po hitrosti delovnega takta frekvenci prenosa in zmogljivosti
3 NAČRTOVANJE STROJNE OPREME
Načrtovanje strojne opreme lahko izbiramo ob nakupu primernih računalnikov s pomočjo svetovalca serviserja ali vzdrževalca informacijske opreme Uporabe računalnikov in posebnih programov v proizvodnji in arhitekturi postavitve linijskih proizvodnji procesov urejajo posebni programi CAD
Za izdelavo prevodnikov in polprevodnikov na matični plošči oz integriranih vezij lahko srečamo naslednje kovine
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 18
Napredno vzdrževanje strojne opreme Učno gradivo
Krom barij iridij svinec paladij tantal arzen berilij baker zlato kadmij
Pri gradnji informacijske opreme in sistemov na osnovi mikroprocesorjev potrebujemo dodatne elemente rečemo jim raquopodporni elementilaquo To so periferni adapterji časovna vezja DMA krmilniki množilniki frekvence ROM in RAM pomnilniki Na osnovi fizičnih diskov pa imamo povezave IDE ter SATA vmesnikov - RAID diskov v samem ohišju računalnika
V tem času je podjetje Intel še razvilo večjedrsko delitev v enem procesorju kar pomeni da si vsa jedra morajo deliti predpomnilnik dostopnost do pomnilnika ter usklajeno delovati in imeti povezave do ostalih elementov Procesorji s porabo in zmogljivostjo Teraflop že omogočajo prepoznavo govora obraza in rokopisa Hitrost zmogljivosti število jeder ter odvajanje toplote pri mikroprocesorjih se bo eksponentno povečevalo (Intel source view 2010)
Vprašanja za ponavljanje
Kaj je več jedrski procesor Kaj je to napredni RAM Razišči in opiši katera napredna strojna oprema je na slovenskem trgu
34 Napredni operacijski sistemi
V naprednih strojnih vodah je znana večja prepoznavnost Windows XP operacijskega sistema ki ga ob nakupu lahko nastavimo in kasneje enostavno vzdržujemo
Vgrajena orodja znotraj OS-a
Raziskovalec (computer managment ) Register Nadzorna plošča in spremljajoči programi ter nastavitve
Kot pri vsaki informacijski opremi je preventiva vedno najprimernejša
V OS Windows XP_Nadzorni plošči_Computer managment imamo vsa navodila in upravljanje z napakami in popravki tako programske opreme napake na trdih RAID diskov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 19
Napredno vzdrževanje strojne opreme Učno gradivo
namestitev gonilnikov starih verzij programske opreme sistemske in aplikativne napake ter odstranitev vseh uporabnikov ki niso več priključeni v informacijski sistem
Nameščanje in odmeščanje strojne opreme (gonilnikov matične plošče uporabnih vhodnih -izhodnih enot sistemske strojne opreme ter do končnega cilja namestitve Odmeščanje ali odstranitev strojne opreme pri napredni strojni opremi pa je v okolju Windows XP narejeno z posebnimi odnamestitvenimi programi istega proizvajalca oz operacijskega sistema v našem primeru preko Windows nadzorne plošče
Register ki beleži vse namestitve ter spremembe programov znotraj le-tega ima funkcijo spominanja zatorej mora računalnikar uporabiti zmogljiva vzdrževalna orodja ki pretekle namestitve strojne opreme pobrišejo veliko hitreje kot pa uporabnik
Zaščita strojne opreme na uporabniškem nivoju poteka preko dodatnih požarnih zidov z nekaj 1028 bitnim ključi in več V primeru povezav veš računalniških sistemov in mrež znotraj LAN-a imajo najnovejša strojna oprema že nameščene programe za požarni zid znotraj HW proizvoda
3 slika primer brezžične matične plošče
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 20
Napredno vzdrževanje strojne opreme Učno gradivo
i Navodila za izdelavo tehničnega poročila
Kakovostna in po navodilih nadrejenega vzdrževalca - računalnikarja morajo biti zapisana v točno določenem Word formatu z primernim oblikovanjem in zapisom
Struktura naj bo sledeča
Naslovnica
Na njej je logotip Ljudske Univerze Radovljica naziv predmeta ime in priimek dijaka (tehničnega poročila seminarske oz pogodbenika) ime in priimek mentorja mesec in leto izdelave
Povzetek
V nekaj stavkih se povzame vsebino tehničnega poročila seminarske naloge oz naprednega nameščanja strojne opreme
Kazalo vsebine
Je izdelano na podlagi uporabe slogov za naslove Nivoji naslovov naj dosegajo največ nivo 3 (123)
Kazalo slik
Slike ki so uporabljene v nalogi morajo imeti napise Kazalo slik je izdelano na podlagi uporabe sloga za napise (arial 8 pt)
Poglavje uvoda
V tem poglavju se na eni strani strne in izbere kratko in jedrnato uvodna misel avtorja Namen uvoda je da bralca seznani z postopoma brano tematiko v gradivu
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 21
Napredno vzdrževanje strojne opreme Učno gradivo
Ostala poglavja
Nato sledijo ostala poglavja kot si jih je zamislil dijak
Povzetek
V povzetku se na kratko povzame obravnavan tema in nakaže morebitne težave in priložnosti pri obravnavanju tematike
Literatura
Zaradi avtorskih pravic in nelegalnega kopiranja inovacij predvsem tehničnih izumov se vedno navaja vire in informacije od tam kjer je avtor napisal strojno pogodbo tehnično poročilo ali seminarsko nalogo
Literatura zavzema spletne naslove podjetij gradiv časopisov revij in knjižnih strokovnih knjig
-------------------------------------------------------------------------------------------------------
Velikost pisave je 12 ali 14Pt
Vrsta pisave je Times New Roman
Slogi napisov
Naslov 1 pisava Cambria velikost 14pik krepko
Naslov 2 pisava Cambria velikost 13 pik krepko
Naslov 3 pisava Cambria velikost 12 pik krepko
Jezik
V strokovno-znanstveni literaturi je uporaba knjižnega jezika in urejevalnika besedil smiselna V primeru da je prevod izraza v tujkah se v oklepaju navede vrsto tujega jezika in prevod Primer
RAM (ang Random Access Memory)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 22
Napredno vzdrževanje strojne opreme Učno gradivo
Obseg
Tehnično poročilo je predvideno do 4 strani v primeru modula M8
Vzdrževalna pogodba je kratka in po členih pravno definirana v obliki medsebojnega dogovora naprednega vzdrževanja strojne opreme ter lastnika zastarele strojne opreme
Seminarska naloga je definirana glede na temo ni vrsto seminarske zatorej je priporočljivo imeti navodila strani- obsega ob začetku pisanja
Vprašanja za ponavljanje
Kakšno je tehnično poročilo
Zakaj je strojna oprema potrebna naprednega vzdrževanja ob koncu leta
Kakšne vrste pogodb o namestitvi strojne opreme poznaš v IT-ju
Kako izgleda licenčna namestitev strojne opreme Glej primer HW podjetij ki uporabljajo strojno opremo IBMHPLogitech ipd
Spletni brskalniki
Glede na naravo dela in poznavanje novih strojnih namestitev ter naprednih oprem ki nastajajo v posameznih multunacionalnih laboratorijih in proizvodnih procesih mora računalnikar biti seznanjen z novimi produkti oz strojno opremo v sodobnem času
Uporabo dostopa do wwwgooglecom wwwhpcom wwwibmcom wwwapplecom mu omogočajo pri velikanski izbiri na trgu da poišče primerno opremo proizvajalca zamenjati določen zastarel že servisiran produkt mikroprocesor izh-enoto ipd
Za brskanje po spletu je važno da se spozna na prodajo in uporabo strojne opreme kot tudi posameznih enot Oprema ki jo bo vzdrževal ima neko serijsko številko oziroma namestitveno pogodbo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 23
Napredno vzdrževanje strojne opreme Učno gradivo
Diski in na njem zaupni podatki strojna oprema ponarejanje in zamenjava s slabšimi produkti dolgoročne ne vodi računalnikarja tako do osebnega kot tudi poslovnega uspeha Res je da je mnogo različno kakovostnih produktov strojne opreme na trgu vendar tudi zloraba pri naprednem servisiranju in vzdrževanju prinašata posledice
Računalnikar se bo na terenu srečeval z identitetami računalnikov podjetij organizacij ki so po svoji naravi različna
Kot primer navajam uporabniške skupine strojne opreme ki so privrženci za Apple ter uporabniki oz privrženci za IBM Vsi bodo hvalili in zagotavljali boljšo kvaliteto in kakovost svoje strojne opreme
Zatorej vedno v tehničnem poročilu navedemo stanje strojne opreme pred našim prihodom in po tem ko smo jo le-to vzdrževali
Tako se profesionalno in komunikacijsko obnašamo s stranko kot pravi računalnikar z veliko odgovornostjo
Napredno svetovanje in pomoč uporabnikom strojne opreme
Pri pomembnosti komunikacije s s stranko moramo torej uporabljati pravila profesionalnega vedenja do stranke
Analizirati učinkovitost obstoječe strojne opreme Svetovati napredne matične plošče procesorje vodila Upoštevati različne strojne zahteve glede na namembnost osebnega računalnika Upoštevamo pomembnost shranjevanja dokumentacije vsaj 4 leta
S stranko je važno da vedno komuniciramo prijazno spoštljivo in umirjeno Kot svetovalec oz napredni računalnikar si lahko informacije o strojni opremi izmenjujemo preko strokovnih forumov novičarskih fan-tehničnih skupin (Apple HP Microsoftipd) ali pa smo povezani preko help-desk podpore na lokalnem zaščitenem omrežju kjer odpravljamo napake na terenu takoj
Zelo pomembna je tudi hitra odzivnost hitro in natančno odpravljanje napak poštenost do stranke ter na koncu primerna cena napredne strojne opreme vzdrževanja
Vprašanja za ponavljanje
Kaj je to komplet čipov
Kaj je osveževanje podpisana pogodbe o strojni opremi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 24
Napredno vzdrževanje strojne opreme Učno gradivo
Kaj je to etičnost in morala pravočasne namestitve napredne strojne opreme
4 Tveganje pri upravljanju napredne strojne opreme
Ko izrečemo ali preberemo besedi raquotveganje upravljanja napredne strojne opremelaquo se ne zavedamo da je tveganje skrito že kar v prvi besedi raquoupravljanjelaquo Tisti ki so odgovorni za upravljanje se tega namreč premalo ali sploh ne zavedajo Tveganja ki se v pri strojni opremi ter poslovnih subjektih na tem nivoju kažejo so
- nikoli dovolj resursov- cilji so nejasni- ni definirane politike standardov- število tveganj je preveliko ne ve se katera strojna oprema je najbolj pomembna- ni kulture
Sicer pa prevladuje prepričanje da se verjetno ne bo nič zgodilo Opisano ni zgled vodstvaZato moramo v svojo organizacijo sistematično s celostnim pristopom vpeljatiupravljanje tveganj Za drugo besedo raquotveganjelaquo se lahko vprašamo na kajnajprej pomislimo v vsakodnevnem življenju ko jo slišimo Najbrž pomislimo dalahko nekaj z določeno verjetnostjo izgubimo Preprosto sklepamo kaj in koliko lahko izgubimo ob neljubem dogodku to opredelimo z raquoresnostjolaquo verjetnost da izgubimo paobičajno opredelimo kot raquofrekvencalaquo pojavljanjaTo da se zgodi tisto česar v bistvu ne želimo je naša raquoranljivostlaquo če se ustreznoodzovemo ali reagiramo na tak dogodek pomeni da smo v aktivnostih privzelidoločene raquoobrambnelaquo mehanizme in zmanjšali raquoizpostavljenostlaquo tveganjemPri obravnavanju tveganj se izvajajo procesi analize ocene in rešitve kar lahkoopredelimo kot raquoupravljanjelaquo Resnost se meri z vrednostmi ovrednotimo jo finančnotorej določimo znesek Verjetnost pa merimo oz ocenimo s številom dogodkov včasovnem obdobju največkrat na leto Seveda bomo pozorni in dogodke spremljali dotiste varnosti in zaščite ki sta primerni sprejemljivi in hkrati skladni z našimivrednotami standardi in ekonomskimi zmožnostmi V bistvu so stvari boljkompleksne vsekakor je pomembna hitrost v odzivnosti Če želimo obravnavati inprimerjati tveganja moramo primerjati razsežnosti tveganj Ni rečeno da so tveganjanizka po vrednosti in visoka po frekvenci z enakim učinkom itd Zanimivo je da so vZDA in anglosaksonskem svetu upravljanje s tveganji vzeli kot tekmovalno prednostmedtem ko je v EU to bolj posledica regulative
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 25
Napredno vzdrževanje strojne opreme Učno gradivo
41 Spremembe pri strojni opremi
Spremembe so silovite Hitro se razvijajoča informacijska in telekomunikacijskatehnologija zahteva nove poslovne modele Gonilniki sprememb vplivajo na poslovnesubjekte ki morajo biti prilagodljivi hitri in hkrati varni Vse to med drugim prinašanegotovost znotraj poslovnega sistema pa tudi v zunanjem okolju Obvladovanjesprememb zahteva izjemne intelektualne napore saj so pritiski na poslovne subjekteveliki Prihajajo s strani zahtev regulative zakonodaje varnosti standardov nadzorakontrol konkurence itd Odražajo se v vrednostnih pogajalcih za PS kot soohranjanje rasti stroški in učinkovitost načrtna razdelitev kapitala in prioritetno sejim pridružuje upravljanje s tveganji torej investiranje v varnost Ključna tveganja vteh transformacijah so tako strateška kot procesna Sem sodijo informacijski sistemi(IS) infrastruktura tehnologija stranke partnerji konkurenca in intelektualni kapital -človeški viri itd Vsako od omenjenih tveganj je sicer možno omiliti ali odpravitivendar je potreben holistični pristop standardizacija privzemanje kulture tveganjpotrebno je kreirati program upravljanja tveganj program varnosti vpeljatiupravljanje znanj integralna orodja za tveganja orodja za analize scenarijev insimulacij uvesti nove discipline in metrike ter dobro prakso In kakšna je potem cenavarnosti Ni univerzalnih navodil ni garancij za uspeh ker v globalnem svetunenehno nastajajo nova tveganja V mreži poslovnih verig so medsebojno odvisna Vnadaljevanju je nakazano strukturno razumevanje oziroma pristop k upravljanjutveganj informacijske tehnologije (IT) kot podpore IS-mu in procesom v poslovnihsistemih ne glede na to kateri industriji poslovni subjekt pripada
V področje upravljanja s tveganji IT (UT-IT) vsekakor spadajo informacijski sistemi[1] IT viri procesi projekti in druge danosti ter kategorije povezane z IT Področjezajema vsa operativna tveganja kot posledice Človeških in tehnoloških napak Jeizjemno široko kompleksno interdisciplinarne narave s poudarkom na ustreznemrazumevanju konceptov z več področij (varnost tveganja nadzor (revizije)neprekinjeno poslovanje) Izhodišče so informacije ki jih podpira IS kateregaomogoča informacijska tehnologija v vsaki organizaciji Informacije potrebujejoanalizo tako domene IS kot poslovne domene Informacije so vitalen vir vsakeposlovne enote zato so tudi tarča napadov z različnimi motivi in vplivi na poslovanjeUT-IT tako zajema uporabnike IT organizacijo IT in njeno dejavnost kot storitevkončnim uporabnikom
IT organizacija mora biti ustrezno organizirana da zagotavljaposlanstvo varnosti učinkovitosti IS in dostavo storitev Zato imavarnost v organizacijah več oblik Odvisne so ena od druge inpredstavljalo celotno varnost (fizičnondashtehnično varnost in upravljalnisistem informacijske varnosti)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 26
Napredno vzdrževanje strojne opreme Učno gradivo
Pogled na strukturo IT organizacije je priporočljiv z več vidikov in dimenzijPredstava v prostoru je znana IT raquokockalaquo Med IT vire pa na splošno opredeljujemo
- ljudi- aplikacije- tehnologijo- podatke- Podporo-
Taka struktura je pomembna za odpravljanje tveganj v IT organizacijah namrečzajema tako procese kot več disciplin in upravljanje dejavnosti IT organizacije S temdemonstriramo funkcionalnost ki zagotavlja kvalitetno storitev IT Taka strukturaomogoča boljšo dostavljivost IT rešitev kar pomeni učinkovitost IS in zmanjšanjedoločenih tveganj med njimi tudi usklajevanje poslovnih ciljev najvišjega vodstva zIT
Ker izhajamo iz informacije poglejmo njene lastnosti Glavni kriteriji za ocenjevanjeso zaupnost integriteta in razpoložljivost Metoda UT-IT pa je skupni imenovalec zaanalizo neprekinjenemu poslovanju [4] projektnemu vodenju [5] drugim disciplinamin revizijam ter informacijskim varnostnim tveganjem Tveganja iz naslovainformacijske varnosti lahko do določene stopnje primerjamo s kontrolami [6] S tegavidika kontrole zmanjšujejo tveganja in so povezane z revizijami (notranjimi inzunanjimi) Pri tem se opirajo na preglede v katerih se ugotavljajo primernost inskladnost varnostne arhitekture ter učinkovitosti izvajanja upravljanja tveganjTudi odločitve običajno temeljijo na informacijah če so informacije mehke pride doizraza večja negotovost in odločitve ki se sprejemajo lahko pripeljejo do usodnihdogodkov v katerih se tveganja uresničijo in nastajajo izgube v poslovanjuDefinicij informacije je precej Velja da je to vir vsakega poslovnega subjekta Takopridemo do vrednosti informacije kot vseh drugih vitalnih vrednih virov v poslovnemsistemu Prav neustrezno ravnanje z informacijami povzroča velika tveganja ininformacijsko nestabilnost Dejstvo je da se mora v digitalni ekonomiji in globalnemsvetu poleg socialne finančne in ekonomske stabilnosti upoštevati tudi informacijska
Pri poslovanju so vsekakor pomembni procesi ki so predmet obravnave na področjuupravljanja tveganj IT Tako UT-IT opredeljuje in zajema tudi operativna tveganja Izpraktičnega vidika je v poslovnem sistemu veliko procesov ki se nadalje delijo napodprocese in aktivnosti temeljni in podporni Toda vsi morajo biti raquooptimalnilaquovodeni in nadzorovani Precej kompleksnosti naraste v informacijskem sistemu ki gapodpirata informacijska in telekomunikacijska tehnologija Zato je za področje UT-ITsmiselno uporabiti okvir COBIT Ta standard se lahko uspešno privzame tudi pri samiorganiziranosti in definiciji procesov v organizacijah ITUT-IT je prav tako proces v katerem se proučuje in obravnava IS-me Sem spadajotudi nevarnosti ki pretijo poslovnemu sitemu IS-mu IT organizaciji njeni storitveni
dejavnosti torej vsem virom v sistemu kakor tudi drugim poslovnim subjektom vposlovni verigi V njej so tehnološke razdalje med subjekti izjemno ranljive saj nasvoji poti informacije doživljajo spremembe procesi v katerih se to dogaja pa so semorali razširiti izven okolja posamezne organizacije ali PS Pot je posejana z
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 27
Napredno vzdrževanje strojne opreme Učno gradivo
nevarnostmi različnih izvorov tako da se tudi tveganja in njihovi vplivi na poslovanjeodražajo z različnimi učinki Poglablja se tveganje e-poslovanja gre za takoimenovana e-tveganja Biti brez varnosti v realnem času in hitre odzivne funkcije natveganja ter nepredvidene dogodke je lahko za poslovanje silno usodno Zatoobstajajo različne strategije orodja in načini za zdravljenje tveganj ki skupajpredstavljajo obrambne mehanizme organizacije Pri tem je pomembno zavedanje inizobraževanje ter neprestano usposabljanje strokovnjakov na teh področjihOperativna tveganja so izrazito povezana z internimi procesi in jih posamezneindustrije že obravnavajo vsekakor pa jih bo morala vpeljati finančna industrija zlastiban1048830ni sektor ki bo moral biti skladen z Baselskim II standardom in EU (CAD)direktivami Standard namreč zajema potencialne izgube tudi iz naslova operativnihtveganj ne glede na interne ali zunanje dejavnike Osredotočen je na objavopotencialnih izgub za vse poslovne linije organizacije po določeni strukturi poročanjaglede kapitalske ustreznostiKo pogledamo v bančni sektor je osnovni namen obvladovanja inupravljanja s tveganji v bankah zagotavljanje njene plačilnesposobnosti Med različnimi načini za uresničevanje tega cilja je naprvem mestu institut minimalnega kapitala in zagotavljanje potrebnekapitalske ustreznosti banke o katerem govori Basel IIDelež kapitala v celotni bilančni vsoti je pri bankah mnogo manjši kot pri drugihorganizacijah in podjetjih Tudi njegova funkcija je drugačna Kot najpomembnejšafunkcija bančnega kapitala se ponavadi navaja zaščita vlagateljev Bančni kapitalpoleg tega omogoča nadzornim institucijam omejevati obseg tveganih dejavnosti bankin hkrati omogoča banki financiranje njenih osnovnih sredstev Ker so upniki bankmnožice posameznikov ki imajo pri teh bankah praviloma vloge na vpogled alikratkoročno vezane vloge in ker je takrat ko banka postane nelikvidna ponavadi žeprepozno saj je takrat banka praviloma že nesolventna je velikost bančnega kapitalajavna zadeva
Filozofija današnje bančne regulative je dopustiti zdravo konkurenco med bankami inhkrati zagotoviti njihovo disciplino prek predpisovanja minimalnih kapitalskih zahtevBaselski standardi so vplivali na oblikovanje evropskih smernic za banke Polegstandardizirane metodologije za računanje potrebnega kapitala za pokrivanjeomenjenih tveganj so navedeni potrebni pogoji za uporabo internih modelov bank zamerjenje tveganj med njimi operativno tveganje (uporabniki IT in IT organizacij)
Obseg in narava tveganj s katerima se srečujejo banke sta odvisni od narave njihovihposlov Pri tradicionalnih bančnih poslih (dajanje posojil iz prejetih depozitov) se kotglavna tveganja pojavljajo kreditno tveganje (tveganje dolžnikove nezmožnosti alinepripravljenosti izpolniti obveznosti iz naslova kreditne pogodbe) tržnolikvidnostno tveganje (tveganje da banka v določenem trenutku ne more poravnativseh svojih dospelih plačilnih obveznosti) tveganje spremembe obrestne mere(tveganje da bo postala pogodbeno določena obrestna mera drugačna od tržne in dabo banka utrpela izgubo iz tega naslova) ter operacijsko tveganje (tveganje ki mu jebanka izpostavljena zaradi možnih človeških napak torej internih procesov napaktehnologije in zunanjih dejavnikov (gre tudi za prevare poneverbe pranje denarjaoperativne izgube pravne ter druge stroške ki jih banka nosi v primeru njihoveganastanka)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 28
Napredno vzdrževanje strojne opreme Učno gradivo
Z bankami so povezani poslovni subjekti in vsi morajo zagotavljati varno poslovanjeTveganja so precejšnja saj vsi PS ne morejo zagotavljati enako učinkovitihprotiukrepov in varnostnih mer Pogljablja se tudi STP e-poslovanje nastajajo eskupnostiIS-mi se pogovarjajo med seboj brezžične komunikacije nujno jeprivzemanje standardov in različice XML protokola vse različne storitve potrebujejoUT-IT Področje je v razmahu in lastniki ter nadzorni sveti bodo moralikontrolirati operativne izgube in učinkovitost IS NS bodo imeli vlogo potrditvestrategij UT-IT uprave oz vodstva pa bodo morali dokazati skladnost s standardi inmetodami
Primerov storitev ki jih lahko obsega napredno vzdrževanje strojne opreme v UT-IT
spremljanje tehnoloških novosti povezanih z vzdrževano opremo ter priprava predlogov in ukrepov za nemoteno delovanje oz izboljšanje njenega delovanja
zamenjava delov strojne opreme
namestitev varnostnih popravkov na strežniško infrastrukturo
namestitev varnostnih popravkov na delovne postaje in prenosnike
periodično preventivno vzdrževanje strojne opreme
dokumentiranje storitev vzdrževanja
popravilo in odstranitev vseh pomanjkljivosti odkritih med preventivnim pregledom
pomoč sistemskim administratorjem in uporabnikom odgovori na vprašanja in svetovanje glede uporabe vzdrževane infrastrukturne opreme na lokaciji naročnika oz uporabnika
izredni kontrolni nadzor nad delovanjem infrastrukturne opreme po dogovoru z naročnikom
nadgradnja strežnikov delovnih postaj in prenosnih računalnikov
nadgradnja komunikacijske opreme
daljinska pomoč preko telefona elektronske pošte faksa ali daljinskega dostopa pri reševanju problemov uporabnikov odgovori na vprašanja in svetovanje glede uporabe vzdrževane strojne opreme
Osnovno popraviloStrokovnjak bo preveril delovanje računalnika opredelil napako in jo odpravil V to storitev se uvršča odprava manjših napak na računalniku
Storitev vsebuje diagnostiko težave in njeno odpravo v primeru da gre za manjšo napako Med manjše napake sodi ponovna namestitev gonilnikov popravilo napačnih nastavitev v programski opremi ponovna namestitev programov itd
V primeru da sestavljamo ob nakupu nov računalnik z dodatno opremo moramo poskrbeti da bomo da za nakup dobili najboljšo ponudbo računalnika ali računalniške opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 29
Napredno vzdrževanje strojne opreme Učno gradivo
Pri sestavi sistema bomo upoštevali vaše potrebe ter dosegli najboljše razmerje med ceno in zmogljivostjo Poudarek je na individualnem svetovanju katerega namen je kar najbolje poskrbeti za želje uporabnika V ta sklop sodi poleg svetovanja za nakup računalnika tudi svetovanje o ostalih perifernih napravah (tiskalniki usmerjevalniki itd)
Pristop k osnovanju UT-IT
Težko je odgovoriti ali se odzvati na vsa tveganja brez ustreznega znanja Splošnoznano je tudi da se iz podatkov procesirajo informacije in iz njih znanje ki ga jesmiselno takoj uporabiti Gre za znanje poslovnega subjekta v celoti in nekateraspecialna znanja za katera je potrebno zagotoviti da so v pravilnem kontekstu in napravem mestu Upravljanje znanj (UZ) ima lahko odločilno vlogo pri strategiji zavpeljavo področja upravljanja tveganj IT v vsakodnevnem poslovanju UZ zmanjšaraquokorporacijskolaquo izpostavljenost tveganjem Zato je pametno zbrati vse ustrezneinformacije strukturirati znanje v kontekst ali okvir v katerega bodo vnesene vsebinepotrebne za UT-IT Kreiranje portala in repositorija za upravljanje tveganjopredeljujemo kot podporno infrastrukturo področju V repositoriju sopredefinirane strukture Zaposlenim so na voljo v obliki zemljevidov raquomaplaquo kikažejo na vsebine in povezave med njimi ter omogočajo polnjenje vsebin Pridoločanju vsebin lahko sodelujejo vsi želeno je da se v organizaciji na področjutveganj in varnosti ustvarja intelektualni potencialUpravljanje
Tveganj IT5Varnost
Metoda je opredeljena kot množica korakov (algoritem ali navodilo) uporabljenih zaizvršitev naloge (dela posla) Metodologija je nekako širši pojem in predstavljamnožico orodij lahko raziskovalne metode ali razlago teorije vodenja v vodstvenoprakso Torej metodologija organizira teorijo v nekaj razumljivega Ker je na voljo večpristopov metodologij in metod pri upravljanju tveganj bi torej metodologijopredstavljalo orodje za podporo odločitvenim sistemom iz področja UT-IT Tehnik inmetod je dejansko več katere bomo uporabili za različna področja in položaje toterja tehtni premislek
Slika 4 Zunanji disk WD Passport (klikni na sliko
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 30
Napredno vzdrževanje strojne opreme Učno gradivo
V glavnem so osnovane na točkovnih in statističnih metodah kvalitativni inkvantitativni tehniki Znana je enačba tveganj ALE (letnih pričakovanih izgub)Smiselno pa je privzeti metodo standarda BS7799 [10] ali ISO17799 za informacijskovarnost Smiselno je da bi vse industrije prevzele standard PSIST7799 (prevod) kivelja v državi od 13 6 2000 za bančni sektor (z dopolnitvami)Poslovni subjekti lahko uporabljajo lastno razvite tehnike in tehnologije zaidentifikacijo in analizo tveganj Za različne poslovne procese kot so vodenjesprememb združevanja in prevzemi raquocorporate governancelaquo strateško planiranje invrednotenje lahko privzete kvalitativne ali kvantitativne identifikacije tveganj inanalitske tehnike dodajo značilno vrednost za različne poslovne položaje in področjaUveljavljajo se metode analize scenarijev in raquoscorecardslaquo ter druge statistične metoderazne simulacije (Monte Carlo) itdTipično je da se simulacijski modeli uporabljajo za odločitve o sestavi realnihsistemov in za odločitve o politiki in postopkih ki jih uporabljamo pri delovanjurealnih sistemov Simulacija pomaga pri določanju sestave politike in postopkov vnegotovih torej tveganih pogojih okolja sistema Manager poskuša z modelom kotnadomestkom za realni sistem z uporabo različnih vhodnih podatkov in postopkovdoseči na osnovi dobljenih rezultatov pri simulaciji lažje odločanje pri vodenjurealnega sistema Vendar mora biti pri tem pazljiv in rezultatov dobljenih ssimulacijo ne more kratkomalo prenašati v realni svet Model in simulacija lahkopomagata bolje spoznati delovanje realnega sistema ne moreta pa zagotoviti raquopraveizbirelaquo za realni sistem Pri upravljanju tveganj IT lahko preveč subjektivne ocenepovzročajo nova tveganja predvsem na področju zunanjih virov (outsourcinga) invodenja pogodbZa UT-IT je na voljo dovolj modelov orodij programov in vzorcev ki jih lahkouporabimo v svojem poslovnem okolju Priporoljivo je da vsak poslovni subjektkreira sebi ustrezen model glede na specifiko vendar mora izvajati ovrednotenje da jeskladen s standardi in regulativo Standardi so uveljavljeni in nudijo dovolj velik okvirza njihovo privzemanje in funkcijo uporabe
Pregledni model UT-ITV podporo modelu UT-IT je že potreben omenjeni portal kot rezultat procesov priupravljanju znanj in repositorij kjer se shranjujejo potrebne vsebine in nastaja bazaznanja o dogodkih in tveganjih ter obrambnih mehanizmih Portal služi tudi zaizobraževanje Vsebine predstavljajo sezname in infostrukture od standardov doobrazcev ki se uporabljajo v posameznih fazah ali procesih analize in v obravnavanjutveganj Zbrani so tudi vsi principi zakonodaja politike procedure metrika procesiin tokovi informacij kakor tudi vnos v register tveganj zajem nevarnosti popis vsehkontrol varnostni mehanizmi in seznam protiukrepov vse to za dogodke in scenarijeki se lahko ali so se že zgodiliZa področje UT-IT se kreirajo smernice za posamezne entitete ali subjekte ki sovključeni kot participatorji ter navodila kako se izvajajo aktivnosti Učinkovitost sedoseže s poprej določenimi infostrukturami standardizacijo in povezavami medpodročji ter odnosi med entitetami ali objekti ki tvorijo sistem upravljanja tveganj IT
Kreiranje konteksta ali takšnega okvira je možno ker so v glavnem poznane vsestrukture in gradniki UT-IT in želenega sistema varnosti Dovolj predlog je že naInternetu zato je smiselno področje pregledati in izbrati želene infostrukture Posebnerazlage niso potrebne UT-IT se odvija po projektnih principih s skupinami ki so
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 31
Napredno vzdrževanje strojne opreme Učno gradivo
strokovne na svojih področjih Prav tako se v skupinah (samovodljivo) ocenjujejotveganja in definirajo strategije rešitev za identificirana tveganjaPodročje UT-IT je lahko služba ki je neodvisna in samostojna organizacijska enota v vrhu vodstva organizacijeIZVAJANJEOKVIRKaj kako s 1048830i
- Komunikacijski krogi
Bistven gradnik UT-IT predstavljajo komunikacijski krogi (KK) med področji inodgovornimi ali delegiranimi sodelavci po poslovnih linijah Le-ti predstavljajo raquokomunikatorje tveganjalaquo ki so povezani prek sistema zgodnjega opozarjanja inizvajajo vnos dogodkov ter podatkov za analize tveganj in ocenjevanje vpliva naposlovanje Izkušena skupina določi tudi ustrezne protiukrepe in varnostne mere ter jihposreduje lastnikom tveganj Ti s strokovnjaki za posamezna področja pripravijostrategijo rešitve in jo predstavijo (kot zagovor) odgovornim za področja da se posoglasju lahko izvedejo Področje UT-IT spremlja in spet ocenjuje učinke terrezidualna tveganja Zaradi narave tveganj in inherentnih tveganj IT so tovsakodnevne aktivnosti upravljanje tveganj in varnosti pa je vodstvena funkcijaObstaja še pomembna lastnost in specifika da področja varnosti in tveganj pripadajovsem zaposlenem v organizaciji zato so komunikacijski krogi in pravočasnoinformiranje nujniZa operacijsko kvaliteto v organizaciji je potrebno definirati oz določiti dimenzijo vkateri se meri kvaliteta Značilne so tri dimenzije (kriteriji)
- primernost in funkcionalnost- varnost in zanesljivost- razpoložljivost in dostopnost
- Metrike
-Tveganje je objektivizirane negotovosti glede na možnost pojavitve nezaželenegadogodka merjenje negotovosti in negotovosti izgube Negotovost nastane zaradipomanjkanja informacij o nekdanjih sedanjosti in prihodnjih dogodkih vrednostih inpogojih Ne glede na različne stopnje negotovosti je osnova koncepta negotovosti vpomanjkanju informacij o delih sistema ki ga obravnavamo ali opazujemo Zmanjšanje tveganj mora biti motiv za organizacijo Zmanjšanjestopnje negotovosti je korak k opredelitvi kaj je lahko narejeno zazmanjšanje izpostavljanju tveganj Kakšno metriko uporabimo jeodvisno od tega kaj želimo meriti obravnavati spremljati izboljšatiitdOceniti tveganje pomeni ovrednotiti koliko lahko prenesemo oz izgubimo če seneljubi dogodek zgodi in pri tem izgubimo npr kar posedujemo Ali predstavlja to zanas vrednost in kako pogosto se ti dogodki pojavljajo so začetna razmišljanja ko greza tveganja in reakcije na njihLahko trdimo da je tveganje vedno ocenjeno z analizo scenarijev kar pomenivrednotiti možne izgube in frekvenco verjetnosti možne škode Toda v kakšnemobsegu in po katerih predvidevanjih Vsekakor je pri ocenjevanju tveganj medkvalitativno in kvantitativno analizo razlika Smiselno je obravnavanje analizetveganj Še tako dobro zastavljena varnostna politika brez izvajanja in kontrole ne
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 32
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
26 Lociranje strežnikov
V praksi nameščanja nadomestne strojne opreme je imenski strežnik tisti ki vodi evidenco o vseh ostalih strežnikih Odjemalec se s svojim problemom obrne na imenski strežnik in mu ta predlaga izvajalca Imenski strežniki se uporabljajo za izvedbo elektronske pošte
Ob namestitvi novega strežnika je potrebno ob njegovem obstoju obvestiti imenski strežnik Za to lahko poskrbi sama delovna postaja avtomatsko največkrat pa je potreben poseg vzdrževalca imenskega strežnika
Dostikrat odjemalec želi ugotoviti kateri strežnik je najbolj primeren za izvršitev njegove zahteve
27 Specifikacije in testiranje protokolov
S problemi testiranja komunikacijskih protokolov se soočamo v napredni strojni opremi že od začetkov povezovanja računalniških sistemov v omrežja Področje analize in testiranja komunikacijskih protokolov se je uvrstilo v okvire implementacije komunikacijskega procesa
Izvedba protokola je porazdeljen sistem v katerem ima vsak proces določeno stopnjo lokalne avtonomije in na nek način interakcije z okolico
- Informacijske storitve sistemov
Osnovni namen informacijsko komunikacijskih sistemov je nudenje svojih posrednih ali neposrednih storitev uporabnikov
Med standardne storitve sodijo na primer različne izvedbe računalniško podprtih omrežnih informacijskih sistemov z bolj ali manj decentraliziranimi elementi O splošnih lastnostih teh storitev velja da v vseh operacijskih sistemih podpirajo standardne storitve kjer se stikata lokalni uporabnik računalnik ndash odjemalec in virtualna naprava strežnik
28 Varnost strojne opreme
Varnost nadgradnje strojne opreme je zelo obsežen pojem zato ga je potrebno skrbno prestrukturirati Zanesljivost sistema dosežemo predvsem s skrbnim načrtovanjem nadzorom in upravljanjem sistema Pri tem imata pomembno vlogo organiziranost poslovanja in
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 13
Napredno vzdrževanje strojne opreme Učno gradivo
usposobljenost uporabnikov To področje je izredno široko in ga na tem mestu ne bomo obravnavali saj predstavlja samostojno disciplino sistemskega inženiringa
Zaščita sistema opazujemo z dveh osnovnih zornih kotov
- zaščita na nivoju končnih računalnikov ndash lokalna zaščita- zaščita ki je potrebna zaradi narave decentraliziranih sistemov ndash decentralizirana
zaščita
Iz vsakdanjega življenja vsi poznamo primere v katerih nam zelo veliko pove že dejstvo da vemo med katerimi ljudmi v določenem trenutku poteka komuniciranje ne glede na to da same vsebine ne moremo razbrati Ravno tako v primeru da razpoznamo da strojna oprema pri zagotavljanju kakovostnega komunikacijskega delovanja ne deluje jo nadomestimo z nadgradnjo
29 Odkrivanje napak
Pri uporabi in delovanju strojne opreme pride do napak predvidoma na prenosnih medijih kjer se lahko dogajajo napake Najpreprostejši način je odkrivanje napak v okviru nameščene strojne opreme v kontroli maske kjer je strojna oprema evidentirana kot okolje Windows
Komercialne različice računalniške strojne opreme s skupinskih prenosnim medijem se je pričela tudi kot omrežje
a) brezžičnoJe tisto ki je kot prenosni medij fizično opredeljivo z radijskimi valovi ali svetlobo
b) mobilnoOmrežje ni nujno brezžično bistveno je da podpira selitve računalnikov
Kot primer lahko navedem kombinacijo klasičnega modema in brezžičnega telefona ki ga lahko napredno vzdržujemo preko modema priključenega na modem npr v hotelski sobi in ga preko te linije vstopamo v drug računalnik ki je v povezavi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 14
Napredno vzdrževanje strojne opreme Učno gradivo
2slika diagnostika
- Napredno vzdrževanje prenosnih medijev
Prenosni mediji niso le žice kot pogosto najprej pomislimo Pojem bomo nekoliko razširili saj ne smemo pozabiti na prenosne medije ki nimajo zveze z računalniškimi komunikacijami tičejo pa se računalniških informacijskih sistemov
Z vidika IKS-a je poznavanje prenosnih medijev zanimivo le v toliko kolikor različne oblike prenosnih medijev omogočajo zasnovo prenosnih kanalov z različnimi kapacitetami primernih za različne razdalje in različno ceno Njihova tehnologijama sodi v področja ki so razdeljena
- Koaksialni kabel- Brezžične povezave- Optično vlakno
Optična vlakna so danes najzanesljivejši prenosni medij Prevajajo svetlobne signale ki jih običajno vzbujamo z laserskimi napravami Signal med prenosom po optičnem mediju le malo oslabi Danes dosegamo 100 kilometrske prenose brez ponavlalnikov signala Kaj takega je po parici ali koaksialnemu kablu nedosegljivo Kapaciteta optičnega kanala 100 Mbits na omenjeni razdalji ni vprašljiva na krajših odsekih pa so na pohodu že kapacitete 100 Gbits
- Brezžične povezave
Med brezžične povezave prištevamo več skupin povezav ki so zasnovane na širjenju elektromagnetnega valovanja skozi prostor Tipične oblike so
- Radijske zemeljske povezave
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 15
Napredno vzdrževanje strojne opreme Učno gradivo
- Mikrovalovne usmerjenje povezave- Infrardeče povezave - Satelitske povezave
Poleg brezžičnih povezav spada v nepogrešljivo komunikacijo tudi telefonsko omrežje Vzdrževanje telefonskega omrežja ima dostop večine opisanih graditeljev računalniških omrežij
Pripravljalne faze naprednega vzdrževanja strojne opreme
- Identificirati pristopne točke pokvarjenih delov strojne opreme- Oceniti storitve pokvarljivosti strojne opreme- Oceniti vrednost investicije za namestitev strojne opreme ter infrastrukturo ki bo
zmogla ocenjene napake opredeliti in načrtovati grobe okvire nove infrastrukture- Zagotoviti vire financiranja nameščanja nove strojne opreme
To sicer ni tehničen problem vendar pa navadno predstavlja nepomembnejše in pogosto najzamudnejše opravilo z dokaj nepredvidljivim izidom
- Opredeliti osnovne izvedbe okvire izvedbe Ti so neodvisni od infrastrukture dinamike financiranja in drugih dejavnikov Že v okviru te faze projekta je potrebno vzpostaviti stike z nameščeno strojno opremo
Večina ljudi čuti naraven odpor do razstavljanja električnih naprav in to z razlogom Proizvajalci drugih naprav vedno svarijo naj jih uporabniki ne odpirajo sami Možnost električnega šoka je prisotna pri vsej strojni opremi Vsi računalniki ne sodijo mednje saj so narejeni tako da jih uporabnik lahko do neke mere sam priredi
Ko nameščamo napredno strojno opremo npr v ohišju moramo najprej izključiti vse napeve
Iz vtičnice potegnemo napajanje za računalnik in za vse naprave ki so nanj priključene Nikakor se namešča napredne strojne opreme dokler je vtikač v vtičnici Ne samo da to škoduje računalniku nevarno je tudi za samega vzdrževalca oz uporabnika
Ohišje je lupina v katero so nameščene komponente ki sestavljajo jedro računalnika Napajalnik (ang power supply) pa je naprava ki pretvarja standardno omrežno izmenično napetost v nižje enosmerne napetosti ki jih za delovanje potrebuje računalnik
Čeprav nekateri pravijo da je to smešno sodita ohišje in napajalnik popolnoma upravičeno na vrh seznama obveznih komponent Brez njiju ni nobenega računalnika Včasih sta drug z drugim neločljivo povezana čeprav raquohodita vsak svojo potlaquo Kakršna vrsta strojne opreme se najprej ugotovi po ohišju ki je pri namiznih računalnikih zelo razkošno V ohišju najdemo prostor za osnovno ploščo z potrebnimi komponentami trde diske različne vmesniške kartice
Hrupa ki je pri stojni opremi v računalniku se lotimo ko reže v ohišju skozi katere priteka zrak v računalnik in ventilator napajalnika povečamo Ko nameščamo napredno strojno
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 16
Napredno vzdrževanje strojne opreme Učno gradivo
opremo mora biti tudi ohišje na primernem zračnem mestu To sicer ne pomeni da moramo računalnik spraviti pod mizo vendar moramo poskrbeti za učinkovit zračni preskok
Ohišja namiznih računalnikov se lahko med seboj močno razlikujejo vsa pa so praviloma dokaj velika in vanje je že vgrajen napajalnik Vgrajeni napajalnik je pri namiznih računalnikih najmočnejši ne pa edini vir hrupa Za hrup je ponavadi kriv ventilator ki skrbi za hlajenje napajalnika ohišje pa velikokrat deluje kot kakšen resonator in hrup še veča
Pri napredni strojni opremi ohišja računalnikov razdelimo na tri skupine
- Plosko ohišje
Ima obliko kvadrata z največjo ploskvijo kot osnovno stranico Navadno ga postavimo na eno od stranskih stranic in tako simuliramo ohišje v obliki stolpa Na voljo je več izvedb ploskih ohišij Tako lahko izbiramo med večjimi in manjšimi ohišji ter med bolj in manj primernimi za odpiranje
- Kompaktni sistemi
Pri kompaktnih sistemih je klasično ohišje računalnika združeno z ohišjem monitorja vanj pa so pogosto vgrajeni še zvočniki in mikrofon Ves računalnik je praktično v enem kosu vanj nista le integrirana le tipkovnica in kazalna naprava Čeprav računalniki po kompaktnosti približujejo prenosnim računalnikom Se za stalno prenašanje vseeno nekoliko okrni Kompaktni sistem je prava izbira če računalniku ne želite nameniti več prostora kot ga potrebuje povprečen monitor ali če se vam prenosni računalniki ne zdijo primerni zaradi cene oz premajhne tipkovnice
- Ročni računalniki so strpani v najmanjša ohišja kar jih je To ni nič čudnega saj morajo biti tako majhni da jih je mogoče med uporabo držati v roki Po velikosti lahko računalnike primerjamo z nekoliko boljšimi računali
- Osnovne plošče
Računalnik je skupek komponent
Tako delimo strojno opremo znotraj ohišja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 17
Napredno vzdrževanje strojne opreme Učno gradivo
3 slika pri CD-ju in CD romu je možno popravljanje napak
Če nameščamo vse tiste komponente ki jih osnovne plošče vgradijo izdelovalci računalnika ali jih nanje namestijo sestavljavci računalnikov glede na želje uporabnikov ali želje kupcev
- Procesor
Kljub pomembnosti je procesor najbolj odgovorno in je pri naprednem vzdrževanju potrebno ločeno kupiti ali popraviti od osnovne plošče Na njej je podnožje kamor ga sestavljavec računalnika lahko zamenja ali nadomesti z bolj zmogljivim Izdelovalci plošč skrbijo da je posamezna osnovna plošča uporabna z celo družino procesorjev včasih celo z različnimi družinami Družine se seveda razlikujejo po oznakah Večina korporacij med strojno opremo še posebno v zadnjem času se razlikuje po hitrosti delovnega takta frekvenci prenosa in zmogljivosti
3 NAČRTOVANJE STROJNE OPREME
Načrtovanje strojne opreme lahko izbiramo ob nakupu primernih računalnikov s pomočjo svetovalca serviserja ali vzdrževalca informacijske opreme Uporabe računalnikov in posebnih programov v proizvodnji in arhitekturi postavitve linijskih proizvodnji procesov urejajo posebni programi CAD
Za izdelavo prevodnikov in polprevodnikov na matični plošči oz integriranih vezij lahko srečamo naslednje kovine
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 18
Napredno vzdrževanje strojne opreme Učno gradivo
Krom barij iridij svinec paladij tantal arzen berilij baker zlato kadmij
Pri gradnji informacijske opreme in sistemov na osnovi mikroprocesorjev potrebujemo dodatne elemente rečemo jim raquopodporni elementilaquo To so periferni adapterji časovna vezja DMA krmilniki množilniki frekvence ROM in RAM pomnilniki Na osnovi fizičnih diskov pa imamo povezave IDE ter SATA vmesnikov - RAID diskov v samem ohišju računalnika
V tem času je podjetje Intel še razvilo večjedrsko delitev v enem procesorju kar pomeni da si vsa jedra morajo deliti predpomnilnik dostopnost do pomnilnika ter usklajeno delovati in imeti povezave do ostalih elementov Procesorji s porabo in zmogljivostjo Teraflop že omogočajo prepoznavo govora obraza in rokopisa Hitrost zmogljivosti število jeder ter odvajanje toplote pri mikroprocesorjih se bo eksponentno povečevalo (Intel source view 2010)
Vprašanja za ponavljanje
Kaj je več jedrski procesor Kaj je to napredni RAM Razišči in opiši katera napredna strojna oprema je na slovenskem trgu
34 Napredni operacijski sistemi
V naprednih strojnih vodah je znana večja prepoznavnost Windows XP operacijskega sistema ki ga ob nakupu lahko nastavimo in kasneje enostavno vzdržujemo
Vgrajena orodja znotraj OS-a
Raziskovalec (computer managment ) Register Nadzorna plošča in spremljajoči programi ter nastavitve
Kot pri vsaki informacijski opremi je preventiva vedno najprimernejša
V OS Windows XP_Nadzorni plošči_Computer managment imamo vsa navodila in upravljanje z napakami in popravki tako programske opreme napake na trdih RAID diskov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 19
Napredno vzdrževanje strojne opreme Učno gradivo
namestitev gonilnikov starih verzij programske opreme sistemske in aplikativne napake ter odstranitev vseh uporabnikov ki niso več priključeni v informacijski sistem
Nameščanje in odmeščanje strojne opreme (gonilnikov matične plošče uporabnih vhodnih -izhodnih enot sistemske strojne opreme ter do končnega cilja namestitve Odmeščanje ali odstranitev strojne opreme pri napredni strojni opremi pa je v okolju Windows XP narejeno z posebnimi odnamestitvenimi programi istega proizvajalca oz operacijskega sistema v našem primeru preko Windows nadzorne plošče
Register ki beleži vse namestitve ter spremembe programov znotraj le-tega ima funkcijo spominanja zatorej mora računalnikar uporabiti zmogljiva vzdrževalna orodja ki pretekle namestitve strojne opreme pobrišejo veliko hitreje kot pa uporabnik
Zaščita strojne opreme na uporabniškem nivoju poteka preko dodatnih požarnih zidov z nekaj 1028 bitnim ključi in več V primeru povezav veš računalniških sistemov in mrež znotraj LAN-a imajo najnovejša strojna oprema že nameščene programe za požarni zid znotraj HW proizvoda
3 slika primer brezžične matične plošče
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 20
Napredno vzdrževanje strojne opreme Učno gradivo
i Navodila za izdelavo tehničnega poročila
Kakovostna in po navodilih nadrejenega vzdrževalca - računalnikarja morajo biti zapisana v točno določenem Word formatu z primernim oblikovanjem in zapisom
Struktura naj bo sledeča
Naslovnica
Na njej je logotip Ljudske Univerze Radovljica naziv predmeta ime in priimek dijaka (tehničnega poročila seminarske oz pogodbenika) ime in priimek mentorja mesec in leto izdelave
Povzetek
V nekaj stavkih se povzame vsebino tehničnega poročila seminarske naloge oz naprednega nameščanja strojne opreme
Kazalo vsebine
Je izdelano na podlagi uporabe slogov za naslove Nivoji naslovov naj dosegajo največ nivo 3 (123)
Kazalo slik
Slike ki so uporabljene v nalogi morajo imeti napise Kazalo slik je izdelano na podlagi uporabe sloga za napise (arial 8 pt)
Poglavje uvoda
V tem poglavju se na eni strani strne in izbere kratko in jedrnato uvodna misel avtorja Namen uvoda je da bralca seznani z postopoma brano tematiko v gradivu
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 21
Napredno vzdrževanje strojne opreme Učno gradivo
Ostala poglavja
Nato sledijo ostala poglavja kot si jih je zamislil dijak
Povzetek
V povzetku se na kratko povzame obravnavan tema in nakaže morebitne težave in priložnosti pri obravnavanju tematike
Literatura
Zaradi avtorskih pravic in nelegalnega kopiranja inovacij predvsem tehničnih izumov se vedno navaja vire in informacije od tam kjer je avtor napisal strojno pogodbo tehnično poročilo ali seminarsko nalogo
Literatura zavzema spletne naslove podjetij gradiv časopisov revij in knjižnih strokovnih knjig
-------------------------------------------------------------------------------------------------------
Velikost pisave je 12 ali 14Pt
Vrsta pisave je Times New Roman
Slogi napisov
Naslov 1 pisava Cambria velikost 14pik krepko
Naslov 2 pisava Cambria velikost 13 pik krepko
Naslov 3 pisava Cambria velikost 12 pik krepko
Jezik
V strokovno-znanstveni literaturi je uporaba knjižnega jezika in urejevalnika besedil smiselna V primeru da je prevod izraza v tujkah se v oklepaju navede vrsto tujega jezika in prevod Primer
RAM (ang Random Access Memory)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 22
Napredno vzdrževanje strojne opreme Učno gradivo
Obseg
Tehnično poročilo je predvideno do 4 strani v primeru modula M8
Vzdrževalna pogodba je kratka in po členih pravno definirana v obliki medsebojnega dogovora naprednega vzdrževanja strojne opreme ter lastnika zastarele strojne opreme
Seminarska naloga je definirana glede na temo ni vrsto seminarske zatorej je priporočljivo imeti navodila strani- obsega ob začetku pisanja
Vprašanja za ponavljanje
Kakšno je tehnično poročilo
Zakaj je strojna oprema potrebna naprednega vzdrževanja ob koncu leta
Kakšne vrste pogodb o namestitvi strojne opreme poznaš v IT-ju
Kako izgleda licenčna namestitev strojne opreme Glej primer HW podjetij ki uporabljajo strojno opremo IBMHPLogitech ipd
Spletni brskalniki
Glede na naravo dela in poznavanje novih strojnih namestitev ter naprednih oprem ki nastajajo v posameznih multunacionalnih laboratorijih in proizvodnih procesih mora računalnikar biti seznanjen z novimi produkti oz strojno opremo v sodobnem času
Uporabo dostopa do wwwgooglecom wwwhpcom wwwibmcom wwwapplecom mu omogočajo pri velikanski izbiri na trgu da poišče primerno opremo proizvajalca zamenjati določen zastarel že servisiran produkt mikroprocesor izh-enoto ipd
Za brskanje po spletu je važno da se spozna na prodajo in uporabo strojne opreme kot tudi posameznih enot Oprema ki jo bo vzdrževal ima neko serijsko številko oziroma namestitveno pogodbo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 23
Napredno vzdrževanje strojne opreme Učno gradivo
Diski in na njem zaupni podatki strojna oprema ponarejanje in zamenjava s slabšimi produkti dolgoročne ne vodi računalnikarja tako do osebnega kot tudi poslovnega uspeha Res je da je mnogo različno kakovostnih produktov strojne opreme na trgu vendar tudi zloraba pri naprednem servisiranju in vzdrževanju prinašata posledice
Računalnikar se bo na terenu srečeval z identitetami računalnikov podjetij organizacij ki so po svoji naravi različna
Kot primer navajam uporabniške skupine strojne opreme ki so privrženci za Apple ter uporabniki oz privrženci za IBM Vsi bodo hvalili in zagotavljali boljšo kvaliteto in kakovost svoje strojne opreme
Zatorej vedno v tehničnem poročilu navedemo stanje strojne opreme pred našim prihodom in po tem ko smo jo le-to vzdrževali
Tako se profesionalno in komunikacijsko obnašamo s stranko kot pravi računalnikar z veliko odgovornostjo
Napredno svetovanje in pomoč uporabnikom strojne opreme
Pri pomembnosti komunikacije s s stranko moramo torej uporabljati pravila profesionalnega vedenja do stranke
Analizirati učinkovitost obstoječe strojne opreme Svetovati napredne matične plošče procesorje vodila Upoštevati različne strojne zahteve glede na namembnost osebnega računalnika Upoštevamo pomembnost shranjevanja dokumentacije vsaj 4 leta
S stranko je važno da vedno komuniciramo prijazno spoštljivo in umirjeno Kot svetovalec oz napredni računalnikar si lahko informacije o strojni opremi izmenjujemo preko strokovnih forumov novičarskih fan-tehničnih skupin (Apple HP Microsoftipd) ali pa smo povezani preko help-desk podpore na lokalnem zaščitenem omrežju kjer odpravljamo napake na terenu takoj
Zelo pomembna je tudi hitra odzivnost hitro in natančno odpravljanje napak poštenost do stranke ter na koncu primerna cena napredne strojne opreme vzdrževanja
Vprašanja za ponavljanje
Kaj je to komplet čipov
Kaj je osveževanje podpisana pogodbe o strojni opremi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 24
Napredno vzdrževanje strojne opreme Učno gradivo
Kaj je to etičnost in morala pravočasne namestitve napredne strojne opreme
4 Tveganje pri upravljanju napredne strojne opreme
Ko izrečemo ali preberemo besedi raquotveganje upravljanja napredne strojne opremelaquo se ne zavedamo da je tveganje skrito že kar v prvi besedi raquoupravljanjelaquo Tisti ki so odgovorni za upravljanje se tega namreč premalo ali sploh ne zavedajo Tveganja ki se v pri strojni opremi ter poslovnih subjektih na tem nivoju kažejo so
- nikoli dovolj resursov- cilji so nejasni- ni definirane politike standardov- število tveganj je preveliko ne ve se katera strojna oprema je najbolj pomembna- ni kulture
Sicer pa prevladuje prepričanje da se verjetno ne bo nič zgodilo Opisano ni zgled vodstvaZato moramo v svojo organizacijo sistematično s celostnim pristopom vpeljatiupravljanje tveganj Za drugo besedo raquotveganjelaquo se lahko vprašamo na kajnajprej pomislimo v vsakodnevnem življenju ko jo slišimo Najbrž pomislimo dalahko nekaj z določeno verjetnostjo izgubimo Preprosto sklepamo kaj in koliko lahko izgubimo ob neljubem dogodku to opredelimo z raquoresnostjolaquo verjetnost da izgubimo paobičajno opredelimo kot raquofrekvencalaquo pojavljanjaTo da se zgodi tisto česar v bistvu ne želimo je naša raquoranljivostlaquo če se ustreznoodzovemo ali reagiramo na tak dogodek pomeni da smo v aktivnostih privzelidoločene raquoobrambnelaquo mehanizme in zmanjšali raquoizpostavljenostlaquo tveganjemPri obravnavanju tveganj se izvajajo procesi analize ocene in rešitve kar lahkoopredelimo kot raquoupravljanjelaquo Resnost se meri z vrednostmi ovrednotimo jo finančnotorej določimo znesek Verjetnost pa merimo oz ocenimo s številom dogodkov včasovnem obdobju največkrat na leto Seveda bomo pozorni in dogodke spremljali dotiste varnosti in zaščite ki sta primerni sprejemljivi in hkrati skladni z našimivrednotami standardi in ekonomskimi zmožnostmi V bistvu so stvari boljkompleksne vsekakor je pomembna hitrost v odzivnosti Če želimo obravnavati inprimerjati tveganja moramo primerjati razsežnosti tveganj Ni rečeno da so tveganjanizka po vrednosti in visoka po frekvenci z enakim učinkom itd Zanimivo je da so vZDA in anglosaksonskem svetu upravljanje s tveganji vzeli kot tekmovalno prednostmedtem ko je v EU to bolj posledica regulative
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 25
Napredno vzdrževanje strojne opreme Učno gradivo
41 Spremembe pri strojni opremi
Spremembe so silovite Hitro se razvijajoča informacijska in telekomunikacijskatehnologija zahteva nove poslovne modele Gonilniki sprememb vplivajo na poslovnesubjekte ki morajo biti prilagodljivi hitri in hkrati varni Vse to med drugim prinašanegotovost znotraj poslovnega sistema pa tudi v zunanjem okolju Obvladovanjesprememb zahteva izjemne intelektualne napore saj so pritiski na poslovne subjekteveliki Prihajajo s strani zahtev regulative zakonodaje varnosti standardov nadzorakontrol konkurence itd Odražajo se v vrednostnih pogajalcih za PS kot soohranjanje rasti stroški in učinkovitost načrtna razdelitev kapitala in prioritetno sejim pridružuje upravljanje s tveganji torej investiranje v varnost Ključna tveganja vteh transformacijah so tako strateška kot procesna Sem sodijo informacijski sistemi(IS) infrastruktura tehnologija stranke partnerji konkurenca in intelektualni kapital -človeški viri itd Vsako od omenjenih tveganj je sicer možno omiliti ali odpravitivendar je potreben holistični pristop standardizacija privzemanje kulture tveganjpotrebno je kreirati program upravljanja tveganj program varnosti vpeljatiupravljanje znanj integralna orodja za tveganja orodja za analize scenarijev insimulacij uvesti nove discipline in metrike ter dobro prakso In kakšna je potem cenavarnosti Ni univerzalnih navodil ni garancij za uspeh ker v globalnem svetunenehno nastajajo nova tveganja V mreži poslovnih verig so medsebojno odvisna Vnadaljevanju je nakazano strukturno razumevanje oziroma pristop k upravljanjutveganj informacijske tehnologije (IT) kot podpore IS-mu in procesom v poslovnihsistemih ne glede na to kateri industriji poslovni subjekt pripada
V področje upravljanja s tveganji IT (UT-IT) vsekakor spadajo informacijski sistemi[1] IT viri procesi projekti in druge danosti ter kategorije povezane z IT Področjezajema vsa operativna tveganja kot posledice Človeških in tehnoloških napak Jeizjemno široko kompleksno interdisciplinarne narave s poudarkom na ustreznemrazumevanju konceptov z več področij (varnost tveganja nadzor (revizije)neprekinjeno poslovanje) Izhodišče so informacije ki jih podpira IS kateregaomogoča informacijska tehnologija v vsaki organizaciji Informacije potrebujejoanalizo tako domene IS kot poslovne domene Informacije so vitalen vir vsakeposlovne enote zato so tudi tarča napadov z različnimi motivi in vplivi na poslovanjeUT-IT tako zajema uporabnike IT organizacijo IT in njeno dejavnost kot storitevkončnim uporabnikom
IT organizacija mora biti ustrezno organizirana da zagotavljaposlanstvo varnosti učinkovitosti IS in dostavo storitev Zato imavarnost v organizacijah več oblik Odvisne so ena od druge inpredstavljalo celotno varnost (fizičnondashtehnično varnost in upravljalnisistem informacijske varnosti)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 26
Napredno vzdrževanje strojne opreme Učno gradivo
Pogled na strukturo IT organizacije je priporočljiv z več vidikov in dimenzijPredstava v prostoru je znana IT raquokockalaquo Med IT vire pa na splošno opredeljujemo
- ljudi- aplikacije- tehnologijo- podatke- Podporo-
Taka struktura je pomembna za odpravljanje tveganj v IT organizacijah namrečzajema tako procese kot več disciplin in upravljanje dejavnosti IT organizacije S temdemonstriramo funkcionalnost ki zagotavlja kvalitetno storitev IT Taka strukturaomogoča boljšo dostavljivost IT rešitev kar pomeni učinkovitost IS in zmanjšanjedoločenih tveganj med njimi tudi usklajevanje poslovnih ciljev najvišjega vodstva zIT
Ker izhajamo iz informacije poglejmo njene lastnosti Glavni kriteriji za ocenjevanjeso zaupnost integriteta in razpoložljivost Metoda UT-IT pa je skupni imenovalec zaanalizo neprekinjenemu poslovanju [4] projektnemu vodenju [5] drugim disciplinamin revizijam ter informacijskim varnostnim tveganjem Tveganja iz naslovainformacijske varnosti lahko do določene stopnje primerjamo s kontrolami [6] S tegavidika kontrole zmanjšujejo tveganja in so povezane z revizijami (notranjimi inzunanjimi) Pri tem se opirajo na preglede v katerih se ugotavljajo primernost inskladnost varnostne arhitekture ter učinkovitosti izvajanja upravljanja tveganjTudi odločitve običajno temeljijo na informacijah če so informacije mehke pride doizraza večja negotovost in odločitve ki se sprejemajo lahko pripeljejo do usodnihdogodkov v katerih se tveganja uresničijo in nastajajo izgube v poslovanjuDefinicij informacije je precej Velja da je to vir vsakega poslovnega subjekta Takopridemo do vrednosti informacije kot vseh drugih vitalnih vrednih virov v poslovnemsistemu Prav neustrezno ravnanje z informacijami povzroča velika tveganja ininformacijsko nestabilnost Dejstvo je da se mora v digitalni ekonomiji in globalnemsvetu poleg socialne finančne in ekonomske stabilnosti upoštevati tudi informacijska
Pri poslovanju so vsekakor pomembni procesi ki so predmet obravnave na področjuupravljanja tveganj IT Tako UT-IT opredeljuje in zajema tudi operativna tveganja Izpraktičnega vidika je v poslovnem sistemu veliko procesov ki se nadalje delijo napodprocese in aktivnosti temeljni in podporni Toda vsi morajo biti raquooptimalnilaquovodeni in nadzorovani Precej kompleksnosti naraste v informacijskem sistemu ki gapodpirata informacijska in telekomunikacijska tehnologija Zato je za področje UT-ITsmiselno uporabiti okvir COBIT Ta standard se lahko uspešno privzame tudi pri samiorganiziranosti in definiciji procesov v organizacijah ITUT-IT je prav tako proces v katerem se proučuje in obravnava IS-me Sem spadajotudi nevarnosti ki pretijo poslovnemu sitemu IS-mu IT organizaciji njeni storitveni
dejavnosti torej vsem virom v sistemu kakor tudi drugim poslovnim subjektom vposlovni verigi V njej so tehnološke razdalje med subjekti izjemno ranljive saj nasvoji poti informacije doživljajo spremembe procesi v katerih se to dogaja pa so semorali razširiti izven okolja posamezne organizacije ali PS Pot je posejana z
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 27
Napredno vzdrževanje strojne opreme Učno gradivo
nevarnostmi različnih izvorov tako da se tudi tveganja in njihovi vplivi na poslovanjeodražajo z različnimi učinki Poglablja se tveganje e-poslovanja gre za takoimenovana e-tveganja Biti brez varnosti v realnem času in hitre odzivne funkcije natveganja ter nepredvidene dogodke je lahko za poslovanje silno usodno Zatoobstajajo različne strategije orodja in načini za zdravljenje tveganj ki skupajpredstavljajo obrambne mehanizme organizacije Pri tem je pomembno zavedanje inizobraževanje ter neprestano usposabljanje strokovnjakov na teh področjihOperativna tveganja so izrazito povezana z internimi procesi in jih posamezneindustrije že obravnavajo vsekakor pa jih bo morala vpeljati finančna industrija zlastiban1048830ni sektor ki bo moral biti skladen z Baselskim II standardom in EU (CAD)direktivami Standard namreč zajema potencialne izgube tudi iz naslova operativnihtveganj ne glede na interne ali zunanje dejavnike Osredotočen je na objavopotencialnih izgub za vse poslovne linije organizacije po določeni strukturi poročanjaglede kapitalske ustreznostiKo pogledamo v bančni sektor je osnovni namen obvladovanja inupravljanja s tveganji v bankah zagotavljanje njene plačilnesposobnosti Med različnimi načini za uresničevanje tega cilja je naprvem mestu institut minimalnega kapitala in zagotavljanje potrebnekapitalske ustreznosti banke o katerem govori Basel IIDelež kapitala v celotni bilančni vsoti je pri bankah mnogo manjši kot pri drugihorganizacijah in podjetjih Tudi njegova funkcija je drugačna Kot najpomembnejšafunkcija bančnega kapitala se ponavadi navaja zaščita vlagateljev Bančni kapitalpoleg tega omogoča nadzornim institucijam omejevati obseg tveganih dejavnosti bankin hkrati omogoča banki financiranje njenih osnovnih sredstev Ker so upniki bankmnožice posameznikov ki imajo pri teh bankah praviloma vloge na vpogled alikratkoročno vezane vloge in ker je takrat ko banka postane nelikvidna ponavadi žeprepozno saj je takrat banka praviloma že nesolventna je velikost bančnega kapitalajavna zadeva
Filozofija današnje bančne regulative je dopustiti zdravo konkurenco med bankami inhkrati zagotoviti njihovo disciplino prek predpisovanja minimalnih kapitalskih zahtevBaselski standardi so vplivali na oblikovanje evropskih smernic za banke Polegstandardizirane metodologije za računanje potrebnega kapitala za pokrivanjeomenjenih tveganj so navedeni potrebni pogoji za uporabo internih modelov bank zamerjenje tveganj med njimi operativno tveganje (uporabniki IT in IT organizacij)
Obseg in narava tveganj s katerima se srečujejo banke sta odvisni od narave njihovihposlov Pri tradicionalnih bančnih poslih (dajanje posojil iz prejetih depozitov) se kotglavna tveganja pojavljajo kreditno tveganje (tveganje dolžnikove nezmožnosti alinepripravljenosti izpolniti obveznosti iz naslova kreditne pogodbe) tržnolikvidnostno tveganje (tveganje da banka v določenem trenutku ne more poravnativseh svojih dospelih plačilnih obveznosti) tveganje spremembe obrestne mere(tveganje da bo postala pogodbeno določena obrestna mera drugačna od tržne in dabo banka utrpela izgubo iz tega naslova) ter operacijsko tveganje (tveganje ki mu jebanka izpostavljena zaradi možnih človeških napak torej internih procesov napaktehnologije in zunanjih dejavnikov (gre tudi za prevare poneverbe pranje denarjaoperativne izgube pravne ter druge stroške ki jih banka nosi v primeru njihoveganastanka)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 28
Napredno vzdrževanje strojne opreme Učno gradivo
Z bankami so povezani poslovni subjekti in vsi morajo zagotavljati varno poslovanjeTveganja so precejšnja saj vsi PS ne morejo zagotavljati enako učinkovitihprotiukrepov in varnostnih mer Pogljablja se tudi STP e-poslovanje nastajajo eskupnostiIS-mi se pogovarjajo med seboj brezžične komunikacije nujno jeprivzemanje standardov in različice XML protokola vse različne storitve potrebujejoUT-IT Področje je v razmahu in lastniki ter nadzorni sveti bodo moralikontrolirati operativne izgube in učinkovitost IS NS bodo imeli vlogo potrditvestrategij UT-IT uprave oz vodstva pa bodo morali dokazati skladnost s standardi inmetodami
Primerov storitev ki jih lahko obsega napredno vzdrževanje strojne opreme v UT-IT
spremljanje tehnoloških novosti povezanih z vzdrževano opremo ter priprava predlogov in ukrepov za nemoteno delovanje oz izboljšanje njenega delovanja
zamenjava delov strojne opreme
namestitev varnostnih popravkov na strežniško infrastrukturo
namestitev varnostnih popravkov na delovne postaje in prenosnike
periodično preventivno vzdrževanje strojne opreme
dokumentiranje storitev vzdrževanja
popravilo in odstranitev vseh pomanjkljivosti odkritih med preventivnim pregledom
pomoč sistemskim administratorjem in uporabnikom odgovori na vprašanja in svetovanje glede uporabe vzdrževane infrastrukturne opreme na lokaciji naročnika oz uporabnika
izredni kontrolni nadzor nad delovanjem infrastrukturne opreme po dogovoru z naročnikom
nadgradnja strežnikov delovnih postaj in prenosnih računalnikov
nadgradnja komunikacijske opreme
daljinska pomoč preko telefona elektronske pošte faksa ali daljinskega dostopa pri reševanju problemov uporabnikov odgovori na vprašanja in svetovanje glede uporabe vzdrževane strojne opreme
Osnovno popraviloStrokovnjak bo preveril delovanje računalnika opredelil napako in jo odpravil V to storitev se uvršča odprava manjših napak na računalniku
Storitev vsebuje diagnostiko težave in njeno odpravo v primeru da gre za manjšo napako Med manjše napake sodi ponovna namestitev gonilnikov popravilo napačnih nastavitev v programski opremi ponovna namestitev programov itd
V primeru da sestavljamo ob nakupu nov računalnik z dodatno opremo moramo poskrbeti da bomo da za nakup dobili najboljšo ponudbo računalnika ali računalniške opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 29
Napredno vzdrževanje strojne opreme Učno gradivo
Pri sestavi sistema bomo upoštevali vaše potrebe ter dosegli najboljše razmerje med ceno in zmogljivostjo Poudarek je na individualnem svetovanju katerega namen je kar najbolje poskrbeti za želje uporabnika V ta sklop sodi poleg svetovanja za nakup računalnika tudi svetovanje o ostalih perifernih napravah (tiskalniki usmerjevalniki itd)
Pristop k osnovanju UT-IT
Težko je odgovoriti ali se odzvati na vsa tveganja brez ustreznega znanja Splošnoznano je tudi da se iz podatkov procesirajo informacije in iz njih znanje ki ga jesmiselno takoj uporabiti Gre za znanje poslovnega subjekta v celoti in nekateraspecialna znanja za katera je potrebno zagotoviti da so v pravilnem kontekstu in napravem mestu Upravljanje znanj (UZ) ima lahko odločilno vlogo pri strategiji zavpeljavo področja upravljanja tveganj IT v vsakodnevnem poslovanju UZ zmanjšaraquokorporacijskolaquo izpostavljenost tveganjem Zato je pametno zbrati vse ustrezneinformacije strukturirati znanje v kontekst ali okvir v katerega bodo vnesene vsebinepotrebne za UT-IT Kreiranje portala in repositorija za upravljanje tveganjopredeljujemo kot podporno infrastrukturo področju V repositoriju sopredefinirane strukture Zaposlenim so na voljo v obliki zemljevidov raquomaplaquo kikažejo na vsebine in povezave med njimi ter omogočajo polnjenje vsebin Pridoločanju vsebin lahko sodelujejo vsi želeno je da se v organizaciji na področjutveganj in varnosti ustvarja intelektualni potencialUpravljanje
Tveganj IT5Varnost
Metoda je opredeljena kot množica korakov (algoritem ali navodilo) uporabljenih zaizvršitev naloge (dela posla) Metodologija je nekako širši pojem in predstavljamnožico orodij lahko raziskovalne metode ali razlago teorije vodenja v vodstvenoprakso Torej metodologija organizira teorijo v nekaj razumljivega Ker je na voljo večpristopov metodologij in metod pri upravljanju tveganj bi torej metodologijopredstavljalo orodje za podporo odločitvenim sistemom iz področja UT-IT Tehnik inmetod je dejansko več katere bomo uporabili za različna področja in položaje toterja tehtni premislek
Slika 4 Zunanji disk WD Passport (klikni na sliko
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 30
Napredno vzdrževanje strojne opreme Učno gradivo
V glavnem so osnovane na točkovnih in statističnih metodah kvalitativni inkvantitativni tehniki Znana je enačba tveganj ALE (letnih pričakovanih izgub)Smiselno pa je privzeti metodo standarda BS7799 [10] ali ISO17799 za informacijskovarnost Smiselno je da bi vse industrije prevzele standard PSIST7799 (prevod) kivelja v državi od 13 6 2000 za bančni sektor (z dopolnitvami)Poslovni subjekti lahko uporabljajo lastno razvite tehnike in tehnologije zaidentifikacijo in analizo tveganj Za različne poslovne procese kot so vodenjesprememb združevanja in prevzemi raquocorporate governancelaquo strateško planiranje invrednotenje lahko privzete kvalitativne ali kvantitativne identifikacije tveganj inanalitske tehnike dodajo značilno vrednost za različne poslovne položaje in področjaUveljavljajo se metode analize scenarijev in raquoscorecardslaquo ter druge statistične metoderazne simulacije (Monte Carlo) itdTipično je da se simulacijski modeli uporabljajo za odločitve o sestavi realnihsistemov in za odločitve o politiki in postopkih ki jih uporabljamo pri delovanjurealnih sistemov Simulacija pomaga pri določanju sestave politike in postopkov vnegotovih torej tveganih pogojih okolja sistema Manager poskuša z modelom kotnadomestkom za realni sistem z uporabo različnih vhodnih podatkov in postopkovdoseči na osnovi dobljenih rezultatov pri simulaciji lažje odločanje pri vodenjurealnega sistema Vendar mora biti pri tem pazljiv in rezultatov dobljenih ssimulacijo ne more kratkomalo prenašati v realni svet Model in simulacija lahkopomagata bolje spoznati delovanje realnega sistema ne moreta pa zagotoviti raquopraveizbirelaquo za realni sistem Pri upravljanju tveganj IT lahko preveč subjektivne ocenepovzročajo nova tveganja predvsem na področju zunanjih virov (outsourcinga) invodenja pogodbZa UT-IT je na voljo dovolj modelov orodij programov in vzorcev ki jih lahkouporabimo v svojem poslovnem okolju Priporoljivo je da vsak poslovni subjektkreira sebi ustrezen model glede na specifiko vendar mora izvajati ovrednotenje da jeskladen s standardi in regulativo Standardi so uveljavljeni in nudijo dovolj velik okvirza njihovo privzemanje in funkcijo uporabe
Pregledni model UT-ITV podporo modelu UT-IT je že potreben omenjeni portal kot rezultat procesov priupravljanju znanj in repositorij kjer se shranjujejo potrebne vsebine in nastaja bazaznanja o dogodkih in tveganjih ter obrambnih mehanizmih Portal služi tudi zaizobraževanje Vsebine predstavljajo sezname in infostrukture od standardov doobrazcev ki se uporabljajo v posameznih fazah ali procesih analize in v obravnavanjutveganj Zbrani so tudi vsi principi zakonodaja politike procedure metrika procesiin tokovi informacij kakor tudi vnos v register tveganj zajem nevarnosti popis vsehkontrol varnostni mehanizmi in seznam protiukrepov vse to za dogodke in scenarijeki se lahko ali so se že zgodiliZa področje UT-IT se kreirajo smernice za posamezne entitete ali subjekte ki sovključeni kot participatorji ter navodila kako se izvajajo aktivnosti Učinkovitost sedoseže s poprej določenimi infostrukturami standardizacijo in povezavami medpodročji ter odnosi med entitetami ali objekti ki tvorijo sistem upravljanja tveganj IT
Kreiranje konteksta ali takšnega okvira je možno ker so v glavnem poznane vsestrukture in gradniki UT-IT in želenega sistema varnosti Dovolj predlog je že naInternetu zato je smiselno področje pregledati in izbrati želene infostrukture Posebnerazlage niso potrebne UT-IT se odvija po projektnih principih s skupinami ki so
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 31
Napredno vzdrževanje strojne opreme Učno gradivo
strokovne na svojih področjih Prav tako se v skupinah (samovodljivo) ocenjujejotveganja in definirajo strategije rešitev za identificirana tveganjaPodročje UT-IT je lahko služba ki je neodvisna in samostojna organizacijska enota v vrhu vodstva organizacijeIZVAJANJEOKVIRKaj kako s 1048830i
- Komunikacijski krogi
Bistven gradnik UT-IT predstavljajo komunikacijski krogi (KK) med področji inodgovornimi ali delegiranimi sodelavci po poslovnih linijah Le-ti predstavljajo raquokomunikatorje tveganjalaquo ki so povezani prek sistema zgodnjega opozarjanja inizvajajo vnos dogodkov ter podatkov za analize tveganj in ocenjevanje vpliva naposlovanje Izkušena skupina določi tudi ustrezne protiukrepe in varnostne mere ter jihposreduje lastnikom tveganj Ti s strokovnjaki za posamezna področja pripravijostrategijo rešitve in jo predstavijo (kot zagovor) odgovornim za področja da se posoglasju lahko izvedejo Področje UT-IT spremlja in spet ocenjuje učinke terrezidualna tveganja Zaradi narave tveganj in inherentnih tveganj IT so tovsakodnevne aktivnosti upravljanje tveganj in varnosti pa je vodstvena funkcijaObstaja še pomembna lastnost in specifika da področja varnosti in tveganj pripadajovsem zaposlenem v organizaciji zato so komunikacijski krogi in pravočasnoinformiranje nujniZa operacijsko kvaliteto v organizaciji je potrebno definirati oz določiti dimenzijo vkateri se meri kvaliteta Značilne so tri dimenzije (kriteriji)
- primernost in funkcionalnost- varnost in zanesljivost- razpoložljivost in dostopnost
- Metrike
-Tveganje je objektivizirane negotovosti glede na možnost pojavitve nezaželenegadogodka merjenje negotovosti in negotovosti izgube Negotovost nastane zaradipomanjkanja informacij o nekdanjih sedanjosti in prihodnjih dogodkih vrednostih inpogojih Ne glede na različne stopnje negotovosti je osnova koncepta negotovosti vpomanjkanju informacij o delih sistema ki ga obravnavamo ali opazujemo Zmanjšanje tveganj mora biti motiv za organizacijo Zmanjšanjestopnje negotovosti je korak k opredelitvi kaj je lahko narejeno zazmanjšanje izpostavljanju tveganj Kakšno metriko uporabimo jeodvisno od tega kaj želimo meriti obravnavati spremljati izboljšatiitdOceniti tveganje pomeni ovrednotiti koliko lahko prenesemo oz izgubimo če seneljubi dogodek zgodi in pri tem izgubimo npr kar posedujemo Ali predstavlja to zanas vrednost in kako pogosto se ti dogodki pojavljajo so začetna razmišljanja ko greza tveganja in reakcije na njihLahko trdimo da je tveganje vedno ocenjeno z analizo scenarijev kar pomenivrednotiti možne izgube in frekvenco verjetnosti možne škode Toda v kakšnemobsegu in po katerih predvidevanjih Vsekakor je pri ocenjevanju tveganj medkvalitativno in kvantitativno analizo razlika Smiselno je obravnavanje analizetveganj Še tako dobro zastavljena varnostna politika brez izvajanja in kontrole ne
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 32
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
usposobljenost uporabnikov To področje je izredno široko in ga na tem mestu ne bomo obravnavali saj predstavlja samostojno disciplino sistemskega inženiringa
Zaščita sistema opazujemo z dveh osnovnih zornih kotov
- zaščita na nivoju končnih računalnikov ndash lokalna zaščita- zaščita ki je potrebna zaradi narave decentraliziranih sistemov ndash decentralizirana
zaščita
Iz vsakdanjega življenja vsi poznamo primere v katerih nam zelo veliko pove že dejstvo da vemo med katerimi ljudmi v določenem trenutku poteka komuniciranje ne glede na to da same vsebine ne moremo razbrati Ravno tako v primeru da razpoznamo da strojna oprema pri zagotavljanju kakovostnega komunikacijskega delovanja ne deluje jo nadomestimo z nadgradnjo
29 Odkrivanje napak
Pri uporabi in delovanju strojne opreme pride do napak predvidoma na prenosnih medijih kjer se lahko dogajajo napake Najpreprostejši način je odkrivanje napak v okviru nameščene strojne opreme v kontroli maske kjer je strojna oprema evidentirana kot okolje Windows
Komercialne različice računalniške strojne opreme s skupinskih prenosnim medijem se je pričela tudi kot omrežje
a) brezžičnoJe tisto ki je kot prenosni medij fizično opredeljivo z radijskimi valovi ali svetlobo
b) mobilnoOmrežje ni nujno brezžično bistveno je da podpira selitve računalnikov
Kot primer lahko navedem kombinacijo klasičnega modema in brezžičnega telefona ki ga lahko napredno vzdržujemo preko modema priključenega na modem npr v hotelski sobi in ga preko te linije vstopamo v drug računalnik ki je v povezavi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 14
Napredno vzdrževanje strojne opreme Učno gradivo
2slika diagnostika
- Napredno vzdrževanje prenosnih medijev
Prenosni mediji niso le žice kot pogosto najprej pomislimo Pojem bomo nekoliko razširili saj ne smemo pozabiti na prenosne medije ki nimajo zveze z računalniškimi komunikacijami tičejo pa se računalniških informacijskih sistemov
Z vidika IKS-a je poznavanje prenosnih medijev zanimivo le v toliko kolikor različne oblike prenosnih medijev omogočajo zasnovo prenosnih kanalov z različnimi kapacitetami primernih za različne razdalje in različno ceno Njihova tehnologijama sodi v področja ki so razdeljena
- Koaksialni kabel- Brezžične povezave- Optično vlakno
Optična vlakna so danes najzanesljivejši prenosni medij Prevajajo svetlobne signale ki jih običajno vzbujamo z laserskimi napravami Signal med prenosom po optičnem mediju le malo oslabi Danes dosegamo 100 kilometrske prenose brez ponavlalnikov signala Kaj takega je po parici ali koaksialnemu kablu nedosegljivo Kapaciteta optičnega kanala 100 Mbits na omenjeni razdalji ni vprašljiva na krajših odsekih pa so na pohodu že kapacitete 100 Gbits
- Brezžične povezave
Med brezžične povezave prištevamo več skupin povezav ki so zasnovane na širjenju elektromagnetnega valovanja skozi prostor Tipične oblike so
- Radijske zemeljske povezave
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 15
Napredno vzdrževanje strojne opreme Učno gradivo
- Mikrovalovne usmerjenje povezave- Infrardeče povezave - Satelitske povezave
Poleg brezžičnih povezav spada v nepogrešljivo komunikacijo tudi telefonsko omrežje Vzdrževanje telefonskega omrežja ima dostop večine opisanih graditeljev računalniških omrežij
Pripravljalne faze naprednega vzdrževanja strojne opreme
- Identificirati pristopne točke pokvarjenih delov strojne opreme- Oceniti storitve pokvarljivosti strojne opreme- Oceniti vrednost investicije za namestitev strojne opreme ter infrastrukturo ki bo
zmogla ocenjene napake opredeliti in načrtovati grobe okvire nove infrastrukture- Zagotoviti vire financiranja nameščanja nove strojne opreme
To sicer ni tehničen problem vendar pa navadno predstavlja nepomembnejše in pogosto najzamudnejše opravilo z dokaj nepredvidljivim izidom
- Opredeliti osnovne izvedbe okvire izvedbe Ti so neodvisni od infrastrukture dinamike financiranja in drugih dejavnikov Že v okviru te faze projekta je potrebno vzpostaviti stike z nameščeno strojno opremo
Večina ljudi čuti naraven odpor do razstavljanja električnih naprav in to z razlogom Proizvajalci drugih naprav vedno svarijo naj jih uporabniki ne odpirajo sami Možnost električnega šoka je prisotna pri vsej strojni opremi Vsi računalniki ne sodijo mednje saj so narejeni tako da jih uporabnik lahko do neke mere sam priredi
Ko nameščamo napredno strojno opremo npr v ohišju moramo najprej izključiti vse napeve
Iz vtičnice potegnemo napajanje za računalnik in za vse naprave ki so nanj priključene Nikakor se namešča napredne strojne opreme dokler je vtikač v vtičnici Ne samo da to škoduje računalniku nevarno je tudi za samega vzdrževalca oz uporabnika
Ohišje je lupina v katero so nameščene komponente ki sestavljajo jedro računalnika Napajalnik (ang power supply) pa je naprava ki pretvarja standardno omrežno izmenično napetost v nižje enosmerne napetosti ki jih za delovanje potrebuje računalnik
Čeprav nekateri pravijo da je to smešno sodita ohišje in napajalnik popolnoma upravičeno na vrh seznama obveznih komponent Brez njiju ni nobenega računalnika Včasih sta drug z drugim neločljivo povezana čeprav raquohodita vsak svojo potlaquo Kakršna vrsta strojne opreme se najprej ugotovi po ohišju ki je pri namiznih računalnikih zelo razkošno V ohišju najdemo prostor za osnovno ploščo z potrebnimi komponentami trde diske različne vmesniške kartice
Hrupa ki je pri stojni opremi v računalniku se lotimo ko reže v ohišju skozi katere priteka zrak v računalnik in ventilator napajalnika povečamo Ko nameščamo napredno strojno
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 16
Napredno vzdrževanje strojne opreme Učno gradivo
opremo mora biti tudi ohišje na primernem zračnem mestu To sicer ne pomeni da moramo računalnik spraviti pod mizo vendar moramo poskrbeti za učinkovit zračni preskok
Ohišja namiznih računalnikov se lahko med seboj močno razlikujejo vsa pa so praviloma dokaj velika in vanje je že vgrajen napajalnik Vgrajeni napajalnik je pri namiznih računalnikih najmočnejši ne pa edini vir hrupa Za hrup je ponavadi kriv ventilator ki skrbi za hlajenje napajalnika ohišje pa velikokrat deluje kot kakšen resonator in hrup še veča
Pri napredni strojni opremi ohišja računalnikov razdelimo na tri skupine
- Plosko ohišje
Ima obliko kvadrata z največjo ploskvijo kot osnovno stranico Navadno ga postavimo na eno od stranskih stranic in tako simuliramo ohišje v obliki stolpa Na voljo je več izvedb ploskih ohišij Tako lahko izbiramo med večjimi in manjšimi ohišji ter med bolj in manj primernimi za odpiranje
- Kompaktni sistemi
Pri kompaktnih sistemih je klasično ohišje računalnika združeno z ohišjem monitorja vanj pa so pogosto vgrajeni še zvočniki in mikrofon Ves računalnik je praktično v enem kosu vanj nista le integrirana le tipkovnica in kazalna naprava Čeprav računalniki po kompaktnosti približujejo prenosnim računalnikom Se za stalno prenašanje vseeno nekoliko okrni Kompaktni sistem je prava izbira če računalniku ne želite nameniti več prostora kot ga potrebuje povprečen monitor ali če se vam prenosni računalniki ne zdijo primerni zaradi cene oz premajhne tipkovnice
- Ročni računalniki so strpani v najmanjša ohišja kar jih je To ni nič čudnega saj morajo biti tako majhni da jih je mogoče med uporabo držati v roki Po velikosti lahko računalnike primerjamo z nekoliko boljšimi računali
- Osnovne plošče
Računalnik je skupek komponent
Tako delimo strojno opremo znotraj ohišja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 17
Napredno vzdrževanje strojne opreme Učno gradivo
3 slika pri CD-ju in CD romu je možno popravljanje napak
Če nameščamo vse tiste komponente ki jih osnovne plošče vgradijo izdelovalci računalnika ali jih nanje namestijo sestavljavci računalnikov glede na želje uporabnikov ali želje kupcev
- Procesor
Kljub pomembnosti je procesor najbolj odgovorno in je pri naprednem vzdrževanju potrebno ločeno kupiti ali popraviti od osnovne plošče Na njej je podnožje kamor ga sestavljavec računalnika lahko zamenja ali nadomesti z bolj zmogljivim Izdelovalci plošč skrbijo da je posamezna osnovna plošča uporabna z celo družino procesorjev včasih celo z različnimi družinami Družine se seveda razlikujejo po oznakah Večina korporacij med strojno opremo še posebno v zadnjem času se razlikuje po hitrosti delovnega takta frekvenci prenosa in zmogljivosti
3 NAČRTOVANJE STROJNE OPREME
Načrtovanje strojne opreme lahko izbiramo ob nakupu primernih računalnikov s pomočjo svetovalca serviserja ali vzdrževalca informacijske opreme Uporabe računalnikov in posebnih programov v proizvodnji in arhitekturi postavitve linijskih proizvodnji procesov urejajo posebni programi CAD
Za izdelavo prevodnikov in polprevodnikov na matični plošči oz integriranih vezij lahko srečamo naslednje kovine
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 18
Napredno vzdrževanje strojne opreme Učno gradivo
Krom barij iridij svinec paladij tantal arzen berilij baker zlato kadmij
Pri gradnji informacijske opreme in sistemov na osnovi mikroprocesorjev potrebujemo dodatne elemente rečemo jim raquopodporni elementilaquo To so periferni adapterji časovna vezja DMA krmilniki množilniki frekvence ROM in RAM pomnilniki Na osnovi fizičnih diskov pa imamo povezave IDE ter SATA vmesnikov - RAID diskov v samem ohišju računalnika
V tem času je podjetje Intel še razvilo večjedrsko delitev v enem procesorju kar pomeni da si vsa jedra morajo deliti predpomnilnik dostopnost do pomnilnika ter usklajeno delovati in imeti povezave do ostalih elementov Procesorji s porabo in zmogljivostjo Teraflop že omogočajo prepoznavo govora obraza in rokopisa Hitrost zmogljivosti število jeder ter odvajanje toplote pri mikroprocesorjih se bo eksponentno povečevalo (Intel source view 2010)
Vprašanja za ponavljanje
Kaj je več jedrski procesor Kaj je to napredni RAM Razišči in opiši katera napredna strojna oprema je na slovenskem trgu
34 Napredni operacijski sistemi
V naprednih strojnih vodah je znana večja prepoznavnost Windows XP operacijskega sistema ki ga ob nakupu lahko nastavimo in kasneje enostavno vzdržujemo
Vgrajena orodja znotraj OS-a
Raziskovalec (computer managment ) Register Nadzorna plošča in spremljajoči programi ter nastavitve
Kot pri vsaki informacijski opremi je preventiva vedno najprimernejša
V OS Windows XP_Nadzorni plošči_Computer managment imamo vsa navodila in upravljanje z napakami in popravki tako programske opreme napake na trdih RAID diskov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 19
Napredno vzdrževanje strojne opreme Učno gradivo
namestitev gonilnikov starih verzij programske opreme sistemske in aplikativne napake ter odstranitev vseh uporabnikov ki niso več priključeni v informacijski sistem
Nameščanje in odmeščanje strojne opreme (gonilnikov matične plošče uporabnih vhodnih -izhodnih enot sistemske strojne opreme ter do končnega cilja namestitve Odmeščanje ali odstranitev strojne opreme pri napredni strojni opremi pa je v okolju Windows XP narejeno z posebnimi odnamestitvenimi programi istega proizvajalca oz operacijskega sistema v našem primeru preko Windows nadzorne plošče
Register ki beleži vse namestitve ter spremembe programov znotraj le-tega ima funkcijo spominanja zatorej mora računalnikar uporabiti zmogljiva vzdrževalna orodja ki pretekle namestitve strojne opreme pobrišejo veliko hitreje kot pa uporabnik
Zaščita strojne opreme na uporabniškem nivoju poteka preko dodatnih požarnih zidov z nekaj 1028 bitnim ključi in več V primeru povezav veš računalniških sistemov in mrež znotraj LAN-a imajo najnovejša strojna oprema že nameščene programe za požarni zid znotraj HW proizvoda
3 slika primer brezžične matične plošče
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 20
Napredno vzdrževanje strojne opreme Učno gradivo
i Navodila za izdelavo tehničnega poročila
Kakovostna in po navodilih nadrejenega vzdrževalca - računalnikarja morajo biti zapisana v točno določenem Word formatu z primernim oblikovanjem in zapisom
Struktura naj bo sledeča
Naslovnica
Na njej je logotip Ljudske Univerze Radovljica naziv predmeta ime in priimek dijaka (tehničnega poročila seminarske oz pogodbenika) ime in priimek mentorja mesec in leto izdelave
Povzetek
V nekaj stavkih se povzame vsebino tehničnega poročila seminarske naloge oz naprednega nameščanja strojne opreme
Kazalo vsebine
Je izdelano na podlagi uporabe slogov za naslove Nivoji naslovov naj dosegajo največ nivo 3 (123)
Kazalo slik
Slike ki so uporabljene v nalogi morajo imeti napise Kazalo slik je izdelano na podlagi uporabe sloga za napise (arial 8 pt)
Poglavje uvoda
V tem poglavju se na eni strani strne in izbere kratko in jedrnato uvodna misel avtorja Namen uvoda je da bralca seznani z postopoma brano tematiko v gradivu
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 21
Napredno vzdrževanje strojne opreme Učno gradivo
Ostala poglavja
Nato sledijo ostala poglavja kot si jih je zamislil dijak
Povzetek
V povzetku se na kratko povzame obravnavan tema in nakaže morebitne težave in priložnosti pri obravnavanju tematike
Literatura
Zaradi avtorskih pravic in nelegalnega kopiranja inovacij predvsem tehničnih izumov se vedno navaja vire in informacije od tam kjer je avtor napisal strojno pogodbo tehnično poročilo ali seminarsko nalogo
Literatura zavzema spletne naslove podjetij gradiv časopisov revij in knjižnih strokovnih knjig
-------------------------------------------------------------------------------------------------------
Velikost pisave je 12 ali 14Pt
Vrsta pisave je Times New Roman
Slogi napisov
Naslov 1 pisava Cambria velikost 14pik krepko
Naslov 2 pisava Cambria velikost 13 pik krepko
Naslov 3 pisava Cambria velikost 12 pik krepko
Jezik
V strokovno-znanstveni literaturi je uporaba knjižnega jezika in urejevalnika besedil smiselna V primeru da je prevod izraza v tujkah se v oklepaju navede vrsto tujega jezika in prevod Primer
RAM (ang Random Access Memory)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 22
Napredno vzdrževanje strojne opreme Učno gradivo
Obseg
Tehnično poročilo je predvideno do 4 strani v primeru modula M8
Vzdrževalna pogodba je kratka in po členih pravno definirana v obliki medsebojnega dogovora naprednega vzdrževanja strojne opreme ter lastnika zastarele strojne opreme
Seminarska naloga je definirana glede na temo ni vrsto seminarske zatorej je priporočljivo imeti navodila strani- obsega ob začetku pisanja
Vprašanja za ponavljanje
Kakšno je tehnično poročilo
Zakaj je strojna oprema potrebna naprednega vzdrževanja ob koncu leta
Kakšne vrste pogodb o namestitvi strojne opreme poznaš v IT-ju
Kako izgleda licenčna namestitev strojne opreme Glej primer HW podjetij ki uporabljajo strojno opremo IBMHPLogitech ipd
Spletni brskalniki
Glede na naravo dela in poznavanje novih strojnih namestitev ter naprednih oprem ki nastajajo v posameznih multunacionalnih laboratorijih in proizvodnih procesih mora računalnikar biti seznanjen z novimi produkti oz strojno opremo v sodobnem času
Uporabo dostopa do wwwgooglecom wwwhpcom wwwibmcom wwwapplecom mu omogočajo pri velikanski izbiri na trgu da poišče primerno opremo proizvajalca zamenjati določen zastarel že servisiran produkt mikroprocesor izh-enoto ipd
Za brskanje po spletu je važno da se spozna na prodajo in uporabo strojne opreme kot tudi posameznih enot Oprema ki jo bo vzdrževal ima neko serijsko številko oziroma namestitveno pogodbo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 23
Napredno vzdrževanje strojne opreme Učno gradivo
Diski in na njem zaupni podatki strojna oprema ponarejanje in zamenjava s slabšimi produkti dolgoročne ne vodi računalnikarja tako do osebnega kot tudi poslovnega uspeha Res je da je mnogo različno kakovostnih produktov strojne opreme na trgu vendar tudi zloraba pri naprednem servisiranju in vzdrževanju prinašata posledice
Računalnikar se bo na terenu srečeval z identitetami računalnikov podjetij organizacij ki so po svoji naravi različna
Kot primer navajam uporabniške skupine strojne opreme ki so privrženci za Apple ter uporabniki oz privrženci za IBM Vsi bodo hvalili in zagotavljali boljšo kvaliteto in kakovost svoje strojne opreme
Zatorej vedno v tehničnem poročilu navedemo stanje strojne opreme pred našim prihodom in po tem ko smo jo le-to vzdrževali
Tako se profesionalno in komunikacijsko obnašamo s stranko kot pravi računalnikar z veliko odgovornostjo
Napredno svetovanje in pomoč uporabnikom strojne opreme
Pri pomembnosti komunikacije s s stranko moramo torej uporabljati pravila profesionalnega vedenja do stranke
Analizirati učinkovitost obstoječe strojne opreme Svetovati napredne matične plošče procesorje vodila Upoštevati različne strojne zahteve glede na namembnost osebnega računalnika Upoštevamo pomembnost shranjevanja dokumentacije vsaj 4 leta
S stranko je važno da vedno komuniciramo prijazno spoštljivo in umirjeno Kot svetovalec oz napredni računalnikar si lahko informacije o strojni opremi izmenjujemo preko strokovnih forumov novičarskih fan-tehničnih skupin (Apple HP Microsoftipd) ali pa smo povezani preko help-desk podpore na lokalnem zaščitenem omrežju kjer odpravljamo napake na terenu takoj
Zelo pomembna je tudi hitra odzivnost hitro in natančno odpravljanje napak poštenost do stranke ter na koncu primerna cena napredne strojne opreme vzdrževanja
Vprašanja za ponavljanje
Kaj je to komplet čipov
Kaj je osveževanje podpisana pogodbe o strojni opremi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 24
Napredno vzdrževanje strojne opreme Učno gradivo
Kaj je to etičnost in morala pravočasne namestitve napredne strojne opreme
4 Tveganje pri upravljanju napredne strojne opreme
Ko izrečemo ali preberemo besedi raquotveganje upravljanja napredne strojne opremelaquo se ne zavedamo da je tveganje skrito že kar v prvi besedi raquoupravljanjelaquo Tisti ki so odgovorni za upravljanje se tega namreč premalo ali sploh ne zavedajo Tveganja ki se v pri strojni opremi ter poslovnih subjektih na tem nivoju kažejo so
- nikoli dovolj resursov- cilji so nejasni- ni definirane politike standardov- število tveganj je preveliko ne ve se katera strojna oprema je najbolj pomembna- ni kulture
Sicer pa prevladuje prepričanje da se verjetno ne bo nič zgodilo Opisano ni zgled vodstvaZato moramo v svojo organizacijo sistematično s celostnim pristopom vpeljatiupravljanje tveganj Za drugo besedo raquotveganjelaquo se lahko vprašamo na kajnajprej pomislimo v vsakodnevnem življenju ko jo slišimo Najbrž pomislimo dalahko nekaj z določeno verjetnostjo izgubimo Preprosto sklepamo kaj in koliko lahko izgubimo ob neljubem dogodku to opredelimo z raquoresnostjolaquo verjetnost da izgubimo paobičajno opredelimo kot raquofrekvencalaquo pojavljanjaTo da se zgodi tisto česar v bistvu ne želimo je naša raquoranljivostlaquo če se ustreznoodzovemo ali reagiramo na tak dogodek pomeni da smo v aktivnostih privzelidoločene raquoobrambnelaquo mehanizme in zmanjšali raquoizpostavljenostlaquo tveganjemPri obravnavanju tveganj se izvajajo procesi analize ocene in rešitve kar lahkoopredelimo kot raquoupravljanjelaquo Resnost se meri z vrednostmi ovrednotimo jo finančnotorej določimo znesek Verjetnost pa merimo oz ocenimo s številom dogodkov včasovnem obdobju največkrat na leto Seveda bomo pozorni in dogodke spremljali dotiste varnosti in zaščite ki sta primerni sprejemljivi in hkrati skladni z našimivrednotami standardi in ekonomskimi zmožnostmi V bistvu so stvari boljkompleksne vsekakor je pomembna hitrost v odzivnosti Če želimo obravnavati inprimerjati tveganja moramo primerjati razsežnosti tveganj Ni rečeno da so tveganjanizka po vrednosti in visoka po frekvenci z enakim učinkom itd Zanimivo je da so vZDA in anglosaksonskem svetu upravljanje s tveganji vzeli kot tekmovalno prednostmedtem ko je v EU to bolj posledica regulative
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 25
Napredno vzdrževanje strojne opreme Učno gradivo
41 Spremembe pri strojni opremi
Spremembe so silovite Hitro se razvijajoča informacijska in telekomunikacijskatehnologija zahteva nove poslovne modele Gonilniki sprememb vplivajo na poslovnesubjekte ki morajo biti prilagodljivi hitri in hkrati varni Vse to med drugim prinašanegotovost znotraj poslovnega sistema pa tudi v zunanjem okolju Obvladovanjesprememb zahteva izjemne intelektualne napore saj so pritiski na poslovne subjekteveliki Prihajajo s strani zahtev regulative zakonodaje varnosti standardov nadzorakontrol konkurence itd Odražajo se v vrednostnih pogajalcih za PS kot soohranjanje rasti stroški in učinkovitost načrtna razdelitev kapitala in prioritetno sejim pridružuje upravljanje s tveganji torej investiranje v varnost Ključna tveganja vteh transformacijah so tako strateška kot procesna Sem sodijo informacijski sistemi(IS) infrastruktura tehnologija stranke partnerji konkurenca in intelektualni kapital -človeški viri itd Vsako od omenjenih tveganj je sicer možno omiliti ali odpravitivendar je potreben holistični pristop standardizacija privzemanje kulture tveganjpotrebno je kreirati program upravljanja tveganj program varnosti vpeljatiupravljanje znanj integralna orodja za tveganja orodja za analize scenarijev insimulacij uvesti nove discipline in metrike ter dobro prakso In kakšna je potem cenavarnosti Ni univerzalnih navodil ni garancij za uspeh ker v globalnem svetunenehno nastajajo nova tveganja V mreži poslovnih verig so medsebojno odvisna Vnadaljevanju je nakazano strukturno razumevanje oziroma pristop k upravljanjutveganj informacijske tehnologije (IT) kot podpore IS-mu in procesom v poslovnihsistemih ne glede na to kateri industriji poslovni subjekt pripada
V področje upravljanja s tveganji IT (UT-IT) vsekakor spadajo informacijski sistemi[1] IT viri procesi projekti in druge danosti ter kategorije povezane z IT Področjezajema vsa operativna tveganja kot posledice Človeških in tehnoloških napak Jeizjemno široko kompleksno interdisciplinarne narave s poudarkom na ustreznemrazumevanju konceptov z več področij (varnost tveganja nadzor (revizije)neprekinjeno poslovanje) Izhodišče so informacije ki jih podpira IS kateregaomogoča informacijska tehnologija v vsaki organizaciji Informacije potrebujejoanalizo tako domene IS kot poslovne domene Informacije so vitalen vir vsakeposlovne enote zato so tudi tarča napadov z različnimi motivi in vplivi na poslovanjeUT-IT tako zajema uporabnike IT organizacijo IT in njeno dejavnost kot storitevkončnim uporabnikom
IT organizacija mora biti ustrezno organizirana da zagotavljaposlanstvo varnosti učinkovitosti IS in dostavo storitev Zato imavarnost v organizacijah več oblik Odvisne so ena od druge inpredstavljalo celotno varnost (fizičnondashtehnično varnost in upravljalnisistem informacijske varnosti)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 26
Napredno vzdrževanje strojne opreme Učno gradivo
Pogled na strukturo IT organizacije je priporočljiv z več vidikov in dimenzijPredstava v prostoru je znana IT raquokockalaquo Med IT vire pa na splošno opredeljujemo
- ljudi- aplikacije- tehnologijo- podatke- Podporo-
Taka struktura je pomembna za odpravljanje tveganj v IT organizacijah namrečzajema tako procese kot več disciplin in upravljanje dejavnosti IT organizacije S temdemonstriramo funkcionalnost ki zagotavlja kvalitetno storitev IT Taka strukturaomogoča boljšo dostavljivost IT rešitev kar pomeni učinkovitost IS in zmanjšanjedoločenih tveganj med njimi tudi usklajevanje poslovnih ciljev najvišjega vodstva zIT
Ker izhajamo iz informacije poglejmo njene lastnosti Glavni kriteriji za ocenjevanjeso zaupnost integriteta in razpoložljivost Metoda UT-IT pa je skupni imenovalec zaanalizo neprekinjenemu poslovanju [4] projektnemu vodenju [5] drugim disciplinamin revizijam ter informacijskim varnostnim tveganjem Tveganja iz naslovainformacijske varnosti lahko do določene stopnje primerjamo s kontrolami [6] S tegavidika kontrole zmanjšujejo tveganja in so povezane z revizijami (notranjimi inzunanjimi) Pri tem se opirajo na preglede v katerih se ugotavljajo primernost inskladnost varnostne arhitekture ter učinkovitosti izvajanja upravljanja tveganjTudi odločitve običajno temeljijo na informacijah če so informacije mehke pride doizraza večja negotovost in odločitve ki se sprejemajo lahko pripeljejo do usodnihdogodkov v katerih se tveganja uresničijo in nastajajo izgube v poslovanjuDefinicij informacije je precej Velja da je to vir vsakega poslovnega subjekta Takopridemo do vrednosti informacije kot vseh drugih vitalnih vrednih virov v poslovnemsistemu Prav neustrezno ravnanje z informacijami povzroča velika tveganja ininformacijsko nestabilnost Dejstvo je da se mora v digitalni ekonomiji in globalnemsvetu poleg socialne finančne in ekonomske stabilnosti upoštevati tudi informacijska
Pri poslovanju so vsekakor pomembni procesi ki so predmet obravnave na področjuupravljanja tveganj IT Tako UT-IT opredeljuje in zajema tudi operativna tveganja Izpraktičnega vidika je v poslovnem sistemu veliko procesov ki se nadalje delijo napodprocese in aktivnosti temeljni in podporni Toda vsi morajo biti raquooptimalnilaquovodeni in nadzorovani Precej kompleksnosti naraste v informacijskem sistemu ki gapodpirata informacijska in telekomunikacijska tehnologija Zato je za področje UT-ITsmiselno uporabiti okvir COBIT Ta standard se lahko uspešno privzame tudi pri samiorganiziranosti in definiciji procesov v organizacijah ITUT-IT je prav tako proces v katerem se proučuje in obravnava IS-me Sem spadajotudi nevarnosti ki pretijo poslovnemu sitemu IS-mu IT organizaciji njeni storitveni
dejavnosti torej vsem virom v sistemu kakor tudi drugim poslovnim subjektom vposlovni verigi V njej so tehnološke razdalje med subjekti izjemno ranljive saj nasvoji poti informacije doživljajo spremembe procesi v katerih se to dogaja pa so semorali razširiti izven okolja posamezne organizacije ali PS Pot je posejana z
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 27
Napredno vzdrževanje strojne opreme Učno gradivo
nevarnostmi različnih izvorov tako da se tudi tveganja in njihovi vplivi na poslovanjeodražajo z različnimi učinki Poglablja se tveganje e-poslovanja gre za takoimenovana e-tveganja Biti brez varnosti v realnem času in hitre odzivne funkcije natveganja ter nepredvidene dogodke je lahko za poslovanje silno usodno Zatoobstajajo različne strategije orodja in načini za zdravljenje tveganj ki skupajpredstavljajo obrambne mehanizme organizacije Pri tem je pomembno zavedanje inizobraževanje ter neprestano usposabljanje strokovnjakov na teh področjihOperativna tveganja so izrazito povezana z internimi procesi in jih posamezneindustrije že obravnavajo vsekakor pa jih bo morala vpeljati finančna industrija zlastiban1048830ni sektor ki bo moral biti skladen z Baselskim II standardom in EU (CAD)direktivami Standard namreč zajema potencialne izgube tudi iz naslova operativnihtveganj ne glede na interne ali zunanje dejavnike Osredotočen je na objavopotencialnih izgub za vse poslovne linije organizacije po določeni strukturi poročanjaglede kapitalske ustreznostiKo pogledamo v bančni sektor je osnovni namen obvladovanja inupravljanja s tveganji v bankah zagotavljanje njene plačilnesposobnosti Med različnimi načini za uresničevanje tega cilja je naprvem mestu institut minimalnega kapitala in zagotavljanje potrebnekapitalske ustreznosti banke o katerem govori Basel IIDelež kapitala v celotni bilančni vsoti je pri bankah mnogo manjši kot pri drugihorganizacijah in podjetjih Tudi njegova funkcija je drugačna Kot najpomembnejšafunkcija bančnega kapitala se ponavadi navaja zaščita vlagateljev Bančni kapitalpoleg tega omogoča nadzornim institucijam omejevati obseg tveganih dejavnosti bankin hkrati omogoča banki financiranje njenih osnovnih sredstev Ker so upniki bankmnožice posameznikov ki imajo pri teh bankah praviloma vloge na vpogled alikratkoročno vezane vloge in ker je takrat ko banka postane nelikvidna ponavadi žeprepozno saj je takrat banka praviloma že nesolventna je velikost bančnega kapitalajavna zadeva
Filozofija današnje bančne regulative je dopustiti zdravo konkurenco med bankami inhkrati zagotoviti njihovo disciplino prek predpisovanja minimalnih kapitalskih zahtevBaselski standardi so vplivali na oblikovanje evropskih smernic za banke Polegstandardizirane metodologije za računanje potrebnega kapitala za pokrivanjeomenjenih tveganj so navedeni potrebni pogoji za uporabo internih modelov bank zamerjenje tveganj med njimi operativno tveganje (uporabniki IT in IT organizacij)
Obseg in narava tveganj s katerima se srečujejo banke sta odvisni od narave njihovihposlov Pri tradicionalnih bančnih poslih (dajanje posojil iz prejetih depozitov) se kotglavna tveganja pojavljajo kreditno tveganje (tveganje dolžnikove nezmožnosti alinepripravljenosti izpolniti obveznosti iz naslova kreditne pogodbe) tržnolikvidnostno tveganje (tveganje da banka v določenem trenutku ne more poravnativseh svojih dospelih plačilnih obveznosti) tveganje spremembe obrestne mere(tveganje da bo postala pogodbeno določena obrestna mera drugačna od tržne in dabo banka utrpela izgubo iz tega naslova) ter operacijsko tveganje (tveganje ki mu jebanka izpostavljena zaradi možnih človeških napak torej internih procesov napaktehnologije in zunanjih dejavnikov (gre tudi za prevare poneverbe pranje denarjaoperativne izgube pravne ter druge stroške ki jih banka nosi v primeru njihoveganastanka)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 28
Napredno vzdrževanje strojne opreme Učno gradivo
Z bankami so povezani poslovni subjekti in vsi morajo zagotavljati varno poslovanjeTveganja so precejšnja saj vsi PS ne morejo zagotavljati enako učinkovitihprotiukrepov in varnostnih mer Pogljablja se tudi STP e-poslovanje nastajajo eskupnostiIS-mi se pogovarjajo med seboj brezžične komunikacije nujno jeprivzemanje standardov in različice XML protokola vse različne storitve potrebujejoUT-IT Področje je v razmahu in lastniki ter nadzorni sveti bodo moralikontrolirati operativne izgube in učinkovitost IS NS bodo imeli vlogo potrditvestrategij UT-IT uprave oz vodstva pa bodo morali dokazati skladnost s standardi inmetodami
Primerov storitev ki jih lahko obsega napredno vzdrževanje strojne opreme v UT-IT
spremljanje tehnoloških novosti povezanih z vzdrževano opremo ter priprava predlogov in ukrepov za nemoteno delovanje oz izboljšanje njenega delovanja
zamenjava delov strojne opreme
namestitev varnostnih popravkov na strežniško infrastrukturo
namestitev varnostnih popravkov na delovne postaje in prenosnike
periodično preventivno vzdrževanje strojne opreme
dokumentiranje storitev vzdrževanja
popravilo in odstranitev vseh pomanjkljivosti odkritih med preventivnim pregledom
pomoč sistemskim administratorjem in uporabnikom odgovori na vprašanja in svetovanje glede uporabe vzdrževane infrastrukturne opreme na lokaciji naročnika oz uporabnika
izredni kontrolni nadzor nad delovanjem infrastrukturne opreme po dogovoru z naročnikom
nadgradnja strežnikov delovnih postaj in prenosnih računalnikov
nadgradnja komunikacijske opreme
daljinska pomoč preko telefona elektronske pošte faksa ali daljinskega dostopa pri reševanju problemov uporabnikov odgovori na vprašanja in svetovanje glede uporabe vzdrževane strojne opreme
Osnovno popraviloStrokovnjak bo preveril delovanje računalnika opredelil napako in jo odpravil V to storitev se uvršča odprava manjših napak na računalniku
Storitev vsebuje diagnostiko težave in njeno odpravo v primeru da gre za manjšo napako Med manjše napake sodi ponovna namestitev gonilnikov popravilo napačnih nastavitev v programski opremi ponovna namestitev programov itd
V primeru da sestavljamo ob nakupu nov računalnik z dodatno opremo moramo poskrbeti da bomo da za nakup dobili najboljšo ponudbo računalnika ali računalniške opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 29
Napredno vzdrževanje strojne opreme Učno gradivo
Pri sestavi sistema bomo upoštevali vaše potrebe ter dosegli najboljše razmerje med ceno in zmogljivostjo Poudarek je na individualnem svetovanju katerega namen je kar najbolje poskrbeti za želje uporabnika V ta sklop sodi poleg svetovanja za nakup računalnika tudi svetovanje o ostalih perifernih napravah (tiskalniki usmerjevalniki itd)
Pristop k osnovanju UT-IT
Težko je odgovoriti ali se odzvati na vsa tveganja brez ustreznega znanja Splošnoznano je tudi da se iz podatkov procesirajo informacije in iz njih znanje ki ga jesmiselno takoj uporabiti Gre za znanje poslovnega subjekta v celoti in nekateraspecialna znanja za katera je potrebno zagotoviti da so v pravilnem kontekstu in napravem mestu Upravljanje znanj (UZ) ima lahko odločilno vlogo pri strategiji zavpeljavo področja upravljanja tveganj IT v vsakodnevnem poslovanju UZ zmanjšaraquokorporacijskolaquo izpostavljenost tveganjem Zato je pametno zbrati vse ustrezneinformacije strukturirati znanje v kontekst ali okvir v katerega bodo vnesene vsebinepotrebne za UT-IT Kreiranje portala in repositorija za upravljanje tveganjopredeljujemo kot podporno infrastrukturo področju V repositoriju sopredefinirane strukture Zaposlenim so na voljo v obliki zemljevidov raquomaplaquo kikažejo na vsebine in povezave med njimi ter omogočajo polnjenje vsebin Pridoločanju vsebin lahko sodelujejo vsi želeno je da se v organizaciji na področjutveganj in varnosti ustvarja intelektualni potencialUpravljanje
Tveganj IT5Varnost
Metoda je opredeljena kot množica korakov (algoritem ali navodilo) uporabljenih zaizvršitev naloge (dela posla) Metodologija je nekako širši pojem in predstavljamnožico orodij lahko raziskovalne metode ali razlago teorije vodenja v vodstvenoprakso Torej metodologija organizira teorijo v nekaj razumljivega Ker je na voljo večpristopov metodologij in metod pri upravljanju tveganj bi torej metodologijopredstavljalo orodje za podporo odločitvenim sistemom iz področja UT-IT Tehnik inmetod je dejansko več katere bomo uporabili za različna področja in položaje toterja tehtni premislek
Slika 4 Zunanji disk WD Passport (klikni na sliko
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 30
Napredno vzdrževanje strojne opreme Učno gradivo
V glavnem so osnovane na točkovnih in statističnih metodah kvalitativni inkvantitativni tehniki Znana je enačba tveganj ALE (letnih pričakovanih izgub)Smiselno pa je privzeti metodo standarda BS7799 [10] ali ISO17799 za informacijskovarnost Smiselno je da bi vse industrije prevzele standard PSIST7799 (prevod) kivelja v državi od 13 6 2000 za bančni sektor (z dopolnitvami)Poslovni subjekti lahko uporabljajo lastno razvite tehnike in tehnologije zaidentifikacijo in analizo tveganj Za različne poslovne procese kot so vodenjesprememb združevanja in prevzemi raquocorporate governancelaquo strateško planiranje invrednotenje lahko privzete kvalitativne ali kvantitativne identifikacije tveganj inanalitske tehnike dodajo značilno vrednost za različne poslovne položaje in področjaUveljavljajo se metode analize scenarijev in raquoscorecardslaquo ter druge statistične metoderazne simulacije (Monte Carlo) itdTipično je da se simulacijski modeli uporabljajo za odločitve o sestavi realnihsistemov in za odločitve o politiki in postopkih ki jih uporabljamo pri delovanjurealnih sistemov Simulacija pomaga pri določanju sestave politike in postopkov vnegotovih torej tveganih pogojih okolja sistema Manager poskuša z modelom kotnadomestkom za realni sistem z uporabo različnih vhodnih podatkov in postopkovdoseči na osnovi dobljenih rezultatov pri simulaciji lažje odločanje pri vodenjurealnega sistema Vendar mora biti pri tem pazljiv in rezultatov dobljenih ssimulacijo ne more kratkomalo prenašati v realni svet Model in simulacija lahkopomagata bolje spoznati delovanje realnega sistema ne moreta pa zagotoviti raquopraveizbirelaquo za realni sistem Pri upravljanju tveganj IT lahko preveč subjektivne ocenepovzročajo nova tveganja predvsem na področju zunanjih virov (outsourcinga) invodenja pogodbZa UT-IT je na voljo dovolj modelov orodij programov in vzorcev ki jih lahkouporabimo v svojem poslovnem okolju Priporoljivo je da vsak poslovni subjektkreira sebi ustrezen model glede na specifiko vendar mora izvajati ovrednotenje da jeskladen s standardi in regulativo Standardi so uveljavljeni in nudijo dovolj velik okvirza njihovo privzemanje in funkcijo uporabe
Pregledni model UT-ITV podporo modelu UT-IT je že potreben omenjeni portal kot rezultat procesov priupravljanju znanj in repositorij kjer se shranjujejo potrebne vsebine in nastaja bazaznanja o dogodkih in tveganjih ter obrambnih mehanizmih Portal služi tudi zaizobraževanje Vsebine predstavljajo sezname in infostrukture od standardov doobrazcev ki se uporabljajo v posameznih fazah ali procesih analize in v obravnavanjutveganj Zbrani so tudi vsi principi zakonodaja politike procedure metrika procesiin tokovi informacij kakor tudi vnos v register tveganj zajem nevarnosti popis vsehkontrol varnostni mehanizmi in seznam protiukrepov vse to za dogodke in scenarijeki se lahko ali so se že zgodiliZa področje UT-IT se kreirajo smernice za posamezne entitete ali subjekte ki sovključeni kot participatorji ter navodila kako se izvajajo aktivnosti Učinkovitost sedoseže s poprej določenimi infostrukturami standardizacijo in povezavami medpodročji ter odnosi med entitetami ali objekti ki tvorijo sistem upravljanja tveganj IT
Kreiranje konteksta ali takšnega okvira je možno ker so v glavnem poznane vsestrukture in gradniki UT-IT in želenega sistema varnosti Dovolj predlog je že naInternetu zato je smiselno področje pregledati in izbrati želene infostrukture Posebnerazlage niso potrebne UT-IT se odvija po projektnih principih s skupinami ki so
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 31
Napredno vzdrževanje strojne opreme Učno gradivo
strokovne na svojih področjih Prav tako se v skupinah (samovodljivo) ocenjujejotveganja in definirajo strategije rešitev za identificirana tveganjaPodročje UT-IT je lahko služba ki je neodvisna in samostojna organizacijska enota v vrhu vodstva organizacijeIZVAJANJEOKVIRKaj kako s 1048830i
- Komunikacijski krogi
Bistven gradnik UT-IT predstavljajo komunikacijski krogi (KK) med področji inodgovornimi ali delegiranimi sodelavci po poslovnih linijah Le-ti predstavljajo raquokomunikatorje tveganjalaquo ki so povezani prek sistema zgodnjega opozarjanja inizvajajo vnos dogodkov ter podatkov za analize tveganj in ocenjevanje vpliva naposlovanje Izkušena skupina določi tudi ustrezne protiukrepe in varnostne mere ter jihposreduje lastnikom tveganj Ti s strokovnjaki za posamezna področja pripravijostrategijo rešitve in jo predstavijo (kot zagovor) odgovornim za področja da se posoglasju lahko izvedejo Področje UT-IT spremlja in spet ocenjuje učinke terrezidualna tveganja Zaradi narave tveganj in inherentnih tveganj IT so tovsakodnevne aktivnosti upravljanje tveganj in varnosti pa je vodstvena funkcijaObstaja še pomembna lastnost in specifika da področja varnosti in tveganj pripadajovsem zaposlenem v organizaciji zato so komunikacijski krogi in pravočasnoinformiranje nujniZa operacijsko kvaliteto v organizaciji je potrebno definirati oz določiti dimenzijo vkateri se meri kvaliteta Značilne so tri dimenzije (kriteriji)
- primernost in funkcionalnost- varnost in zanesljivost- razpoložljivost in dostopnost
- Metrike
-Tveganje je objektivizirane negotovosti glede na možnost pojavitve nezaželenegadogodka merjenje negotovosti in negotovosti izgube Negotovost nastane zaradipomanjkanja informacij o nekdanjih sedanjosti in prihodnjih dogodkih vrednostih inpogojih Ne glede na različne stopnje negotovosti je osnova koncepta negotovosti vpomanjkanju informacij o delih sistema ki ga obravnavamo ali opazujemo Zmanjšanje tveganj mora biti motiv za organizacijo Zmanjšanjestopnje negotovosti je korak k opredelitvi kaj je lahko narejeno zazmanjšanje izpostavljanju tveganj Kakšno metriko uporabimo jeodvisno od tega kaj želimo meriti obravnavati spremljati izboljšatiitdOceniti tveganje pomeni ovrednotiti koliko lahko prenesemo oz izgubimo če seneljubi dogodek zgodi in pri tem izgubimo npr kar posedujemo Ali predstavlja to zanas vrednost in kako pogosto se ti dogodki pojavljajo so začetna razmišljanja ko greza tveganja in reakcije na njihLahko trdimo da je tveganje vedno ocenjeno z analizo scenarijev kar pomenivrednotiti možne izgube in frekvenco verjetnosti možne škode Toda v kakšnemobsegu in po katerih predvidevanjih Vsekakor je pri ocenjevanju tveganj medkvalitativno in kvantitativno analizo razlika Smiselno je obravnavanje analizetveganj Še tako dobro zastavljena varnostna politika brez izvajanja in kontrole ne
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 32
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
2slika diagnostika
- Napredno vzdrževanje prenosnih medijev
Prenosni mediji niso le žice kot pogosto najprej pomislimo Pojem bomo nekoliko razširili saj ne smemo pozabiti na prenosne medije ki nimajo zveze z računalniškimi komunikacijami tičejo pa se računalniških informacijskih sistemov
Z vidika IKS-a je poznavanje prenosnih medijev zanimivo le v toliko kolikor različne oblike prenosnih medijev omogočajo zasnovo prenosnih kanalov z različnimi kapacitetami primernih za različne razdalje in različno ceno Njihova tehnologijama sodi v področja ki so razdeljena
- Koaksialni kabel- Brezžične povezave- Optično vlakno
Optična vlakna so danes najzanesljivejši prenosni medij Prevajajo svetlobne signale ki jih običajno vzbujamo z laserskimi napravami Signal med prenosom po optičnem mediju le malo oslabi Danes dosegamo 100 kilometrske prenose brez ponavlalnikov signala Kaj takega je po parici ali koaksialnemu kablu nedosegljivo Kapaciteta optičnega kanala 100 Mbits na omenjeni razdalji ni vprašljiva na krajših odsekih pa so na pohodu že kapacitete 100 Gbits
- Brezžične povezave
Med brezžične povezave prištevamo več skupin povezav ki so zasnovane na širjenju elektromagnetnega valovanja skozi prostor Tipične oblike so
- Radijske zemeljske povezave
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 15
Napredno vzdrževanje strojne opreme Učno gradivo
- Mikrovalovne usmerjenje povezave- Infrardeče povezave - Satelitske povezave
Poleg brezžičnih povezav spada v nepogrešljivo komunikacijo tudi telefonsko omrežje Vzdrževanje telefonskega omrežja ima dostop večine opisanih graditeljev računalniških omrežij
Pripravljalne faze naprednega vzdrževanja strojne opreme
- Identificirati pristopne točke pokvarjenih delov strojne opreme- Oceniti storitve pokvarljivosti strojne opreme- Oceniti vrednost investicije za namestitev strojne opreme ter infrastrukturo ki bo
zmogla ocenjene napake opredeliti in načrtovati grobe okvire nove infrastrukture- Zagotoviti vire financiranja nameščanja nove strojne opreme
To sicer ni tehničen problem vendar pa navadno predstavlja nepomembnejše in pogosto najzamudnejše opravilo z dokaj nepredvidljivim izidom
- Opredeliti osnovne izvedbe okvire izvedbe Ti so neodvisni od infrastrukture dinamike financiranja in drugih dejavnikov Že v okviru te faze projekta je potrebno vzpostaviti stike z nameščeno strojno opremo
Večina ljudi čuti naraven odpor do razstavljanja električnih naprav in to z razlogom Proizvajalci drugih naprav vedno svarijo naj jih uporabniki ne odpirajo sami Možnost električnega šoka je prisotna pri vsej strojni opremi Vsi računalniki ne sodijo mednje saj so narejeni tako da jih uporabnik lahko do neke mere sam priredi
Ko nameščamo napredno strojno opremo npr v ohišju moramo najprej izključiti vse napeve
Iz vtičnice potegnemo napajanje za računalnik in za vse naprave ki so nanj priključene Nikakor se namešča napredne strojne opreme dokler je vtikač v vtičnici Ne samo da to škoduje računalniku nevarno je tudi za samega vzdrževalca oz uporabnika
Ohišje je lupina v katero so nameščene komponente ki sestavljajo jedro računalnika Napajalnik (ang power supply) pa je naprava ki pretvarja standardno omrežno izmenično napetost v nižje enosmerne napetosti ki jih za delovanje potrebuje računalnik
Čeprav nekateri pravijo da je to smešno sodita ohišje in napajalnik popolnoma upravičeno na vrh seznama obveznih komponent Brez njiju ni nobenega računalnika Včasih sta drug z drugim neločljivo povezana čeprav raquohodita vsak svojo potlaquo Kakršna vrsta strojne opreme se najprej ugotovi po ohišju ki je pri namiznih računalnikih zelo razkošno V ohišju najdemo prostor za osnovno ploščo z potrebnimi komponentami trde diske različne vmesniške kartice
Hrupa ki je pri stojni opremi v računalniku se lotimo ko reže v ohišju skozi katere priteka zrak v računalnik in ventilator napajalnika povečamo Ko nameščamo napredno strojno
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 16
Napredno vzdrževanje strojne opreme Učno gradivo
opremo mora biti tudi ohišje na primernem zračnem mestu To sicer ne pomeni da moramo računalnik spraviti pod mizo vendar moramo poskrbeti za učinkovit zračni preskok
Ohišja namiznih računalnikov se lahko med seboj močno razlikujejo vsa pa so praviloma dokaj velika in vanje je že vgrajen napajalnik Vgrajeni napajalnik je pri namiznih računalnikih najmočnejši ne pa edini vir hrupa Za hrup je ponavadi kriv ventilator ki skrbi za hlajenje napajalnika ohišje pa velikokrat deluje kot kakšen resonator in hrup še veča
Pri napredni strojni opremi ohišja računalnikov razdelimo na tri skupine
- Plosko ohišje
Ima obliko kvadrata z največjo ploskvijo kot osnovno stranico Navadno ga postavimo na eno od stranskih stranic in tako simuliramo ohišje v obliki stolpa Na voljo je več izvedb ploskih ohišij Tako lahko izbiramo med večjimi in manjšimi ohišji ter med bolj in manj primernimi za odpiranje
- Kompaktni sistemi
Pri kompaktnih sistemih je klasično ohišje računalnika združeno z ohišjem monitorja vanj pa so pogosto vgrajeni še zvočniki in mikrofon Ves računalnik je praktično v enem kosu vanj nista le integrirana le tipkovnica in kazalna naprava Čeprav računalniki po kompaktnosti približujejo prenosnim računalnikom Se za stalno prenašanje vseeno nekoliko okrni Kompaktni sistem je prava izbira če računalniku ne želite nameniti več prostora kot ga potrebuje povprečen monitor ali če se vam prenosni računalniki ne zdijo primerni zaradi cene oz premajhne tipkovnice
- Ročni računalniki so strpani v najmanjša ohišja kar jih je To ni nič čudnega saj morajo biti tako majhni da jih je mogoče med uporabo držati v roki Po velikosti lahko računalnike primerjamo z nekoliko boljšimi računali
- Osnovne plošče
Računalnik je skupek komponent
Tako delimo strojno opremo znotraj ohišja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 17
Napredno vzdrževanje strojne opreme Učno gradivo
3 slika pri CD-ju in CD romu je možno popravljanje napak
Če nameščamo vse tiste komponente ki jih osnovne plošče vgradijo izdelovalci računalnika ali jih nanje namestijo sestavljavci računalnikov glede na želje uporabnikov ali želje kupcev
- Procesor
Kljub pomembnosti je procesor najbolj odgovorno in je pri naprednem vzdrževanju potrebno ločeno kupiti ali popraviti od osnovne plošče Na njej je podnožje kamor ga sestavljavec računalnika lahko zamenja ali nadomesti z bolj zmogljivim Izdelovalci plošč skrbijo da je posamezna osnovna plošča uporabna z celo družino procesorjev včasih celo z različnimi družinami Družine se seveda razlikujejo po oznakah Večina korporacij med strojno opremo še posebno v zadnjem času se razlikuje po hitrosti delovnega takta frekvenci prenosa in zmogljivosti
3 NAČRTOVANJE STROJNE OPREME
Načrtovanje strojne opreme lahko izbiramo ob nakupu primernih računalnikov s pomočjo svetovalca serviserja ali vzdrževalca informacijske opreme Uporabe računalnikov in posebnih programov v proizvodnji in arhitekturi postavitve linijskih proizvodnji procesov urejajo posebni programi CAD
Za izdelavo prevodnikov in polprevodnikov na matični plošči oz integriranih vezij lahko srečamo naslednje kovine
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 18
Napredno vzdrževanje strojne opreme Učno gradivo
Krom barij iridij svinec paladij tantal arzen berilij baker zlato kadmij
Pri gradnji informacijske opreme in sistemov na osnovi mikroprocesorjev potrebujemo dodatne elemente rečemo jim raquopodporni elementilaquo To so periferni adapterji časovna vezja DMA krmilniki množilniki frekvence ROM in RAM pomnilniki Na osnovi fizičnih diskov pa imamo povezave IDE ter SATA vmesnikov - RAID diskov v samem ohišju računalnika
V tem času je podjetje Intel še razvilo večjedrsko delitev v enem procesorju kar pomeni da si vsa jedra morajo deliti predpomnilnik dostopnost do pomnilnika ter usklajeno delovati in imeti povezave do ostalih elementov Procesorji s porabo in zmogljivostjo Teraflop že omogočajo prepoznavo govora obraza in rokopisa Hitrost zmogljivosti število jeder ter odvajanje toplote pri mikroprocesorjih se bo eksponentno povečevalo (Intel source view 2010)
Vprašanja za ponavljanje
Kaj je več jedrski procesor Kaj je to napredni RAM Razišči in opiši katera napredna strojna oprema je na slovenskem trgu
34 Napredni operacijski sistemi
V naprednih strojnih vodah je znana večja prepoznavnost Windows XP operacijskega sistema ki ga ob nakupu lahko nastavimo in kasneje enostavno vzdržujemo
Vgrajena orodja znotraj OS-a
Raziskovalec (computer managment ) Register Nadzorna plošča in spremljajoči programi ter nastavitve
Kot pri vsaki informacijski opremi je preventiva vedno najprimernejša
V OS Windows XP_Nadzorni plošči_Computer managment imamo vsa navodila in upravljanje z napakami in popravki tako programske opreme napake na trdih RAID diskov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 19
Napredno vzdrževanje strojne opreme Učno gradivo
namestitev gonilnikov starih verzij programske opreme sistemske in aplikativne napake ter odstranitev vseh uporabnikov ki niso več priključeni v informacijski sistem
Nameščanje in odmeščanje strojne opreme (gonilnikov matične plošče uporabnih vhodnih -izhodnih enot sistemske strojne opreme ter do končnega cilja namestitve Odmeščanje ali odstranitev strojne opreme pri napredni strojni opremi pa je v okolju Windows XP narejeno z posebnimi odnamestitvenimi programi istega proizvajalca oz operacijskega sistema v našem primeru preko Windows nadzorne plošče
Register ki beleži vse namestitve ter spremembe programov znotraj le-tega ima funkcijo spominanja zatorej mora računalnikar uporabiti zmogljiva vzdrževalna orodja ki pretekle namestitve strojne opreme pobrišejo veliko hitreje kot pa uporabnik
Zaščita strojne opreme na uporabniškem nivoju poteka preko dodatnih požarnih zidov z nekaj 1028 bitnim ključi in več V primeru povezav veš računalniških sistemov in mrež znotraj LAN-a imajo najnovejša strojna oprema že nameščene programe za požarni zid znotraj HW proizvoda
3 slika primer brezžične matične plošče
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 20
Napredno vzdrževanje strojne opreme Učno gradivo
i Navodila za izdelavo tehničnega poročila
Kakovostna in po navodilih nadrejenega vzdrževalca - računalnikarja morajo biti zapisana v točno določenem Word formatu z primernim oblikovanjem in zapisom
Struktura naj bo sledeča
Naslovnica
Na njej je logotip Ljudske Univerze Radovljica naziv predmeta ime in priimek dijaka (tehničnega poročila seminarske oz pogodbenika) ime in priimek mentorja mesec in leto izdelave
Povzetek
V nekaj stavkih se povzame vsebino tehničnega poročila seminarske naloge oz naprednega nameščanja strojne opreme
Kazalo vsebine
Je izdelano na podlagi uporabe slogov za naslove Nivoji naslovov naj dosegajo največ nivo 3 (123)
Kazalo slik
Slike ki so uporabljene v nalogi morajo imeti napise Kazalo slik je izdelano na podlagi uporabe sloga za napise (arial 8 pt)
Poglavje uvoda
V tem poglavju se na eni strani strne in izbere kratko in jedrnato uvodna misel avtorja Namen uvoda je da bralca seznani z postopoma brano tematiko v gradivu
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 21
Napredno vzdrževanje strojne opreme Učno gradivo
Ostala poglavja
Nato sledijo ostala poglavja kot si jih je zamislil dijak
Povzetek
V povzetku se na kratko povzame obravnavan tema in nakaže morebitne težave in priložnosti pri obravnavanju tematike
Literatura
Zaradi avtorskih pravic in nelegalnega kopiranja inovacij predvsem tehničnih izumov se vedno navaja vire in informacije od tam kjer je avtor napisal strojno pogodbo tehnično poročilo ali seminarsko nalogo
Literatura zavzema spletne naslove podjetij gradiv časopisov revij in knjižnih strokovnih knjig
-------------------------------------------------------------------------------------------------------
Velikost pisave je 12 ali 14Pt
Vrsta pisave je Times New Roman
Slogi napisov
Naslov 1 pisava Cambria velikost 14pik krepko
Naslov 2 pisava Cambria velikost 13 pik krepko
Naslov 3 pisava Cambria velikost 12 pik krepko
Jezik
V strokovno-znanstveni literaturi je uporaba knjižnega jezika in urejevalnika besedil smiselna V primeru da je prevod izraza v tujkah se v oklepaju navede vrsto tujega jezika in prevod Primer
RAM (ang Random Access Memory)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 22
Napredno vzdrževanje strojne opreme Učno gradivo
Obseg
Tehnično poročilo je predvideno do 4 strani v primeru modula M8
Vzdrževalna pogodba je kratka in po členih pravno definirana v obliki medsebojnega dogovora naprednega vzdrževanja strojne opreme ter lastnika zastarele strojne opreme
Seminarska naloga je definirana glede na temo ni vrsto seminarske zatorej je priporočljivo imeti navodila strani- obsega ob začetku pisanja
Vprašanja za ponavljanje
Kakšno je tehnično poročilo
Zakaj je strojna oprema potrebna naprednega vzdrževanja ob koncu leta
Kakšne vrste pogodb o namestitvi strojne opreme poznaš v IT-ju
Kako izgleda licenčna namestitev strojne opreme Glej primer HW podjetij ki uporabljajo strojno opremo IBMHPLogitech ipd
Spletni brskalniki
Glede na naravo dela in poznavanje novih strojnih namestitev ter naprednih oprem ki nastajajo v posameznih multunacionalnih laboratorijih in proizvodnih procesih mora računalnikar biti seznanjen z novimi produkti oz strojno opremo v sodobnem času
Uporabo dostopa do wwwgooglecom wwwhpcom wwwibmcom wwwapplecom mu omogočajo pri velikanski izbiri na trgu da poišče primerno opremo proizvajalca zamenjati določen zastarel že servisiran produkt mikroprocesor izh-enoto ipd
Za brskanje po spletu je važno da se spozna na prodajo in uporabo strojne opreme kot tudi posameznih enot Oprema ki jo bo vzdrževal ima neko serijsko številko oziroma namestitveno pogodbo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 23
Napredno vzdrževanje strojne opreme Učno gradivo
Diski in na njem zaupni podatki strojna oprema ponarejanje in zamenjava s slabšimi produkti dolgoročne ne vodi računalnikarja tako do osebnega kot tudi poslovnega uspeha Res je da je mnogo različno kakovostnih produktov strojne opreme na trgu vendar tudi zloraba pri naprednem servisiranju in vzdrževanju prinašata posledice
Računalnikar se bo na terenu srečeval z identitetami računalnikov podjetij organizacij ki so po svoji naravi različna
Kot primer navajam uporabniške skupine strojne opreme ki so privrženci za Apple ter uporabniki oz privrženci za IBM Vsi bodo hvalili in zagotavljali boljšo kvaliteto in kakovost svoje strojne opreme
Zatorej vedno v tehničnem poročilu navedemo stanje strojne opreme pred našim prihodom in po tem ko smo jo le-to vzdrževali
Tako se profesionalno in komunikacijsko obnašamo s stranko kot pravi računalnikar z veliko odgovornostjo
Napredno svetovanje in pomoč uporabnikom strojne opreme
Pri pomembnosti komunikacije s s stranko moramo torej uporabljati pravila profesionalnega vedenja do stranke
Analizirati učinkovitost obstoječe strojne opreme Svetovati napredne matične plošče procesorje vodila Upoštevati različne strojne zahteve glede na namembnost osebnega računalnika Upoštevamo pomembnost shranjevanja dokumentacije vsaj 4 leta
S stranko je važno da vedno komuniciramo prijazno spoštljivo in umirjeno Kot svetovalec oz napredni računalnikar si lahko informacije o strojni opremi izmenjujemo preko strokovnih forumov novičarskih fan-tehničnih skupin (Apple HP Microsoftipd) ali pa smo povezani preko help-desk podpore na lokalnem zaščitenem omrežju kjer odpravljamo napake na terenu takoj
Zelo pomembna je tudi hitra odzivnost hitro in natančno odpravljanje napak poštenost do stranke ter na koncu primerna cena napredne strojne opreme vzdrževanja
Vprašanja za ponavljanje
Kaj je to komplet čipov
Kaj je osveževanje podpisana pogodbe o strojni opremi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 24
Napredno vzdrževanje strojne opreme Učno gradivo
Kaj je to etičnost in morala pravočasne namestitve napredne strojne opreme
4 Tveganje pri upravljanju napredne strojne opreme
Ko izrečemo ali preberemo besedi raquotveganje upravljanja napredne strojne opremelaquo se ne zavedamo da je tveganje skrito že kar v prvi besedi raquoupravljanjelaquo Tisti ki so odgovorni za upravljanje se tega namreč premalo ali sploh ne zavedajo Tveganja ki se v pri strojni opremi ter poslovnih subjektih na tem nivoju kažejo so
- nikoli dovolj resursov- cilji so nejasni- ni definirane politike standardov- število tveganj je preveliko ne ve se katera strojna oprema je najbolj pomembna- ni kulture
Sicer pa prevladuje prepričanje da se verjetno ne bo nič zgodilo Opisano ni zgled vodstvaZato moramo v svojo organizacijo sistematično s celostnim pristopom vpeljatiupravljanje tveganj Za drugo besedo raquotveganjelaquo se lahko vprašamo na kajnajprej pomislimo v vsakodnevnem življenju ko jo slišimo Najbrž pomislimo dalahko nekaj z določeno verjetnostjo izgubimo Preprosto sklepamo kaj in koliko lahko izgubimo ob neljubem dogodku to opredelimo z raquoresnostjolaquo verjetnost da izgubimo paobičajno opredelimo kot raquofrekvencalaquo pojavljanjaTo da se zgodi tisto česar v bistvu ne želimo je naša raquoranljivostlaquo če se ustreznoodzovemo ali reagiramo na tak dogodek pomeni da smo v aktivnostih privzelidoločene raquoobrambnelaquo mehanizme in zmanjšali raquoizpostavljenostlaquo tveganjemPri obravnavanju tveganj se izvajajo procesi analize ocene in rešitve kar lahkoopredelimo kot raquoupravljanjelaquo Resnost se meri z vrednostmi ovrednotimo jo finančnotorej določimo znesek Verjetnost pa merimo oz ocenimo s številom dogodkov včasovnem obdobju največkrat na leto Seveda bomo pozorni in dogodke spremljali dotiste varnosti in zaščite ki sta primerni sprejemljivi in hkrati skladni z našimivrednotami standardi in ekonomskimi zmožnostmi V bistvu so stvari boljkompleksne vsekakor je pomembna hitrost v odzivnosti Če želimo obravnavati inprimerjati tveganja moramo primerjati razsežnosti tveganj Ni rečeno da so tveganjanizka po vrednosti in visoka po frekvenci z enakim učinkom itd Zanimivo je da so vZDA in anglosaksonskem svetu upravljanje s tveganji vzeli kot tekmovalno prednostmedtem ko je v EU to bolj posledica regulative
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 25
Napredno vzdrževanje strojne opreme Učno gradivo
41 Spremembe pri strojni opremi
Spremembe so silovite Hitro se razvijajoča informacijska in telekomunikacijskatehnologija zahteva nove poslovne modele Gonilniki sprememb vplivajo na poslovnesubjekte ki morajo biti prilagodljivi hitri in hkrati varni Vse to med drugim prinašanegotovost znotraj poslovnega sistema pa tudi v zunanjem okolju Obvladovanjesprememb zahteva izjemne intelektualne napore saj so pritiski na poslovne subjekteveliki Prihajajo s strani zahtev regulative zakonodaje varnosti standardov nadzorakontrol konkurence itd Odražajo se v vrednostnih pogajalcih za PS kot soohranjanje rasti stroški in učinkovitost načrtna razdelitev kapitala in prioritetno sejim pridružuje upravljanje s tveganji torej investiranje v varnost Ključna tveganja vteh transformacijah so tako strateška kot procesna Sem sodijo informacijski sistemi(IS) infrastruktura tehnologija stranke partnerji konkurenca in intelektualni kapital -človeški viri itd Vsako od omenjenih tveganj je sicer možno omiliti ali odpravitivendar je potreben holistični pristop standardizacija privzemanje kulture tveganjpotrebno je kreirati program upravljanja tveganj program varnosti vpeljatiupravljanje znanj integralna orodja za tveganja orodja za analize scenarijev insimulacij uvesti nove discipline in metrike ter dobro prakso In kakšna je potem cenavarnosti Ni univerzalnih navodil ni garancij za uspeh ker v globalnem svetunenehno nastajajo nova tveganja V mreži poslovnih verig so medsebojno odvisna Vnadaljevanju je nakazano strukturno razumevanje oziroma pristop k upravljanjutveganj informacijske tehnologije (IT) kot podpore IS-mu in procesom v poslovnihsistemih ne glede na to kateri industriji poslovni subjekt pripada
V področje upravljanja s tveganji IT (UT-IT) vsekakor spadajo informacijski sistemi[1] IT viri procesi projekti in druge danosti ter kategorije povezane z IT Področjezajema vsa operativna tveganja kot posledice Človeških in tehnoloških napak Jeizjemno široko kompleksno interdisciplinarne narave s poudarkom na ustreznemrazumevanju konceptov z več področij (varnost tveganja nadzor (revizije)neprekinjeno poslovanje) Izhodišče so informacije ki jih podpira IS kateregaomogoča informacijska tehnologija v vsaki organizaciji Informacije potrebujejoanalizo tako domene IS kot poslovne domene Informacije so vitalen vir vsakeposlovne enote zato so tudi tarča napadov z različnimi motivi in vplivi na poslovanjeUT-IT tako zajema uporabnike IT organizacijo IT in njeno dejavnost kot storitevkončnim uporabnikom
IT organizacija mora biti ustrezno organizirana da zagotavljaposlanstvo varnosti učinkovitosti IS in dostavo storitev Zato imavarnost v organizacijah več oblik Odvisne so ena od druge inpredstavljalo celotno varnost (fizičnondashtehnično varnost in upravljalnisistem informacijske varnosti)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 26
Napredno vzdrževanje strojne opreme Učno gradivo
Pogled na strukturo IT organizacije je priporočljiv z več vidikov in dimenzijPredstava v prostoru je znana IT raquokockalaquo Med IT vire pa na splošno opredeljujemo
- ljudi- aplikacije- tehnologijo- podatke- Podporo-
Taka struktura je pomembna za odpravljanje tveganj v IT organizacijah namrečzajema tako procese kot več disciplin in upravljanje dejavnosti IT organizacije S temdemonstriramo funkcionalnost ki zagotavlja kvalitetno storitev IT Taka strukturaomogoča boljšo dostavljivost IT rešitev kar pomeni učinkovitost IS in zmanjšanjedoločenih tveganj med njimi tudi usklajevanje poslovnih ciljev najvišjega vodstva zIT
Ker izhajamo iz informacije poglejmo njene lastnosti Glavni kriteriji za ocenjevanjeso zaupnost integriteta in razpoložljivost Metoda UT-IT pa je skupni imenovalec zaanalizo neprekinjenemu poslovanju [4] projektnemu vodenju [5] drugim disciplinamin revizijam ter informacijskim varnostnim tveganjem Tveganja iz naslovainformacijske varnosti lahko do določene stopnje primerjamo s kontrolami [6] S tegavidika kontrole zmanjšujejo tveganja in so povezane z revizijami (notranjimi inzunanjimi) Pri tem se opirajo na preglede v katerih se ugotavljajo primernost inskladnost varnostne arhitekture ter učinkovitosti izvajanja upravljanja tveganjTudi odločitve običajno temeljijo na informacijah če so informacije mehke pride doizraza večja negotovost in odločitve ki se sprejemajo lahko pripeljejo do usodnihdogodkov v katerih se tveganja uresničijo in nastajajo izgube v poslovanjuDefinicij informacije je precej Velja da je to vir vsakega poslovnega subjekta Takopridemo do vrednosti informacije kot vseh drugih vitalnih vrednih virov v poslovnemsistemu Prav neustrezno ravnanje z informacijami povzroča velika tveganja ininformacijsko nestabilnost Dejstvo je da se mora v digitalni ekonomiji in globalnemsvetu poleg socialne finančne in ekonomske stabilnosti upoštevati tudi informacijska
Pri poslovanju so vsekakor pomembni procesi ki so predmet obravnave na področjuupravljanja tveganj IT Tako UT-IT opredeljuje in zajema tudi operativna tveganja Izpraktičnega vidika je v poslovnem sistemu veliko procesov ki se nadalje delijo napodprocese in aktivnosti temeljni in podporni Toda vsi morajo biti raquooptimalnilaquovodeni in nadzorovani Precej kompleksnosti naraste v informacijskem sistemu ki gapodpirata informacijska in telekomunikacijska tehnologija Zato je za področje UT-ITsmiselno uporabiti okvir COBIT Ta standard se lahko uspešno privzame tudi pri samiorganiziranosti in definiciji procesov v organizacijah ITUT-IT je prav tako proces v katerem se proučuje in obravnava IS-me Sem spadajotudi nevarnosti ki pretijo poslovnemu sitemu IS-mu IT organizaciji njeni storitveni
dejavnosti torej vsem virom v sistemu kakor tudi drugim poslovnim subjektom vposlovni verigi V njej so tehnološke razdalje med subjekti izjemno ranljive saj nasvoji poti informacije doživljajo spremembe procesi v katerih se to dogaja pa so semorali razširiti izven okolja posamezne organizacije ali PS Pot je posejana z
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 27
Napredno vzdrževanje strojne opreme Učno gradivo
nevarnostmi različnih izvorov tako da se tudi tveganja in njihovi vplivi na poslovanjeodražajo z različnimi učinki Poglablja se tveganje e-poslovanja gre za takoimenovana e-tveganja Biti brez varnosti v realnem času in hitre odzivne funkcije natveganja ter nepredvidene dogodke je lahko za poslovanje silno usodno Zatoobstajajo različne strategije orodja in načini za zdravljenje tveganj ki skupajpredstavljajo obrambne mehanizme organizacije Pri tem je pomembno zavedanje inizobraževanje ter neprestano usposabljanje strokovnjakov na teh področjihOperativna tveganja so izrazito povezana z internimi procesi in jih posamezneindustrije že obravnavajo vsekakor pa jih bo morala vpeljati finančna industrija zlastiban1048830ni sektor ki bo moral biti skladen z Baselskim II standardom in EU (CAD)direktivami Standard namreč zajema potencialne izgube tudi iz naslova operativnihtveganj ne glede na interne ali zunanje dejavnike Osredotočen je na objavopotencialnih izgub za vse poslovne linije organizacije po določeni strukturi poročanjaglede kapitalske ustreznostiKo pogledamo v bančni sektor je osnovni namen obvladovanja inupravljanja s tveganji v bankah zagotavljanje njene plačilnesposobnosti Med različnimi načini za uresničevanje tega cilja je naprvem mestu institut minimalnega kapitala in zagotavljanje potrebnekapitalske ustreznosti banke o katerem govori Basel IIDelež kapitala v celotni bilančni vsoti je pri bankah mnogo manjši kot pri drugihorganizacijah in podjetjih Tudi njegova funkcija je drugačna Kot najpomembnejšafunkcija bančnega kapitala se ponavadi navaja zaščita vlagateljev Bančni kapitalpoleg tega omogoča nadzornim institucijam omejevati obseg tveganih dejavnosti bankin hkrati omogoča banki financiranje njenih osnovnih sredstev Ker so upniki bankmnožice posameznikov ki imajo pri teh bankah praviloma vloge na vpogled alikratkoročno vezane vloge in ker je takrat ko banka postane nelikvidna ponavadi žeprepozno saj je takrat banka praviloma že nesolventna je velikost bančnega kapitalajavna zadeva
Filozofija današnje bančne regulative je dopustiti zdravo konkurenco med bankami inhkrati zagotoviti njihovo disciplino prek predpisovanja minimalnih kapitalskih zahtevBaselski standardi so vplivali na oblikovanje evropskih smernic za banke Polegstandardizirane metodologije za računanje potrebnega kapitala za pokrivanjeomenjenih tveganj so navedeni potrebni pogoji za uporabo internih modelov bank zamerjenje tveganj med njimi operativno tveganje (uporabniki IT in IT organizacij)
Obseg in narava tveganj s katerima se srečujejo banke sta odvisni od narave njihovihposlov Pri tradicionalnih bančnih poslih (dajanje posojil iz prejetih depozitov) se kotglavna tveganja pojavljajo kreditno tveganje (tveganje dolžnikove nezmožnosti alinepripravljenosti izpolniti obveznosti iz naslova kreditne pogodbe) tržnolikvidnostno tveganje (tveganje da banka v določenem trenutku ne more poravnativseh svojih dospelih plačilnih obveznosti) tveganje spremembe obrestne mere(tveganje da bo postala pogodbeno določena obrestna mera drugačna od tržne in dabo banka utrpela izgubo iz tega naslova) ter operacijsko tveganje (tveganje ki mu jebanka izpostavljena zaradi možnih človeških napak torej internih procesov napaktehnologije in zunanjih dejavnikov (gre tudi za prevare poneverbe pranje denarjaoperativne izgube pravne ter druge stroške ki jih banka nosi v primeru njihoveganastanka)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 28
Napredno vzdrževanje strojne opreme Učno gradivo
Z bankami so povezani poslovni subjekti in vsi morajo zagotavljati varno poslovanjeTveganja so precejšnja saj vsi PS ne morejo zagotavljati enako učinkovitihprotiukrepov in varnostnih mer Pogljablja se tudi STP e-poslovanje nastajajo eskupnostiIS-mi se pogovarjajo med seboj brezžične komunikacije nujno jeprivzemanje standardov in različice XML protokola vse različne storitve potrebujejoUT-IT Področje je v razmahu in lastniki ter nadzorni sveti bodo moralikontrolirati operativne izgube in učinkovitost IS NS bodo imeli vlogo potrditvestrategij UT-IT uprave oz vodstva pa bodo morali dokazati skladnost s standardi inmetodami
Primerov storitev ki jih lahko obsega napredno vzdrževanje strojne opreme v UT-IT
spremljanje tehnoloških novosti povezanih z vzdrževano opremo ter priprava predlogov in ukrepov za nemoteno delovanje oz izboljšanje njenega delovanja
zamenjava delov strojne opreme
namestitev varnostnih popravkov na strežniško infrastrukturo
namestitev varnostnih popravkov na delovne postaje in prenosnike
periodično preventivno vzdrževanje strojne opreme
dokumentiranje storitev vzdrževanja
popravilo in odstranitev vseh pomanjkljivosti odkritih med preventivnim pregledom
pomoč sistemskim administratorjem in uporabnikom odgovori na vprašanja in svetovanje glede uporabe vzdrževane infrastrukturne opreme na lokaciji naročnika oz uporabnika
izredni kontrolni nadzor nad delovanjem infrastrukturne opreme po dogovoru z naročnikom
nadgradnja strežnikov delovnih postaj in prenosnih računalnikov
nadgradnja komunikacijske opreme
daljinska pomoč preko telefona elektronske pošte faksa ali daljinskega dostopa pri reševanju problemov uporabnikov odgovori na vprašanja in svetovanje glede uporabe vzdrževane strojne opreme
Osnovno popraviloStrokovnjak bo preveril delovanje računalnika opredelil napako in jo odpravil V to storitev se uvršča odprava manjših napak na računalniku
Storitev vsebuje diagnostiko težave in njeno odpravo v primeru da gre za manjšo napako Med manjše napake sodi ponovna namestitev gonilnikov popravilo napačnih nastavitev v programski opremi ponovna namestitev programov itd
V primeru da sestavljamo ob nakupu nov računalnik z dodatno opremo moramo poskrbeti da bomo da za nakup dobili najboljšo ponudbo računalnika ali računalniške opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 29
Napredno vzdrževanje strojne opreme Učno gradivo
Pri sestavi sistema bomo upoštevali vaše potrebe ter dosegli najboljše razmerje med ceno in zmogljivostjo Poudarek je na individualnem svetovanju katerega namen je kar najbolje poskrbeti za želje uporabnika V ta sklop sodi poleg svetovanja za nakup računalnika tudi svetovanje o ostalih perifernih napravah (tiskalniki usmerjevalniki itd)
Pristop k osnovanju UT-IT
Težko je odgovoriti ali se odzvati na vsa tveganja brez ustreznega znanja Splošnoznano je tudi da se iz podatkov procesirajo informacije in iz njih znanje ki ga jesmiselno takoj uporabiti Gre za znanje poslovnega subjekta v celoti in nekateraspecialna znanja za katera je potrebno zagotoviti da so v pravilnem kontekstu in napravem mestu Upravljanje znanj (UZ) ima lahko odločilno vlogo pri strategiji zavpeljavo področja upravljanja tveganj IT v vsakodnevnem poslovanju UZ zmanjšaraquokorporacijskolaquo izpostavljenost tveganjem Zato je pametno zbrati vse ustrezneinformacije strukturirati znanje v kontekst ali okvir v katerega bodo vnesene vsebinepotrebne za UT-IT Kreiranje portala in repositorija za upravljanje tveganjopredeljujemo kot podporno infrastrukturo področju V repositoriju sopredefinirane strukture Zaposlenim so na voljo v obliki zemljevidov raquomaplaquo kikažejo na vsebine in povezave med njimi ter omogočajo polnjenje vsebin Pridoločanju vsebin lahko sodelujejo vsi želeno je da se v organizaciji na področjutveganj in varnosti ustvarja intelektualni potencialUpravljanje
Tveganj IT5Varnost
Metoda je opredeljena kot množica korakov (algoritem ali navodilo) uporabljenih zaizvršitev naloge (dela posla) Metodologija je nekako širši pojem in predstavljamnožico orodij lahko raziskovalne metode ali razlago teorije vodenja v vodstvenoprakso Torej metodologija organizira teorijo v nekaj razumljivega Ker je na voljo večpristopov metodologij in metod pri upravljanju tveganj bi torej metodologijopredstavljalo orodje za podporo odločitvenim sistemom iz področja UT-IT Tehnik inmetod je dejansko več katere bomo uporabili za različna področja in položaje toterja tehtni premislek
Slika 4 Zunanji disk WD Passport (klikni na sliko
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 30
Napredno vzdrževanje strojne opreme Učno gradivo
V glavnem so osnovane na točkovnih in statističnih metodah kvalitativni inkvantitativni tehniki Znana je enačba tveganj ALE (letnih pričakovanih izgub)Smiselno pa je privzeti metodo standarda BS7799 [10] ali ISO17799 za informacijskovarnost Smiselno je da bi vse industrije prevzele standard PSIST7799 (prevod) kivelja v državi od 13 6 2000 za bančni sektor (z dopolnitvami)Poslovni subjekti lahko uporabljajo lastno razvite tehnike in tehnologije zaidentifikacijo in analizo tveganj Za različne poslovne procese kot so vodenjesprememb združevanja in prevzemi raquocorporate governancelaquo strateško planiranje invrednotenje lahko privzete kvalitativne ali kvantitativne identifikacije tveganj inanalitske tehnike dodajo značilno vrednost za različne poslovne položaje in področjaUveljavljajo se metode analize scenarijev in raquoscorecardslaquo ter druge statistične metoderazne simulacije (Monte Carlo) itdTipično je da se simulacijski modeli uporabljajo za odločitve o sestavi realnihsistemov in za odločitve o politiki in postopkih ki jih uporabljamo pri delovanjurealnih sistemov Simulacija pomaga pri določanju sestave politike in postopkov vnegotovih torej tveganih pogojih okolja sistema Manager poskuša z modelom kotnadomestkom za realni sistem z uporabo različnih vhodnih podatkov in postopkovdoseči na osnovi dobljenih rezultatov pri simulaciji lažje odločanje pri vodenjurealnega sistema Vendar mora biti pri tem pazljiv in rezultatov dobljenih ssimulacijo ne more kratkomalo prenašati v realni svet Model in simulacija lahkopomagata bolje spoznati delovanje realnega sistema ne moreta pa zagotoviti raquopraveizbirelaquo za realni sistem Pri upravljanju tveganj IT lahko preveč subjektivne ocenepovzročajo nova tveganja predvsem na področju zunanjih virov (outsourcinga) invodenja pogodbZa UT-IT je na voljo dovolj modelov orodij programov in vzorcev ki jih lahkouporabimo v svojem poslovnem okolju Priporoljivo je da vsak poslovni subjektkreira sebi ustrezen model glede na specifiko vendar mora izvajati ovrednotenje da jeskladen s standardi in regulativo Standardi so uveljavljeni in nudijo dovolj velik okvirza njihovo privzemanje in funkcijo uporabe
Pregledni model UT-ITV podporo modelu UT-IT je že potreben omenjeni portal kot rezultat procesov priupravljanju znanj in repositorij kjer se shranjujejo potrebne vsebine in nastaja bazaznanja o dogodkih in tveganjih ter obrambnih mehanizmih Portal služi tudi zaizobraževanje Vsebine predstavljajo sezname in infostrukture od standardov doobrazcev ki se uporabljajo v posameznih fazah ali procesih analize in v obravnavanjutveganj Zbrani so tudi vsi principi zakonodaja politike procedure metrika procesiin tokovi informacij kakor tudi vnos v register tveganj zajem nevarnosti popis vsehkontrol varnostni mehanizmi in seznam protiukrepov vse to za dogodke in scenarijeki se lahko ali so se že zgodiliZa področje UT-IT se kreirajo smernice za posamezne entitete ali subjekte ki sovključeni kot participatorji ter navodila kako se izvajajo aktivnosti Učinkovitost sedoseže s poprej določenimi infostrukturami standardizacijo in povezavami medpodročji ter odnosi med entitetami ali objekti ki tvorijo sistem upravljanja tveganj IT
Kreiranje konteksta ali takšnega okvira je možno ker so v glavnem poznane vsestrukture in gradniki UT-IT in želenega sistema varnosti Dovolj predlog je že naInternetu zato je smiselno področje pregledati in izbrati želene infostrukture Posebnerazlage niso potrebne UT-IT se odvija po projektnih principih s skupinami ki so
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 31
Napredno vzdrževanje strojne opreme Učno gradivo
strokovne na svojih področjih Prav tako se v skupinah (samovodljivo) ocenjujejotveganja in definirajo strategije rešitev za identificirana tveganjaPodročje UT-IT je lahko služba ki je neodvisna in samostojna organizacijska enota v vrhu vodstva organizacijeIZVAJANJEOKVIRKaj kako s 1048830i
- Komunikacijski krogi
Bistven gradnik UT-IT predstavljajo komunikacijski krogi (KK) med področji inodgovornimi ali delegiranimi sodelavci po poslovnih linijah Le-ti predstavljajo raquokomunikatorje tveganjalaquo ki so povezani prek sistema zgodnjega opozarjanja inizvajajo vnos dogodkov ter podatkov za analize tveganj in ocenjevanje vpliva naposlovanje Izkušena skupina določi tudi ustrezne protiukrepe in varnostne mere ter jihposreduje lastnikom tveganj Ti s strokovnjaki za posamezna področja pripravijostrategijo rešitve in jo predstavijo (kot zagovor) odgovornim za področja da se posoglasju lahko izvedejo Področje UT-IT spremlja in spet ocenjuje učinke terrezidualna tveganja Zaradi narave tveganj in inherentnih tveganj IT so tovsakodnevne aktivnosti upravljanje tveganj in varnosti pa je vodstvena funkcijaObstaja še pomembna lastnost in specifika da področja varnosti in tveganj pripadajovsem zaposlenem v organizaciji zato so komunikacijski krogi in pravočasnoinformiranje nujniZa operacijsko kvaliteto v organizaciji je potrebno definirati oz določiti dimenzijo vkateri se meri kvaliteta Značilne so tri dimenzije (kriteriji)
- primernost in funkcionalnost- varnost in zanesljivost- razpoložljivost in dostopnost
- Metrike
-Tveganje je objektivizirane negotovosti glede na možnost pojavitve nezaželenegadogodka merjenje negotovosti in negotovosti izgube Negotovost nastane zaradipomanjkanja informacij o nekdanjih sedanjosti in prihodnjih dogodkih vrednostih inpogojih Ne glede na različne stopnje negotovosti je osnova koncepta negotovosti vpomanjkanju informacij o delih sistema ki ga obravnavamo ali opazujemo Zmanjšanje tveganj mora biti motiv za organizacijo Zmanjšanjestopnje negotovosti je korak k opredelitvi kaj je lahko narejeno zazmanjšanje izpostavljanju tveganj Kakšno metriko uporabimo jeodvisno od tega kaj želimo meriti obravnavati spremljati izboljšatiitdOceniti tveganje pomeni ovrednotiti koliko lahko prenesemo oz izgubimo če seneljubi dogodek zgodi in pri tem izgubimo npr kar posedujemo Ali predstavlja to zanas vrednost in kako pogosto se ti dogodki pojavljajo so začetna razmišljanja ko greza tveganja in reakcije na njihLahko trdimo da je tveganje vedno ocenjeno z analizo scenarijev kar pomenivrednotiti možne izgube in frekvenco verjetnosti možne škode Toda v kakšnemobsegu in po katerih predvidevanjih Vsekakor je pri ocenjevanju tveganj medkvalitativno in kvantitativno analizo razlika Smiselno je obravnavanje analizetveganj Še tako dobro zastavljena varnostna politika brez izvajanja in kontrole ne
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 32
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
- Mikrovalovne usmerjenje povezave- Infrardeče povezave - Satelitske povezave
Poleg brezžičnih povezav spada v nepogrešljivo komunikacijo tudi telefonsko omrežje Vzdrževanje telefonskega omrežja ima dostop večine opisanih graditeljev računalniških omrežij
Pripravljalne faze naprednega vzdrževanja strojne opreme
- Identificirati pristopne točke pokvarjenih delov strojne opreme- Oceniti storitve pokvarljivosti strojne opreme- Oceniti vrednost investicije za namestitev strojne opreme ter infrastrukturo ki bo
zmogla ocenjene napake opredeliti in načrtovati grobe okvire nove infrastrukture- Zagotoviti vire financiranja nameščanja nove strojne opreme
To sicer ni tehničen problem vendar pa navadno predstavlja nepomembnejše in pogosto najzamudnejše opravilo z dokaj nepredvidljivim izidom
- Opredeliti osnovne izvedbe okvire izvedbe Ti so neodvisni od infrastrukture dinamike financiranja in drugih dejavnikov Že v okviru te faze projekta je potrebno vzpostaviti stike z nameščeno strojno opremo
Večina ljudi čuti naraven odpor do razstavljanja električnih naprav in to z razlogom Proizvajalci drugih naprav vedno svarijo naj jih uporabniki ne odpirajo sami Možnost električnega šoka je prisotna pri vsej strojni opremi Vsi računalniki ne sodijo mednje saj so narejeni tako da jih uporabnik lahko do neke mere sam priredi
Ko nameščamo napredno strojno opremo npr v ohišju moramo najprej izključiti vse napeve
Iz vtičnice potegnemo napajanje za računalnik in za vse naprave ki so nanj priključene Nikakor se namešča napredne strojne opreme dokler je vtikač v vtičnici Ne samo da to škoduje računalniku nevarno je tudi za samega vzdrževalca oz uporabnika
Ohišje je lupina v katero so nameščene komponente ki sestavljajo jedro računalnika Napajalnik (ang power supply) pa je naprava ki pretvarja standardno omrežno izmenično napetost v nižje enosmerne napetosti ki jih za delovanje potrebuje računalnik
Čeprav nekateri pravijo da je to smešno sodita ohišje in napajalnik popolnoma upravičeno na vrh seznama obveznih komponent Brez njiju ni nobenega računalnika Včasih sta drug z drugim neločljivo povezana čeprav raquohodita vsak svojo potlaquo Kakršna vrsta strojne opreme se najprej ugotovi po ohišju ki je pri namiznih računalnikih zelo razkošno V ohišju najdemo prostor za osnovno ploščo z potrebnimi komponentami trde diske različne vmesniške kartice
Hrupa ki je pri stojni opremi v računalniku se lotimo ko reže v ohišju skozi katere priteka zrak v računalnik in ventilator napajalnika povečamo Ko nameščamo napredno strojno
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 16
Napredno vzdrževanje strojne opreme Učno gradivo
opremo mora biti tudi ohišje na primernem zračnem mestu To sicer ne pomeni da moramo računalnik spraviti pod mizo vendar moramo poskrbeti za učinkovit zračni preskok
Ohišja namiznih računalnikov se lahko med seboj močno razlikujejo vsa pa so praviloma dokaj velika in vanje je že vgrajen napajalnik Vgrajeni napajalnik je pri namiznih računalnikih najmočnejši ne pa edini vir hrupa Za hrup je ponavadi kriv ventilator ki skrbi za hlajenje napajalnika ohišje pa velikokrat deluje kot kakšen resonator in hrup še veča
Pri napredni strojni opremi ohišja računalnikov razdelimo na tri skupine
- Plosko ohišje
Ima obliko kvadrata z največjo ploskvijo kot osnovno stranico Navadno ga postavimo na eno od stranskih stranic in tako simuliramo ohišje v obliki stolpa Na voljo je več izvedb ploskih ohišij Tako lahko izbiramo med večjimi in manjšimi ohišji ter med bolj in manj primernimi za odpiranje
- Kompaktni sistemi
Pri kompaktnih sistemih je klasično ohišje računalnika združeno z ohišjem monitorja vanj pa so pogosto vgrajeni še zvočniki in mikrofon Ves računalnik je praktično v enem kosu vanj nista le integrirana le tipkovnica in kazalna naprava Čeprav računalniki po kompaktnosti približujejo prenosnim računalnikom Se za stalno prenašanje vseeno nekoliko okrni Kompaktni sistem je prava izbira če računalniku ne želite nameniti več prostora kot ga potrebuje povprečen monitor ali če se vam prenosni računalniki ne zdijo primerni zaradi cene oz premajhne tipkovnice
- Ročni računalniki so strpani v najmanjša ohišja kar jih je To ni nič čudnega saj morajo biti tako majhni da jih je mogoče med uporabo držati v roki Po velikosti lahko računalnike primerjamo z nekoliko boljšimi računali
- Osnovne plošče
Računalnik je skupek komponent
Tako delimo strojno opremo znotraj ohišja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 17
Napredno vzdrževanje strojne opreme Učno gradivo
3 slika pri CD-ju in CD romu je možno popravljanje napak
Če nameščamo vse tiste komponente ki jih osnovne plošče vgradijo izdelovalci računalnika ali jih nanje namestijo sestavljavci računalnikov glede na želje uporabnikov ali želje kupcev
- Procesor
Kljub pomembnosti je procesor najbolj odgovorno in je pri naprednem vzdrževanju potrebno ločeno kupiti ali popraviti od osnovne plošče Na njej je podnožje kamor ga sestavljavec računalnika lahko zamenja ali nadomesti z bolj zmogljivim Izdelovalci plošč skrbijo da je posamezna osnovna plošča uporabna z celo družino procesorjev včasih celo z različnimi družinami Družine se seveda razlikujejo po oznakah Večina korporacij med strojno opremo še posebno v zadnjem času se razlikuje po hitrosti delovnega takta frekvenci prenosa in zmogljivosti
3 NAČRTOVANJE STROJNE OPREME
Načrtovanje strojne opreme lahko izbiramo ob nakupu primernih računalnikov s pomočjo svetovalca serviserja ali vzdrževalca informacijske opreme Uporabe računalnikov in posebnih programov v proizvodnji in arhitekturi postavitve linijskih proizvodnji procesov urejajo posebni programi CAD
Za izdelavo prevodnikov in polprevodnikov na matični plošči oz integriranih vezij lahko srečamo naslednje kovine
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 18
Napredno vzdrževanje strojne opreme Učno gradivo
Krom barij iridij svinec paladij tantal arzen berilij baker zlato kadmij
Pri gradnji informacijske opreme in sistemov na osnovi mikroprocesorjev potrebujemo dodatne elemente rečemo jim raquopodporni elementilaquo To so periferni adapterji časovna vezja DMA krmilniki množilniki frekvence ROM in RAM pomnilniki Na osnovi fizičnih diskov pa imamo povezave IDE ter SATA vmesnikov - RAID diskov v samem ohišju računalnika
V tem času je podjetje Intel še razvilo večjedrsko delitev v enem procesorju kar pomeni da si vsa jedra morajo deliti predpomnilnik dostopnost do pomnilnika ter usklajeno delovati in imeti povezave do ostalih elementov Procesorji s porabo in zmogljivostjo Teraflop že omogočajo prepoznavo govora obraza in rokopisa Hitrost zmogljivosti število jeder ter odvajanje toplote pri mikroprocesorjih se bo eksponentno povečevalo (Intel source view 2010)
Vprašanja za ponavljanje
Kaj je več jedrski procesor Kaj je to napredni RAM Razišči in opiši katera napredna strojna oprema je na slovenskem trgu
34 Napredni operacijski sistemi
V naprednih strojnih vodah je znana večja prepoznavnost Windows XP operacijskega sistema ki ga ob nakupu lahko nastavimo in kasneje enostavno vzdržujemo
Vgrajena orodja znotraj OS-a
Raziskovalec (computer managment ) Register Nadzorna plošča in spremljajoči programi ter nastavitve
Kot pri vsaki informacijski opremi je preventiva vedno najprimernejša
V OS Windows XP_Nadzorni plošči_Computer managment imamo vsa navodila in upravljanje z napakami in popravki tako programske opreme napake na trdih RAID diskov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 19
Napredno vzdrževanje strojne opreme Učno gradivo
namestitev gonilnikov starih verzij programske opreme sistemske in aplikativne napake ter odstranitev vseh uporabnikov ki niso več priključeni v informacijski sistem
Nameščanje in odmeščanje strojne opreme (gonilnikov matične plošče uporabnih vhodnih -izhodnih enot sistemske strojne opreme ter do končnega cilja namestitve Odmeščanje ali odstranitev strojne opreme pri napredni strojni opremi pa je v okolju Windows XP narejeno z posebnimi odnamestitvenimi programi istega proizvajalca oz operacijskega sistema v našem primeru preko Windows nadzorne plošče
Register ki beleži vse namestitve ter spremembe programov znotraj le-tega ima funkcijo spominanja zatorej mora računalnikar uporabiti zmogljiva vzdrževalna orodja ki pretekle namestitve strojne opreme pobrišejo veliko hitreje kot pa uporabnik
Zaščita strojne opreme na uporabniškem nivoju poteka preko dodatnih požarnih zidov z nekaj 1028 bitnim ključi in več V primeru povezav veš računalniških sistemov in mrež znotraj LAN-a imajo najnovejša strojna oprema že nameščene programe za požarni zid znotraj HW proizvoda
3 slika primer brezžične matične plošče
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 20
Napredno vzdrževanje strojne opreme Učno gradivo
i Navodila za izdelavo tehničnega poročila
Kakovostna in po navodilih nadrejenega vzdrževalca - računalnikarja morajo biti zapisana v točno določenem Word formatu z primernim oblikovanjem in zapisom
Struktura naj bo sledeča
Naslovnica
Na njej je logotip Ljudske Univerze Radovljica naziv predmeta ime in priimek dijaka (tehničnega poročila seminarske oz pogodbenika) ime in priimek mentorja mesec in leto izdelave
Povzetek
V nekaj stavkih se povzame vsebino tehničnega poročila seminarske naloge oz naprednega nameščanja strojne opreme
Kazalo vsebine
Je izdelano na podlagi uporabe slogov za naslove Nivoji naslovov naj dosegajo največ nivo 3 (123)
Kazalo slik
Slike ki so uporabljene v nalogi morajo imeti napise Kazalo slik je izdelano na podlagi uporabe sloga za napise (arial 8 pt)
Poglavje uvoda
V tem poglavju se na eni strani strne in izbere kratko in jedrnato uvodna misel avtorja Namen uvoda je da bralca seznani z postopoma brano tematiko v gradivu
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 21
Napredno vzdrževanje strojne opreme Učno gradivo
Ostala poglavja
Nato sledijo ostala poglavja kot si jih je zamislil dijak
Povzetek
V povzetku se na kratko povzame obravnavan tema in nakaže morebitne težave in priložnosti pri obravnavanju tematike
Literatura
Zaradi avtorskih pravic in nelegalnega kopiranja inovacij predvsem tehničnih izumov se vedno navaja vire in informacije od tam kjer je avtor napisal strojno pogodbo tehnično poročilo ali seminarsko nalogo
Literatura zavzema spletne naslove podjetij gradiv časopisov revij in knjižnih strokovnih knjig
-------------------------------------------------------------------------------------------------------
Velikost pisave je 12 ali 14Pt
Vrsta pisave je Times New Roman
Slogi napisov
Naslov 1 pisava Cambria velikost 14pik krepko
Naslov 2 pisava Cambria velikost 13 pik krepko
Naslov 3 pisava Cambria velikost 12 pik krepko
Jezik
V strokovno-znanstveni literaturi je uporaba knjižnega jezika in urejevalnika besedil smiselna V primeru da je prevod izraza v tujkah se v oklepaju navede vrsto tujega jezika in prevod Primer
RAM (ang Random Access Memory)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 22
Napredno vzdrževanje strojne opreme Učno gradivo
Obseg
Tehnično poročilo je predvideno do 4 strani v primeru modula M8
Vzdrževalna pogodba je kratka in po členih pravno definirana v obliki medsebojnega dogovora naprednega vzdrževanja strojne opreme ter lastnika zastarele strojne opreme
Seminarska naloga je definirana glede na temo ni vrsto seminarske zatorej je priporočljivo imeti navodila strani- obsega ob začetku pisanja
Vprašanja za ponavljanje
Kakšno je tehnično poročilo
Zakaj je strojna oprema potrebna naprednega vzdrževanja ob koncu leta
Kakšne vrste pogodb o namestitvi strojne opreme poznaš v IT-ju
Kako izgleda licenčna namestitev strojne opreme Glej primer HW podjetij ki uporabljajo strojno opremo IBMHPLogitech ipd
Spletni brskalniki
Glede na naravo dela in poznavanje novih strojnih namestitev ter naprednih oprem ki nastajajo v posameznih multunacionalnih laboratorijih in proizvodnih procesih mora računalnikar biti seznanjen z novimi produkti oz strojno opremo v sodobnem času
Uporabo dostopa do wwwgooglecom wwwhpcom wwwibmcom wwwapplecom mu omogočajo pri velikanski izbiri na trgu da poišče primerno opremo proizvajalca zamenjati določen zastarel že servisiran produkt mikroprocesor izh-enoto ipd
Za brskanje po spletu je važno da se spozna na prodajo in uporabo strojne opreme kot tudi posameznih enot Oprema ki jo bo vzdrževal ima neko serijsko številko oziroma namestitveno pogodbo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 23
Napredno vzdrževanje strojne opreme Učno gradivo
Diski in na njem zaupni podatki strojna oprema ponarejanje in zamenjava s slabšimi produkti dolgoročne ne vodi računalnikarja tako do osebnega kot tudi poslovnega uspeha Res je da je mnogo različno kakovostnih produktov strojne opreme na trgu vendar tudi zloraba pri naprednem servisiranju in vzdrževanju prinašata posledice
Računalnikar se bo na terenu srečeval z identitetami računalnikov podjetij organizacij ki so po svoji naravi različna
Kot primer navajam uporabniške skupine strojne opreme ki so privrženci za Apple ter uporabniki oz privrženci za IBM Vsi bodo hvalili in zagotavljali boljšo kvaliteto in kakovost svoje strojne opreme
Zatorej vedno v tehničnem poročilu navedemo stanje strojne opreme pred našim prihodom in po tem ko smo jo le-to vzdrževali
Tako se profesionalno in komunikacijsko obnašamo s stranko kot pravi računalnikar z veliko odgovornostjo
Napredno svetovanje in pomoč uporabnikom strojne opreme
Pri pomembnosti komunikacije s s stranko moramo torej uporabljati pravila profesionalnega vedenja do stranke
Analizirati učinkovitost obstoječe strojne opreme Svetovati napredne matične plošče procesorje vodila Upoštevati različne strojne zahteve glede na namembnost osebnega računalnika Upoštevamo pomembnost shranjevanja dokumentacije vsaj 4 leta
S stranko je važno da vedno komuniciramo prijazno spoštljivo in umirjeno Kot svetovalec oz napredni računalnikar si lahko informacije o strojni opremi izmenjujemo preko strokovnih forumov novičarskih fan-tehničnih skupin (Apple HP Microsoftipd) ali pa smo povezani preko help-desk podpore na lokalnem zaščitenem omrežju kjer odpravljamo napake na terenu takoj
Zelo pomembna je tudi hitra odzivnost hitro in natančno odpravljanje napak poštenost do stranke ter na koncu primerna cena napredne strojne opreme vzdrževanja
Vprašanja za ponavljanje
Kaj je to komplet čipov
Kaj je osveževanje podpisana pogodbe o strojni opremi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 24
Napredno vzdrževanje strojne opreme Učno gradivo
Kaj je to etičnost in morala pravočasne namestitve napredne strojne opreme
4 Tveganje pri upravljanju napredne strojne opreme
Ko izrečemo ali preberemo besedi raquotveganje upravljanja napredne strojne opremelaquo se ne zavedamo da je tveganje skrito že kar v prvi besedi raquoupravljanjelaquo Tisti ki so odgovorni za upravljanje se tega namreč premalo ali sploh ne zavedajo Tveganja ki se v pri strojni opremi ter poslovnih subjektih na tem nivoju kažejo so
- nikoli dovolj resursov- cilji so nejasni- ni definirane politike standardov- število tveganj je preveliko ne ve se katera strojna oprema je najbolj pomembna- ni kulture
Sicer pa prevladuje prepričanje da se verjetno ne bo nič zgodilo Opisano ni zgled vodstvaZato moramo v svojo organizacijo sistematično s celostnim pristopom vpeljatiupravljanje tveganj Za drugo besedo raquotveganjelaquo se lahko vprašamo na kajnajprej pomislimo v vsakodnevnem življenju ko jo slišimo Najbrž pomislimo dalahko nekaj z določeno verjetnostjo izgubimo Preprosto sklepamo kaj in koliko lahko izgubimo ob neljubem dogodku to opredelimo z raquoresnostjolaquo verjetnost da izgubimo paobičajno opredelimo kot raquofrekvencalaquo pojavljanjaTo da se zgodi tisto česar v bistvu ne želimo je naša raquoranljivostlaquo če se ustreznoodzovemo ali reagiramo na tak dogodek pomeni da smo v aktivnostih privzelidoločene raquoobrambnelaquo mehanizme in zmanjšali raquoizpostavljenostlaquo tveganjemPri obravnavanju tveganj se izvajajo procesi analize ocene in rešitve kar lahkoopredelimo kot raquoupravljanjelaquo Resnost se meri z vrednostmi ovrednotimo jo finančnotorej določimo znesek Verjetnost pa merimo oz ocenimo s številom dogodkov včasovnem obdobju največkrat na leto Seveda bomo pozorni in dogodke spremljali dotiste varnosti in zaščite ki sta primerni sprejemljivi in hkrati skladni z našimivrednotami standardi in ekonomskimi zmožnostmi V bistvu so stvari boljkompleksne vsekakor je pomembna hitrost v odzivnosti Če želimo obravnavati inprimerjati tveganja moramo primerjati razsežnosti tveganj Ni rečeno da so tveganjanizka po vrednosti in visoka po frekvenci z enakim učinkom itd Zanimivo je da so vZDA in anglosaksonskem svetu upravljanje s tveganji vzeli kot tekmovalno prednostmedtem ko je v EU to bolj posledica regulative
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 25
Napredno vzdrževanje strojne opreme Učno gradivo
41 Spremembe pri strojni opremi
Spremembe so silovite Hitro se razvijajoča informacijska in telekomunikacijskatehnologija zahteva nove poslovne modele Gonilniki sprememb vplivajo na poslovnesubjekte ki morajo biti prilagodljivi hitri in hkrati varni Vse to med drugim prinašanegotovost znotraj poslovnega sistema pa tudi v zunanjem okolju Obvladovanjesprememb zahteva izjemne intelektualne napore saj so pritiski na poslovne subjekteveliki Prihajajo s strani zahtev regulative zakonodaje varnosti standardov nadzorakontrol konkurence itd Odražajo se v vrednostnih pogajalcih za PS kot soohranjanje rasti stroški in učinkovitost načrtna razdelitev kapitala in prioritetno sejim pridružuje upravljanje s tveganji torej investiranje v varnost Ključna tveganja vteh transformacijah so tako strateška kot procesna Sem sodijo informacijski sistemi(IS) infrastruktura tehnologija stranke partnerji konkurenca in intelektualni kapital -človeški viri itd Vsako od omenjenih tveganj je sicer možno omiliti ali odpravitivendar je potreben holistični pristop standardizacija privzemanje kulture tveganjpotrebno je kreirati program upravljanja tveganj program varnosti vpeljatiupravljanje znanj integralna orodja za tveganja orodja za analize scenarijev insimulacij uvesti nove discipline in metrike ter dobro prakso In kakšna je potem cenavarnosti Ni univerzalnih navodil ni garancij za uspeh ker v globalnem svetunenehno nastajajo nova tveganja V mreži poslovnih verig so medsebojno odvisna Vnadaljevanju je nakazano strukturno razumevanje oziroma pristop k upravljanjutveganj informacijske tehnologije (IT) kot podpore IS-mu in procesom v poslovnihsistemih ne glede na to kateri industriji poslovni subjekt pripada
V področje upravljanja s tveganji IT (UT-IT) vsekakor spadajo informacijski sistemi[1] IT viri procesi projekti in druge danosti ter kategorije povezane z IT Področjezajema vsa operativna tveganja kot posledice Človeških in tehnoloških napak Jeizjemno široko kompleksno interdisciplinarne narave s poudarkom na ustreznemrazumevanju konceptov z več področij (varnost tveganja nadzor (revizije)neprekinjeno poslovanje) Izhodišče so informacije ki jih podpira IS kateregaomogoča informacijska tehnologija v vsaki organizaciji Informacije potrebujejoanalizo tako domene IS kot poslovne domene Informacije so vitalen vir vsakeposlovne enote zato so tudi tarča napadov z različnimi motivi in vplivi na poslovanjeUT-IT tako zajema uporabnike IT organizacijo IT in njeno dejavnost kot storitevkončnim uporabnikom
IT organizacija mora biti ustrezno organizirana da zagotavljaposlanstvo varnosti učinkovitosti IS in dostavo storitev Zato imavarnost v organizacijah več oblik Odvisne so ena od druge inpredstavljalo celotno varnost (fizičnondashtehnično varnost in upravljalnisistem informacijske varnosti)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 26
Napredno vzdrževanje strojne opreme Učno gradivo
Pogled na strukturo IT organizacije je priporočljiv z več vidikov in dimenzijPredstava v prostoru je znana IT raquokockalaquo Med IT vire pa na splošno opredeljujemo
- ljudi- aplikacije- tehnologijo- podatke- Podporo-
Taka struktura je pomembna za odpravljanje tveganj v IT organizacijah namrečzajema tako procese kot več disciplin in upravljanje dejavnosti IT organizacije S temdemonstriramo funkcionalnost ki zagotavlja kvalitetno storitev IT Taka strukturaomogoča boljšo dostavljivost IT rešitev kar pomeni učinkovitost IS in zmanjšanjedoločenih tveganj med njimi tudi usklajevanje poslovnih ciljev najvišjega vodstva zIT
Ker izhajamo iz informacije poglejmo njene lastnosti Glavni kriteriji za ocenjevanjeso zaupnost integriteta in razpoložljivost Metoda UT-IT pa je skupni imenovalec zaanalizo neprekinjenemu poslovanju [4] projektnemu vodenju [5] drugim disciplinamin revizijam ter informacijskim varnostnim tveganjem Tveganja iz naslovainformacijske varnosti lahko do določene stopnje primerjamo s kontrolami [6] S tegavidika kontrole zmanjšujejo tveganja in so povezane z revizijami (notranjimi inzunanjimi) Pri tem se opirajo na preglede v katerih se ugotavljajo primernost inskladnost varnostne arhitekture ter učinkovitosti izvajanja upravljanja tveganjTudi odločitve običajno temeljijo na informacijah če so informacije mehke pride doizraza večja negotovost in odločitve ki se sprejemajo lahko pripeljejo do usodnihdogodkov v katerih se tveganja uresničijo in nastajajo izgube v poslovanjuDefinicij informacije je precej Velja da je to vir vsakega poslovnega subjekta Takopridemo do vrednosti informacije kot vseh drugih vitalnih vrednih virov v poslovnemsistemu Prav neustrezno ravnanje z informacijami povzroča velika tveganja ininformacijsko nestabilnost Dejstvo je da se mora v digitalni ekonomiji in globalnemsvetu poleg socialne finančne in ekonomske stabilnosti upoštevati tudi informacijska
Pri poslovanju so vsekakor pomembni procesi ki so predmet obravnave na področjuupravljanja tveganj IT Tako UT-IT opredeljuje in zajema tudi operativna tveganja Izpraktičnega vidika je v poslovnem sistemu veliko procesov ki se nadalje delijo napodprocese in aktivnosti temeljni in podporni Toda vsi morajo biti raquooptimalnilaquovodeni in nadzorovani Precej kompleksnosti naraste v informacijskem sistemu ki gapodpirata informacijska in telekomunikacijska tehnologija Zato je za področje UT-ITsmiselno uporabiti okvir COBIT Ta standard se lahko uspešno privzame tudi pri samiorganiziranosti in definiciji procesov v organizacijah ITUT-IT je prav tako proces v katerem se proučuje in obravnava IS-me Sem spadajotudi nevarnosti ki pretijo poslovnemu sitemu IS-mu IT organizaciji njeni storitveni
dejavnosti torej vsem virom v sistemu kakor tudi drugim poslovnim subjektom vposlovni verigi V njej so tehnološke razdalje med subjekti izjemno ranljive saj nasvoji poti informacije doživljajo spremembe procesi v katerih se to dogaja pa so semorali razširiti izven okolja posamezne organizacije ali PS Pot je posejana z
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 27
Napredno vzdrževanje strojne opreme Učno gradivo
nevarnostmi različnih izvorov tako da se tudi tveganja in njihovi vplivi na poslovanjeodražajo z različnimi učinki Poglablja se tveganje e-poslovanja gre za takoimenovana e-tveganja Biti brez varnosti v realnem času in hitre odzivne funkcije natveganja ter nepredvidene dogodke je lahko za poslovanje silno usodno Zatoobstajajo različne strategije orodja in načini za zdravljenje tveganj ki skupajpredstavljajo obrambne mehanizme organizacije Pri tem je pomembno zavedanje inizobraževanje ter neprestano usposabljanje strokovnjakov na teh področjihOperativna tveganja so izrazito povezana z internimi procesi in jih posamezneindustrije že obravnavajo vsekakor pa jih bo morala vpeljati finančna industrija zlastiban1048830ni sektor ki bo moral biti skladen z Baselskim II standardom in EU (CAD)direktivami Standard namreč zajema potencialne izgube tudi iz naslova operativnihtveganj ne glede na interne ali zunanje dejavnike Osredotočen je na objavopotencialnih izgub za vse poslovne linije organizacije po določeni strukturi poročanjaglede kapitalske ustreznostiKo pogledamo v bančni sektor je osnovni namen obvladovanja inupravljanja s tveganji v bankah zagotavljanje njene plačilnesposobnosti Med različnimi načini za uresničevanje tega cilja je naprvem mestu institut minimalnega kapitala in zagotavljanje potrebnekapitalske ustreznosti banke o katerem govori Basel IIDelež kapitala v celotni bilančni vsoti je pri bankah mnogo manjši kot pri drugihorganizacijah in podjetjih Tudi njegova funkcija je drugačna Kot najpomembnejšafunkcija bančnega kapitala se ponavadi navaja zaščita vlagateljev Bančni kapitalpoleg tega omogoča nadzornim institucijam omejevati obseg tveganih dejavnosti bankin hkrati omogoča banki financiranje njenih osnovnih sredstev Ker so upniki bankmnožice posameznikov ki imajo pri teh bankah praviloma vloge na vpogled alikratkoročno vezane vloge in ker je takrat ko banka postane nelikvidna ponavadi žeprepozno saj je takrat banka praviloma že nesolventna je velikost bančnega kapitalajavna zadeva
Filozofija današnje bančne regulative je dopustiti zdravo konkurenco med bankami inhkrati zagotoviti njihovo disciplino prek predpisovanja minimalnih kapitalskih zahtevBaselski standardi so vplivali na oblikovanje evropskih smernic za banke Polegstandardizirane metodologije za računanje potrebnega kapitala za pokrivanjeomenjenih tveganj so navedeni potrebni pogoji za uporabo internih modelov bank zamerjenje tveganj med njimi operativno tveganje (uporabniki IT in IT organizacij)
Obseg in narava tveganj s katerima se srečujejo banke sta odvisni od narave njihovihposlov Pri tradicionalnih bančnih poslih (dajanje posojil iz prejetih depozitov) se kotglavna tveganja pojavljajo kreditno tveganje (tveganje dolžnikove nezmožnosti alinepripravljenosti izpolniti obveznosti iz naslova kreditne pogodbe) tržnolikvidnostno tveganje (tveganje da banka v določenem trenutku ne more poravnativseh svojih dospelih plačilnih obveznosti) tveganje spremembe obrestne mere(tveganje da bo postala pogodbeno določena obrestna mera drugačna od tržne in dabo banka utrpela izgubo iz tega naslova) ter operacijsko tveganje (tveganje ki mu jebanka izpostavljena zaradi možnih človeških napak torej internih procesov napaktehnologije in zunanjih dejavnikov (gre tudi za prevare poneverbe pranje denarjaoperativne izgube pravne ter druge stroške ki jih banka nosi v primeru njihoveganastanka)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 28
Napredno vzdrževanje strojne opreme Učno gradivo
Z bankami so povezani poslovni subjekti in vsi morajo zagotavljati varno poslovanjeTveganja so precejšnja saj vsi PS ne morejo zagotavljati enako učinkovitihprotiukrepov in varnostnih mer Pogljablja se tudi STP e-poslovanje nastajajo eskupnostiIS-mi se pogovarjajo med seboj brezžične komunikacije nujno jeprivzemanje standardov in različice XML protokola vse različne storitve potrebujejoUT-IT Področje je v razmahu in lastniki ter nadzorni sveti bodo moralikontrolirati operativne izgube in učinkovitost IS NS bodo imeli vlogo potrditvestrategij UT-IT uprave oz vodstva pa bodo morali dokazati skladnost s standardi inmetodami
Primerov storitev ki jih lahko obsega napredno vzdrževanje strojne opreme v UT-IT
spremljanje tehnoloških novosti povezanih z vzdrževano opremo ter priprava predlogov in ukrepov za nemoteno delovanje oz izboljšanje njenega delovanja
zamenjava delov strojne opreme
namestitev varnostnih popravkov na strežniško infrastrukturo
namestitev varnostnih popravkov na delovne postaje in prenosnike
periodično preventivno vzdrževanje strojne opreme
dokumentiranje storitev vzdrževanja
popravilo in odstranitev vseh pomanjkljivosti odkritih med preventivnim pregledom
pomoč sistemskim administratorjem in uporabnikom odgovori na vprašanja in svetovanje glede uporabe vzdrževane infrastrukturne opreme na lokaciji naročnika oz uporabnika
izredni kontrolni nadzor nad delovanjem infrastrukturne opreme po dogovoru z naročnikom
nadgradnja strežnikov delovnih postaj in prenosnih računalnikov
nadgradnja komunikacijske opreme
daljinska pomoč preko telefona elektronske pošte faksa ali daljinskega dostopa pri reševanju problemov uporabnikov odgovori na vprašanja in svetovanje glede uporabe vzdrževane strojne opreme
Osnovno popraviloStrokovnjak bo preveril delovanje računalnika opredelil napako in jo odpravil V to storitev se uvršča odprava manjših napak na računalniku
Storitev vsebuje diagnostiko težave in njeno odpravo v primeru da gre za manjšo napako Med manjše napake sodi ponovna namestitev gonilnikov popravilo napačnih nastavitev v programski opremi ponovna namestitev programov itd
V primeru da sestavljamo ob nakupu nov računalnik z dodatno opremo moramo poskrbeti da bomo da za nakup dobili najboljšo ponudbo računalnika ali računalniške opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 29
Napredno vzdrževanje strojne opreme Učno gradivo
Pri sestavi sistema bomo upoštevali vaše potrebe ter dosegli najboljše razmerje med ceno in zmogljivostjo Poudarek je na individualnem svetovanju katerega namen je kar najbolje poskrbeti za želje uporabnika V ta sklop sodi poleg svetovanja za nakup računalnika tudi svetovanje o ostalih perifernih napravah (tiskalniki usmerjevalniki itd)
Pristop k osnovanju UT-IT
Težko je odgovoriti ali se odzvati na vsa tveganja brez ustreznega znanja Splošnoznano je tudi da se iz podatkov procesirajo informacije in iz njih znanje ki ga jesmiselno takoj uporabiti Gre za znanje poslovnega subjekta v celoti in nekateraspecialna znanja za katera je potrebno zagotoviti da so v pravilnem kontekstu in napravem mestu Upravljanje znanj (UZ) ima lahko odločilno vlogo pri strategiji zavpeljavo področja upravljanja tveganj IT v vsakodnevnem poslovanju UZ zmanjšaraquokorporacijskolaquo izpostavljenost tveganjem Zato je pametno zbrati vse ustrezneinformacije strukturirati znanje v kontekst ali okvir v katerega bodo vnesene vsebinepotrebne za UT-IT Kreiranje portala in repositorija za upravljanje tveganjopredeljujemo kot podporno infrastrukturo področju V repositoriju sopredefinirane strukture Zaposlenim so na voljo v obliki zemljevidov raquomaplaquo kikažejo na vsebine in povezave med njimi ter omogočajo polnjenje vsebin Pridoločanju vsebin lahko sodelujejo vsi želeno je da se v organizaciji na področjutveganj in varnosti ustvarja intelektualni potencialUpravljanje
Tveganj IT5Varnost
Metoda je opredeljena kot množica korakov (algoritem ali navodilo) uporabljenih zaizvršitev naloge (dela posla) Metodologija je nekako širši pojem in predstavljamnožico orodij lahko raziskovalne metode ali razlago teorije vodenja v vodstvenoprakso Torej metodologija organizira teorijo v nekaj razumljivega Ker je na voljo večpristopov metodologij in metod pri upravljanju tveganj bi torej metodologijopredstavljalo orodje za podporo odločitvenim sistemom iz področja UT-IT Tehnik inmetod je dejansko več katere bomo uporabili za različna področja in položaje toterja tehtni premislek
Slika 4 Zunanji disk WD Passport (klikni na sliko
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 30
Napredno vzdrževanje strojne opreme Učno gradivo
V glavnem so osnovane na točkovnih in statističnih metodah kvalitativni inkvantitativni tehniki Znana je enačba tveganj ALE (letnih pričakovanih izgub)Smiselno pa je privzeti metodo standarda BS7799 [10] ali ISO17799 za informacijskovarnost Smiselno je da bi vse industrije prevzele standard PSIST7799 (prevod) kivelja v državi od 13 6 2000 za bančni sektor (z dopolnitvami)Poslovni subjekti lahko uporabljajo lastno razvite tehnike in tehnologije zaidentifikacijo in analizo tveganj Za različne poslovne procese kot so vodenjesprememb združevanja in prevzemi raquocorporate governancelaquo strateško planiranje invrednotenje lahko privzete kvalitativne ali kvantitativne identifikacije tveganj inanalitske tehnike dodajo značilno vrednost za različne poslovne položaje in področjaUveljavljajo se metode analize scenarijev in raquoscorecardslaquo ter druge statistične metoderazne simulacije (Monte Carlo) itdTipično je da se simulacijski modeli uporabljajo za odločitve o sestavi realnihsistemov in za odločitve o politiki in postopkih ki jih uporabljamo pri delovanjurealnih sistemov Simulacija pomaga pri določanju sestave politike in postopkov vnegotovih torej tveganih pogojih okolja sistema Manager poskuša z modelom kotnadomestkom za realni sistem z uporabo različnih vhodnih podatkov in postopkovdoseči na osnovi dobljenih rezultatov pri simulaciji lažje odločanje pri vodenjurealnega sistema Vendar mora biti pri tem pazljiv in rezultatov dobljenih ssimulacijo ne more kratkomalo prenašati v realni svet Model in simulacija lahkopomagata bolje spoznati delovanje realnega sistema ne moreta pa zagotoviti raquopraveizbirelaquo za realni sistem Pri upravljanju tveganj IT lahko preveč subjektivne ocenepovzročajo nova tveganja predvsem na področju zunanjih virov (outsourcinga) invodenja pogodbZa UT-IT je na voljo dovolj modelov orodij programov in vzorcev ki jih lahkouporabimo v svojem poslovnem okolju Priporoljivo je da vsak poslovni subjektkreira sebi ustrezen model glede na specifiko vendar mora izvajati ovrednotenje da jeskladen s standardi in regulativo Standardi so uveljavljeni in nudijo dovolj velik okvirza njihovo privzemanje in funkcijo uporabe
Pregledni model UT-ITV podporo modelu UT-IT je že potreben omenjeni portal kot rezultat procesov priupravljanju znanj in repositorij kjer se shranjujejo potrebne vsebine in nastaja bazaznanja o dogodkih in tveganjih ter obrambnih mehanizmih Portal služi tudi zaizobraževanje Vsebine predstavljajo sezname in infostrukture od standardov doobrazcev ki se uporabljajo v posameznih fazah ali procesih analize in v obravnavanjutveganj Zbrani so tudi vsi principi zakonodaja politike procedure metrika procesiin tokovi informacij kakor tudi vnos v register tveganj zajem nevarnosti popis vsehkontrol varnostni mehanizmi in seznam protiukrepov vse to za dogodke in scenarijeki se lahko ali so se že zgodiliZa področje UT-IT se kreirajo smernice za posamezne entitete ali subjekte ki sovključeni kot participatorji ter navodila kako se izvajajo aktivnosti Učinkovitost sedoseže s poprej določenimi infostrukturami standardizacijo in povezavami medpodročji ter odnosi med entitetami ali objekti ki tvorijo sistem upravljanja tveganj IT
Kreiranje konteksta ali takšnega okvira je možno ker so v glavnem poznane vsestrukture in gradniki UT-IT in želenega sistema varnosti Dovolj predlog je že naInternetu zato je smiselno področje pregledati in izbrati želene infostrukture Posebnerazlage niso potrebne UT-IT se odvija po projektnih principih s skupinami ki so
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 31
Napredno vzdrževanje strojne opreme Učno gradivo
strokovne na svojih področjih Prav tako se v skupinah (samovodljivo) ocenjujejotveganja in definirajo strategije rešitev za identificirana tveganjaPodročje UT-IT je lahko služba ki je neodvisna in samostojna organizacijska enota v vrhu vodstva organizacijeIZVAJANJEOKVIRKaj kako s 1048830i
- Komunikacijski krogi
Bistven gradnik UT-IT predstavljajo komunikacijski krogi (KK) med področji inodgovornimi ali delegiranimi sodelavci po poslovnih linijah Le-ti predstavljajo raquokomunikatorje tveganjalaquo ki so povezani prek sistema zgodnjega opozarjanja inizvajajo vnos dogodkov ter podatkov za analize tveganj in ocenjevanje vpliva naposlovanje Izkušena skupina določi tudi ustrezne protiukrepe in varnostne mere ter jihposreduje lastnikom tveganj Ti s strokovnjaki za posamezna področja pripravijostrategijo rešitve in jo predstavijo (kot zagovor) odgovornim za področja da se posoglasju lahko izvedejo Področje UT-IT spremlja in spet ocenjuje učinke terrezidualna tveganja Zaradi narave tveganj in inherentnih tveganj IT so tovsakodnevne aktivnosti upravljanje tveganj in varnosti pa je vodstvena funkcijaObstaja še pomembna lastnost in specifika da področja varnosti in tveganj pripadajovsem zaposlenem v organizaciji zato so komunikacijski krogi in pravočasnoinformiranje nujniZa operacijsko kvaliteto v organizaciji je potrebno definirati oz določiti dimenzijo vkateri se meri kvaliteta Značilne so tri dimenzije (kriteriji)
- primernost in funkcionalnost- varnost in zanesljivost- razpoložljivost in dostopnost
- Metrike
-Tveganje je objektivizirane negotovosti glede na možnost pojavitve nezaželenegadogodka merjenje negotovosti in negotovosti izgube Negotovost nastane zaradipomanjkanja informacij o nekdanjih sedanjosti in prihodnjih dogodkih vrednostih inpogojih Ne glede na različne stopnje negotovosti je osnova koncepta negotovosti vpomanjkanju informacij o delih sistema ki ga obravnavamo ali opazujemo Zmanjšanje tveganj mora biti motiv za organizacijo Zmanjšanjestopnje negotovosti je korak k opredelitvi kaj je lahko narejeno zazmanjšanje izpostavljanju tveganj Kakšno metriko uporabimo jeodvisno od tega kaj želimo meriti obravnavati spremljati izboljšatiitdOceniti tveganje pomeni ovrednotiti koliko lahko prenesemo oz izgubimo če seneljubi dogodek zgodi in pri tem izgubimo npr kar posedujemo Ali predstavlja to zanas vrednost in kako pogosto se ti dogodki pojavljajo so začetna razmišljanja ko greza tveganja in reakcije na njihLahko trdimo da je tveganje vedno ocenjeno z analizo scenarijev kar pomenivrednotiti možne izgube in frekvenco verjetnosti možne škode Toda v kakšnemobsegu in po katerih predvidevanjih Vsekakor je pri ocenjevanju tveganj medkvalitativno in kvantitativno analizo razlika Smiselno je obravnavanje analizetveganj Še tako dobro zastavljena varnostna politika brez izvajanja in kontrole ne
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 32
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
opremo mora biti tudi ohišje na primernem zračnem mestu To sicer ne pomeni da moramo računalnik spraviti pod mizo vendar moramo poskrbeti za učinkovit zračni preskok
Ohišja namiznih računalnikov se lahko med seboj močno razlikujejo vsa pa so praviloma dokaj velika in vanje je že vgrajen napajalnik Vgrajeni napajalnik je pri namiznih računalnikih najmočnejši ne pa edini vir hrupa Za hrup je ponavadi kriv ventilator ki skrbi za hlajenje napajalnika ohišje pa velikokrat deluje kot kakšen resonator in hrup še veča
Pri napredni strojni opremi ohišja računalnikov razdelimo na tri skupine
- Plosko ohišje
Ima obliko kvadrata z največjo ploskvijo kot osnovno stranico Navadno ga postavimo na eno od stranskih stranic in tako simuliramo ohišje v obliki stolpa Na voljo je več izvedb ploskih ohišij Tako lahko izbiramo med večjimi in manjšimi ohišji ter med bolj in manj primernimi za odpiranje
- Kompaktni sistemi
Pri kompaktnih sistemih je klasično ohišje računalnika združeno z ohišjem monitorja vanj pa so pogosto vgrajeni še zvočniki in mikrofon Ves računalnik je praktično v enem kosu vanj nista le integrirana le tipkovnica in kazalna naprava Čeprav računalniki po kompaktnosti približujejo prenosnim računalnikom Se za stalno prenašanje vseeno nekoliko okrni Kompaktni sistem je prava izbira če računalniku ne želite nameniti več prostora kot ga potrebuje povprečen monitor ali če se vam prenosni računalniki ne zdijo primerni zaradi cene oz premajhne tipkovnice
- Ročni računalniki so strpani v najmanjša ohišja kar jih je To ni nič čudnega saj morajo biti tako majhni da jih je mogoče med uporabo držati v roki Po velikosti lahko računalnike primerjamo z nekoliko boljšimi računali
- Osnovne plošče
Računalnik je skupek komponent
Tako delimo strojno opremo znotraj ohišja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 17
Napredno vzdrževanje strojne opreme Učno gradivo
3 slika pri CD-ju in CD romu je možno popravljanje napak
Če nameščamo vse tiste komponente ki jih osnovne plošče vgradijo izdelovalci računalnika ali jih nanje namestijo sestavljavci računalnikov glede na želje uporabnikov ali želje kupcev
- Procesor
Kljub pomembnosti je procesor najbolj odgovorno in je pri naprednem vzdrževanju potrebno ločeno kupiti ali popraviti od osnovne plošče Na njej je podnožje kamor ga sestavljavec računalnika lahko zamenja ali nadomesti z bolj zmogljivim Izdelovalci plošč skrbijo da je posamezna osnovna plošča uporabna z celo družino procesorjev včasih celo z različnimi družinami Družine se seveda razlikujejo po oznakah Večina korporacij med strojno opremo še posebno v zadnjem času se razlikuje po hitrosti delovnega takta frekvenci prenosa in zmogljivosti
3 NAČRTOVANJE STROJNE OPREME
Načrtovanje strojne opreme lahko izbiramo ob nakupu primernih računalnikov s pomočjo svetovalca serviserja ali vzdrževalca informacijske opreme Uporabe računalnikov in posebnih programov v proizvodnji in arhitekturi postavitve linijskih proizvodnji procesov urejajo posebni programi CAD
Za izdelavo prevodnikov in polprevodnikov na matični plošči oz integriranih vezij lahko srečamo naslednje kovine
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 18
Napredno vzdrževanje strojne opreme Učno gradivo
Krom barij iridij svinec paladij tantal arzen berilij baker zlato kadmij
Pri gradnji informacijske opreme in sistemov na osnovi mikroprocesorjev potrebujemo dodatne elemente rečemo jim raquopodporni elementilaquo To so periferni adapterji časovna vezja DMA krmilniki množilniki frekvence ROM in RAM pomnilniki Na osnovi fizičnih diskov pa imamo povezave IDE ter SATA vmesnikov - RAID diskov v samem ohišju računalnika
V tem času je podjetje Intel še razvilo večjedrsko delitev v enem procesorju kar pomeni da si vsa jedra morajo deliti predpomnilnik dostopnost do pomnilnika ter usklajeno delovati in imeti povezave do ostalih elementov Procesorji s porabo in zmogljivostjo Teraflop že omogočajo prepoznavo govora obraza in rokopisa Hitrost zmogljivosti število jeder ter odvajanje toplote pri mikroprocesorjih se bo eksponentno povečevalo (Intel source view 2010)
Vprašanja za ponavljanje
Kaj je več jedrski procesor Kaj je to napredni RAM Razišči in opiši katera napredna strojna oprema je na slovenskem trgu
34 Napredni operacijski sistemi
V naprednih strojnih vodah je znana večja prepoznavnost Windows XP operacijskega sistema ki ga ob nakupu lahko nastavimo in kasneje enostavno vzdržujemo
Vgrajena orodja znotraj OS-a
Raziskovalec (computer managment ) Register Nadzorna plošča in spremljajoči programi ter nastavitve
Kot pri vsaki informacijski opremi je preventiva vedno najprimernejša
V OS Windows XP_Nadzorni plošči_Computer managment imamo vsa navodila in upravljanje z napakami in popravki tako programske opreme napake na trdih RAID diskov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 19
Napredno vzdrževanje strojne opreme Učno gradivo
namestitev gonilnikov starih verzij programske opreme sistemske in aplikativne napake ter odstranitev vseh uporabnikov ki niso več priključeni v informacijski sistem
Nameščanje in odmeščanje strojne opreme (gonilnikov matične plošče uporabnih vhodnih -izhodnih enot sistemske strojne opreme ter do končnega cilja namestitve Odmeščanje ali odstranitev strojne opreme pri napredni strojni opremi pa je v okolju Windows XP narejeno z posebnimi odnamestitvenimi programi istega proizvajalca oz operacijskega sistema v našem primeru preko Windows nadzorne plošče
Register ki beleži vse namestitve ter spremembe programov znotraj le-tega ima funkcijo spominanja zatorej mora računalnikar uporabiti zmogljiva vzdrževalna orodja ki pretekle namestitve strojne opreme pobrišejo veliko hitreje kot pa uporabnik
Zaščita strojne opreme na uporabniškem nivoju poteka preko dodatnih požarnih zidov z nekaj 1028 bitnim ključi in več V primeru povezav veš računalniških sistemov in mrež znotraj LAN-a imajo najnovejša strojna oprema že nameščene programe za požarni zid znotraj HW proizvoda
3 slika primer brezžične matične plošče
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 20
Napredno vzdrževanje strojne opreme Učno gradivo
i Navodila za izdelavo tehničnega poročila
Kakovostna in po navodilih nadrejenega vzdrževalca - računalnikarja morajo biti zapisana v točno določenem Word formatu z primernim oblikovanjem in zapisom
Struktura naj bo sledeča
Naslovnica
Na njej je logotip Ljudske Univerze Radovljica naziv predmeta ime in priimek dijaka (tehničnega poročila seminarske oz pogodbenika) ime in priimek mentorja mesec in leto izdelave
Povzetek
V nekaj stavkih se povzame vsebino tehničnega poročila seminarske naloge oz naprednega nameščanja strojne opreme
Kazalo vsebine
Je izdelano na podlagi uporabe slogov za naslove Nivoji naslovov naj dosegajo največ nivo 3 (123)
Kazalo slik
Slike ki so uporabljene v nalogi morajo imeti napise Kazalo slik je izdelano na podlagi uporabe sloga za napise (arial 8 pt)
Poglavje uvoda
V tem poglavju se na eni strani strne in izbere kratko in jedrnato uvodna misel avtorja Namen uvoda je da bralca seznani z postopoma brano tematiko v gradivu
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 21
Napredno vzdrževanje strojne opreme Učno gradivo
Ostala poglavja
Nato sledijo ostala poglavja kot si jih je zamislil dijak
Povzetek
V povzetku se na kratko povzame obravnavan tema in nakaže morebitne težave in priložnosti pri obravnavanju tematike
Literatura
Zaradi avtorskih pravic in nelegalnega kopiranja inovacij predvsem tehničnih izumov se vedno navaja vire in informacije od tam kjer je avtor napisal strojno pogodbo tehnično poročilo ali seminarsko nalogo
Literatura zavzema spletne naslove podjetij gradiv časopisov revij in knjižnih strokovnih knjig
-------------------------------------------------------------------------------------------------------
Velikost pisave je 12 ali 14Pt
Vrsta pisave je Times New Roman
Slogi napisov
Naslov 1 pisava Cambria velikost 14pik krepko
Naslov 2 pisava Cambria velikost 13 pik krepko
Naslov 3 pisava Cambria velikost 12 pik krepko
Jezik
V strokovno-znanstveni literaturi je uporaba knjižnega jezika in urejevalnika besedil smiselna V primeru da je prevod izraza v tujkah se v oklepaju navede vrsto tujega jezika in prevod Primer
RAM (ang Random Access Memory)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 22
Napredno vzdrževanje strojne opreme Učno gradivo
Obseg
Tehnično poročilo je predvideno do 4 strani v primeru modula M8
Vzdrževalna pogodba je kratka in po členih pravno definirana v obliki medsebojnega dogovora naprednega vzdrževanja strojne opreme ter lastnika zastarele strojne opreme
Seminarska naloga je definirana glede na temo ni vrsto seminarske zatorej je priporočljivo imeti navodila strani- obsega ob začetku pisanja
Vprašanja za ponavljanje
Kakšno je tehnično poročilo
Zakaj je strojna oprema potrebna naprednega vzdrževanja ob koncu leta
Kakšne vrste pogodb o namestitvi strojne opreme poznaš v IT-ju
Kako izgleda licenčna namestitev strojne opreme Glej primer HW podjetij ki uporabljajo strojno opremo IBMHPLogitech ipd
Spletni brskalniki
Glede na naravo dela in poznavanje novih strojnih namestitev ter naprednih oprem ki nastajajo v posameznih multunacionalnih laboratorijih in proizvodnih procesih mora računalnikar biti seznanjen z novimi produkti oz strojno opremo v sodobnem času
Uporabo dostopa do wwwgooglecom wwwhpcom wwwibmcom wwwapplecom mu omogočajo pri velikanski izbiri na trgu da poišče primerno opremo proizvajalca zamenjati določen zastarel že servisiran produkt mikroprocesor izh-enoto ipd
Za brskanje po spletu je važno da se spozna na prodajo in uporabo strojne opreme kot tudi posameznih enot Oprema ki jo bo vzdrževal ima neko serijsko številko oziroma namestitveno pogodbo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 23
Napredno vzdrževanje strojne opreme Učno gradivo
Diski in na njem zaupni podatki strojna oprema ponarejanje in zamenjava s slabšimi produkti dolgoročne ne vodi računalnikarja tako do osebnega kot tudi poslovnega uspeha Res je da je mnogo različno kakovostnih produktov strojne opreme na trgu vendar tudi zloraba pri naprednem servisiranju in vzdrževanju prinašata posledice
Računalnikar se bo na terenu srečeval z identitetami računalnikov podjetij organizacij ki so po svoji naravi različna
Kot primer navajam uporabniške skupine strojne opreme ki so privrženci za Apple ter uporabniki oz privrženci za IBM Vsi bodo hvalili in zagotavljali boljšo kvaliteto in kakovost svoje strojne opreme
Zatorej vedno v tehničnem poročilu navedemo stanje strojne opreme pred našim prihodom in po tem ko smo jo le-to vzdrževali
Tako se profesionalno in komunikacijsko obnašamo s stranko kot pravi računalnikar z veliko odgovornostjo
Napredno svetovanje in pomoč uporabnikom strojne opreme
Pri pomembnosti komunikacije s s stranko moramo torej uporabljati pravila profesionalnega vedenja do stranke
Analizirati učinkovitost obstoječe strojne opreme Svetovati napredne matične plošče procesorje vodila Upoštevati različne strojne zahteve glede na namembnost osebnega računalnika Upoštevamo pomembnost shranjevanja dokumentacije vsaj 4 leta
S stranko je važno da vedno komuniciramo prijazno spoštljivo in umirjeno Kot svetovalec oz napredni računalnikar si lahko informacije o strojni opremi izmenjujemo preko strokovnih forumov novičarskih fan-tehničnih skupin (Apple HP Microsoftipd) ali pa smo povezani preko help-desk podpore na lokalnem zaščitenem omrežju kjer odpravljamo napake na terenu takoj
Zelo pomembna je tudi hitra odzivnost hitro in natančno odpravljanje napak poštenost do stranke ter na koncu primerna cena napredne strojne opreme vzdrževanja
Vprašanja za ponavljanje
Kaj je to komplet čipov
Kaj je osveževanje podpisana pogodbe o strojni opremi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 24
Napredno vzdrževanje strojne opreme Učno gradivo
Kaj je to etičnost in morala pravočasne namestitve napredne strojne opreme
4 Tveganje pri upravljanju napredne strojne opreme
Ko izrečemo ali preberemo besedi raquotveganje upravljanja napredne strojne opremelaquo se ne zavedamo da je tveganje skrito že kar v prvi besedi raquoupravljanjelaquo Tisti ki so odgovorni za upravljanje se tega namreč premalo ali sploh ne zavedajo Tveganja ki se v pri strojni opremi ter poslovnih subjektih na tem nivoju kažejo so
- nikoli dovolj resursov- cilji so nejasni- ni definirane politike standardov- število tveganj je preveliko ne ve se katera strojna oprema je najbolj pomembna- ni kulture
Sicer pa prevladuje prepričanje da se verjetno ne bo nič zgodilo Opisano ni zgled vodstvaZato moramo v svojo organizacijo sistematično s celostnim pristopom vpeljatiupravljanje tveganj Za drugo besedo raquotveganjelaquo se lahko vprašamo na kajnajprej pomislimo v vsakodnevnem življenju ko jo slišimo Najbrž pomislimo dalahko nekaj z določeno verjetnostjo izgubimo Preprosto sklepamo kaj in koliko lahko izgubimo ob neljubem dogodku to opredelimo z raquoresnostjolaquo verjetnost da izgubimo paobičajno opredelimo kot raquofrekvencalaquo pojavljanjaTo da se zgodi tisto česar v bistvu ne želimo je naša raquoranljivostlaquo če se ustreznoodzovemo ali reagiramo na tak dogodek pomeni da smo v aktivnostih privzelidoločene raquoobrambnelaquo mehanizme in zmanjšali raquoizpostavljenostlaquo tveganjemPri obravnavanju tveganj se izvajajo procesi analize ocene in rešitve kar lahkoopredelimo kot raquoupravljanjelaquo Resnost se meri z vrednostmi ovrednotimo jo finančnotorej določimo znesek Verjetnost pa merimo oz ocenimo s številom dogodkov včasovnem obdobju največkrat na leto Seveda bomo pozorni in dogodke spremljali dotiste varnosti in zaščite ki sta primerni sprejemljivi in hkrati skladni z našimivrednotami standardi in ekonomskimi zmožnostmi V bistvu so stvari boljkompleksne vsekakor je pomembna hitrost v odzivnosti Če želimo obravnavati inprimerjati tveganja moramo primerjati razsežnosti tveganj Ni rečeno da so tveganjanizka po vrednosti in visoka po frekvenci z enakim učinkom itd Zanimivo je da so vZDA in anglosaksonskem svetu upravljanje s tveganji vzeli kot tekmovalno prednostmedtem ko je v EU to bolj posledica regulative
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 25
Napredno vzdrževanje strojne opreme Učno gradivo
41 Spremembe pri strojni opremi
Spremembe so silovite Hitro se razvijajoča informacijska in telekomunikacijskatehnologija zahteva nove poslovne modele Gonilniki sprememb vplivajo na poslovnesubjekte ki morajo biti prilagodljivi hitri in hkrati varni Vse to med drugim prinašanegotovost znotraj poslovnega sistema pa tudi v zunanjem okolju Obvladovanjesprememb zahteva izjemne intelektualne napore saj so pritiski na poslovne subjekteveliki Prihajajo s strani zahtev regulative zakonodaje varnosti standardov nadzorakontrol konkurence itd Odražajo se v vrednostnih pogajalcih za PS kot soohranjanje rasti stroški in učinkovitost načrtna razdelitev kapitala in prioritetno sejim pridružuje upravljanje s tveganji torej investiranje v varnost Ključna tveganja vteh transformacijah so tako strateška kot procesna Sem sodijo informacijski sistemi(IS) infrastruktura tehnologija stranke partnerji konkurenca in intelektualni kapital -človeški viri itd Vsako od omenjenih tveganj je sicer možno omiliti ali odpravitivendar je potreben holistični pristop standardizacija privzemanje kulture tveganjpotrebno je kreirati program upravljanja tveganj program varnosti vpeljatiupravljanje znanj integralna orodja za tveganja orodja za analize scenarijev insimulacij uvesti nove discipline in metrike ter dobro prakso In kakšna je potem cenavarnosti Ni univerzalnih navodil ni garancij za uspeh ker v globalnem svetunenehno nastajajo nova tveganja V mreži poslovnih verig so medsebojno odvisna Vnadaljevanju je nakazano strukturno razumevanje oziroma pristop k upravljanjutveganj informacijske tehnologije (IT) kot podpore IS-mu in procesom v poslovnihsistemih ne glede na to kateri industriji poslovni subjekt pripada
V področje upravljanja s tveganji IT (UT-IT) vsekakor spadajo informacijski sistemi[1] IT viri procesi projekti in druge danosti ter kategorije povezane z IT Področjezajema vsa operativna tveganja kot posledice Človeških in tehnoloških napak Jeizjemno široko kompleksno interdisciplinarne narave s poudarkom na ustreznemrazumevanju konceptov z več področij (varnost tveganja nadzor (revizije)neprekinjeno poslovanje) Izhodišče so informacije ki jih podpira IS kateregaomogoča informacijska tehnologija v vsaki organizaciji Informacije potrebujejoanalizo tako domene IS kot poslovne domene Informacije so vitalen vir vsakeposlovne enote zato so tudi tarča napadov z različnimi motivi in vplivi na poslovanjeUT-IT tako zajema uporabnike IT organizacijo IT in njeno dejavnost kot storitevkončnim uporabnikom
IT organizacija mora biti ustrezno organizirana da zagotavljaposlanstvo varnosti učinkovitosti IS in dostavo storitev Zato imavarnost v organizacijah več oblik Odvisne so ena od druge inpredstavljalo celotno varnost (fizičnondashtehnično varnost in upravljalnisistem informacijske varnosti)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 26
Napredno vzdrževanje strojne opreme Učno gradivo
Pogled na strukturo IT organizacije je priporočljiv z več vidikov in dimenzijPredstava v prostoru je znana IT raquokockalaquo Med IT vire pa na splošno opredeljujemo
- ljudi- aplikacije- tehnologijo- podatke- Podporo-
Taka struktura je pomembna za odpravljanje tveganj v IT organizacijah namrečzajema tako procese kot več disciplin in upravljanje dejavnosti IT organizacije S temdemonstriramo funkcionalnost ki zagotavlja kvalitetno storitev IT Taka strukturaomogoča boljšo dostavljivost IT rešitev kar pomeni učinkovitost IS in zmanjšanjedoločenih tveganj med njimi tudi usklajevanje poslovnih ciljev najvišjega vodstva zIT
Ker izhajamo iz informacije poglejmo njene lastnosti Glavni kriteriji za ocenjevanjeso zaupnost integriteta in razpoložljivost Metoda UT-IT pa je skupni imenovalec zaanalizo neprekinjenemu poslovanju [4] projektnemu vodenju [5] drugim disciplinamin revizijam ter informacijskim varnostnim tveganjem Tveganja iz naslovainformacijske varnosti lahko do določene stopnje primerjamo s kontrolami [6] S tegavidika kontrole zmanjšujejo tveganja in so povezane z revizijami (notranjimi inzunanjimi) Pri tem se opirajo na preglede v katerih se ugotavljajo primernost inskladnost varnostne arhitekture ter učinkovitosti izvajanja upravljanja tveganjTudi odločitve običajno temeljijo na informacijah če so informacije mehke pride doizraza večja negotovost in odločitve ki se sprejemajo lahko pripeljejo do usodnihdogodkov v katerih se tveganja uresničijo in nastajajo izgube v poslovanjuDefinicij informacije je precej Velja da je to vir vsakega poslovnega subjekta Takopridemo do vrednosti informacije kot vseh drugih vitalnih vrednih virov v poslovnemsistemu Prav neustrezno ravnanje z informacijami povzroča velika tveganja ininformacijsko nestabilnost Dejstvo je da se mora v digitalni ekonomiji in globalnemsvetu poleg socialne finančne in ekonomske stabilnosti upoštevati tudi informacijska
Pri poslovanju so vsekakor pomembni procesi ki so predmet obravnave na področjuupravljanja tveganj IT Tako UT-IT opredeljuje in zajema tudi operativna tveganja Izpraktičnega vidika je v poslovnem sistemu veliko procesov ki se nadalje delijo napodprocese in aktivnosti temeljni in podporni Toda vsi morajo biti raquooptimalnilaquovodeni in nadzorovani Precej kompleksnosti naraste v informacijskem sistemu ki gapodpirata informacijska in telekomunikacijska tehnologija Zato je za področje UT-ITsmiselno uporabiti okvir COBIT Ta standard se lahko uspešno privzame tudi pri samiorganiziranosti in definiciji procesov v organizacijah ITUT-IT je prav tako proces v katerem se proučuje in obravnava IS-me Sem spadajotudi nevarnosti ki pretijo poslovnemu sitemu IS-mu IT organizaciji njeni storitveni
dejavnosti torej vsem virom v sistemu kakor tudi drugim poslovnim subjektom vposlovni verigi V njej so tehnološke razdalje med subjekti izjemno ranljive saj nasvoji poti informacije doživljajo spremembe procesi v katerih se to dogaja pa so semorali razširiti izven okolja posamezne organizacije ali PS Pot je posejana z
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 27
Napredno vzdrževanje strojne opreme Učno gradivo
nevarnostmi različnih izvorov tako da se tudi tveganja in njihovi vplivi na poslovanjeodražajo z različnimi učinki Poglablja se tveganje e-poslovanja gre za takoimenovana e-tveganja Biti brez varnosti v realnem času in hitre odzivne funkcije natveganja ter nepredvidene dogodke je lahko za poslovanje silno usodno Zatoobstajajo različne strategije orodja in načini za zdravljenje tveganj ki skupajpredstavljajo obrambne mehanizme organizacije Pri tem je pomembno zavedanje inizobraževanje ter neprestano usposabljanje strokovnjakov na teh področjihOperativna tveganja so izrazito povezana z internimi procesi in jih posamezneindustrije že obravnavajo vsekakor pa jih bo morala vpeljati finančna industrija zlastiban1048830ni sektor ki bo moral biti skladen z Baselskim II standardom in EU (CAD)direktivami Standard namreč zajema potencialne izgube tudi iz naslova operativnihtveganj ne glede na interne ali zunanje dejavnike Osredotočen je na objavopotencialnih izgub za vse poslovne linije organizacije po določeni strukturi poročanjaglede kapitalske ustreznostiKo pogledamo v bančni sektor je osnovni namen obvladovanja inupravljanja s tveganji v bankah zagotavljanje njene plačilnesposobnosti Med različnimi načini za uresničevanje tega cilja je naprvem mestu institut minimalnega kapitala in zagotavljanje potrebnekapitalske ustreznosti banke o katerem govori Basel IIDelež kapitala v celotni bilančni vsoti je pri bankah mnogo manjši kot pri drugihorganizacijah in podjetjih Tudi njegova funkcija je drugačna Kot najpomembnejšafunkcija bančnega kapitala se ponavadi navaja zaščita vlagateljev Bančni kapitalpoleg tega omogoča nadzornim institucijam omejevati obseg tveganih dejavnosti bankin hkrati omogoča banki financiranje njenih osnovnih sredstev Ker so upniki bankmnožice posameznikov ki imajo pri teh bankah praviloma vloge na vpogled alikratkoročno vezane vloge in ker je takrat ko banka postane nelikvidna ponavadi žeprepozno saj je takrat banka praviloma že nesolventna je velikost bančnega kapitalajavna zadeva
Filozofija današnje bančne regulative je dopustiti zdravo konkurenco med bankami inhkrati zagotoviti njihovo disciplino prek predpisovanja minimalnih kapitalskih zahtevBaselski standardi so vplivali na oblikovanje evropskih smernic za banke Polegstandardizirane metodologije za računanje potrebnega kapitala za pokrivanjeomenjenih tveganj so navedeni potrebni pogoji za uporabo internih modelov bank zamerjenje tveganj med njimi operativno tveganje (uporabniki IT in IT organizacij)
Obseg in narava tveganj s katerima se srečujejo banke sta odvisni od narave njihovihposlov Pri tradicionalnih bančnih poslih (dajanje posojil iz prejetih depozitov) se kotglavna tveganja pojavljajo kreditno tveganje (tveganje dolžnikove nezmožnosti alinepripravljenosti izpolniti obveznosti iz naslova kreditne pogodbe) tržnolikvidnostno tveganje (tveganje da banka v določenem trenutku ne more poravnativseh svojih dospelih plačilnih obveznosti) tveganje spremembe obrestne mere(tveganje da bo postala pogodbeno določena obrestna mera drugačna od tržne in dabo banka utrpela izgubo iz tega naslova) ter operacijsko tveganje (tveganje ki mu jebanka izpostavljena zaradi možnih človeških napak torej internih procesov napaktehnologije in zunanjih dejavnikov (gre tudi za prevare poneverbe pranje denarjaoperativne izgube pravne ter druge stroške ki jih banka nosi v primeru njihoveganastanka)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 28
Napredno vzdrževanje strojne opreme Učno gradivo
Z bankami so povezani poslovni subjekti in vsi morajo zagotavljati varno poslovanjeTveganja so precejšnja saj vsi PS ne morejo zagotavljati enako učinkovitihprotiukrepov in varnostnih mer Pogljablja se tudi STP e-poslovanje nastajajo eskupnostiIS-mi se pogovarjajo med seboj brezžične komunikacije nujno jeprivzemanje standardov in različice XML protokola vse različne storitve potrebujejoUT-IT Področje je v razmahu in lastniki ter nadzorni sveti bodo moralikontrolirati operativne izgube in učinkovitost IS NS bodo imeli vlogo potrditvestrategij UT-IT uprave oz vodstva pa bodo morali dokazati skladnost s standardi inmetodami
Primerov storitev ki jih lahko obsega napredno vzdrževanje strojne opreme v UT-IT
spremljanje tehnoloških novosti povezanih z vzdrževano opremo ter priprava predlogov in ukrepov za nemoteno delovanje oz izboljšanje njenega delovanja
zamenjava delov strojne opreme
namestitev varnostnih popravkov na strežniško infrastrukturo
namestitev varnostnih popravkov na delovne postaje in prenosnike
periodično preventivno vzdrževanje strojne opreme
dokumentiranje storitev vzdrževanja
popravilo in odstranitev vseh pomanjkljivosti odkritih med preventivnim pregledom
pomoč sistemskim administratorjem in uporabnikom odgovori na vprašanja in svetovanje glede uporabe vzdrževane infrastrukturne opreme na lokaciji naročnika oz uporabnika
izredni kontrolni nadzor nad delovanjem infrastrukturne opreme po dogovoru z naročnikom
nadgradnja strežnikov delovnih postaj in prenosnih računalnikov
nadgradnja komunikacijske opreme
daljinska pomoč preko telefona elektronske pošte faksa ali daljinskega dostopa pri reševanju problemov uporabnikov odgovori na vprašanja in svetovanje glede uporabe vzdrževane strojne opreme
Osnovno popraviloStrokovnjak bo preveril delovanje računalnika opredelil napako in jo odpravil V to storitev se uvršča odprava manjših napak na računalniku
Storitev vsebuje diagnostiko težave in njeno odpravo v primeru da gre za manjšo napako Med manjše napake sodi ponovna namestitev gonilnikov popravilo napačnih nastavitev v programski opremi ponovna namestitev programov itd
V primeru da sestavljamo ob nakupu nov računalnik z dodatno opremo moramo poskrbeti da bomo da za nakup dobili najboljšo ponudbo računalnika ali računalniške opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 29
Napredno vzdrževanje strojne opreme Učno gradivo
Pri sestavi sistema bomo upoštevali vaše potrebe ter dosegli najboljše razmerje med ceno in zmogljivostjo Poudarek je na individualnem svetovanju katerega namen je kar najbolje poskrbeti za želje uporabnika V ta sklop sodi poleg svetovanja za nakup računalnika tudi svetovanje o ostalih perifernih napravah (tiskalniki usmerjevalniki itd)
Pristop k osnovanju UT-IT
Težko je odgovoriti ali se odzvati na vsa tveganja brez ustreznega znanja Splošnoznano je tudi da se iz podatkov procesirajo informacije in iz njih znanje ki ga jesmiselno takoj uporabiti Gre za znanje poslovnega subjekta v celoti in nekateraspecialna znanja za katera je potrebno zagotoviti da so v pravilnem kontekstu in napravem mestu Upravljanje znanj (UZ) ima lahko odločilno vlogo pri strategiji zavpeljavo področja upravljanja tveganj IT v vsakodnevnem poslovanju UZ zmanjšaraquokorporacijskolaquo izpostavljenost tveganjem Zato je pametno zbrati vse ustrezneinformacije strukturirati znanje v kontekst ali okvir v katerega bodo vnesene vsebinepotrebne za UT-IT Kreiranje portala in repositorija za upravljanje tveganjopredeljujemo kot podporno infrastrukturo področju V repositoriju sopredefinirane strukture Zaposlenim so na voljo v obliki zemljevidov raquomaplaquo kikažejo na vsebine in povezave med njimi ter omogočajo polnjenje vsebin Pridoločanju vsebin lahko sodelujejo vsi želeno je da se v organizaciji na področjutveganj in varnosti ustvarja intelektualni potencialUpravljanje
Tveganj IT5Varnost
Metoda je opredeljena kot množica korakov (algoritem ali navodilo) uporabljenih zaizvršitev naloge (dela posla) Metodologija je nekako širši pojem in predstavljamnožico orodij lahko raziskovalne metode ali razlago teorije vodenja v vodstvenoprakso Torej metodologija organizira teorijo v nekaj razumljivega Ker je na voljo večpristopov metodologij in metod pri upravljanju tveganj bi torej metodologijopredstavljalo orodje za podporo odločitvenim sistemom iz področja UT-IT Tehnik inmetod je dejansko več katere bomo uporabili za različna področja in položaje toterja tehtni premislek
Slika 4 Zunanji disk WD Passport (klikni na sliko
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 30
Napredno vzdrževanje strojne opreme Učno gradivo
V glavnem so osnovane na točkovnih in statističnih metodah kvalitativni inkvantitativni tehniki Znana je enačba tveganj ALE (letnih pričakovanih izgub)Smiselno pa je privzeti metodo standarda BS7799 [10] ali ISO17799 za informacijskovarnost Smiselno je da bi vse industrije prevzele standard PSIST7799 (prevod) kivelja v državi od 13 6 2000 za bančni sektor (z dopolnitvami)Poslovni subjekti lahko uporabljajo lastno razvite tehnike in tehnologije zaidentifikacijo in analizo tveganj Za različne poslovne procese kot so vodenjesprememb združevanja in prevzemi raquocorporate governancelaquo strateško planiranje invrednotenje lahko privzete kvalitativne ali kvantitativne identifikacije tveganj inanalitske tehnike dodajo značilno vrednost za različne poslovne položaje in področjaUveljavljajo se metode analize scenarijev in raquoscorecardslaquo ter druge statistične metoderazne simulacije (Monte Carlo) itdTipično je da se simulacijski modeli uporabljajo za odločitve o sestavi realnihsistemov in za odločitve o politiki in postopkih ki jih uporabljamo pri delovanjurealnih sistemov Simulacija pomaga pri določanju sestave politike in postopkov vnegotovih torej tveganih pogojih okolja sistema Manager poskuša z modelom kotnadomestkom za realni sistem z uporabo različnih vhodnih podatkov in postopkovdoseči na osnovi dobljenih rezultatov pri simulaciji lažje odločanje pri vodenjurealnega sistema Vendar mora biti pri tem pazljiv in rezultatov dobljenih ssimulacijo ne more kratkomalo prenašati v realni svet Model in simulacija lahkopomagata bolje spoznati delovanje realnega sistema ne moreta pa zagotoviti raquopraveizbirelaquo za realni sistem Pri upravljanju tveganj IT lahko preveč subjektivne ocenepovzročajo nova tveganja predvsem na področju zunanjih virov (outsourcinga) invodenja pogodbZa UT-IT je na voljo dovolj modelov orodij programov in vzorcev ki jih lahkouporabimo v svojem poslovnem okolju Priporoljivo je da vsak poslovni subjektkreira sebi ustrezen model glede na specifiko vendar mora izvajati ovrednotenje da jeskladen s standardi in regulativo Standardi so uveljavljeni in nudijo dovolj velik okvirza njihovo privzemanje in funkcijo uporabe
Pregledni model UT-ITV podporo modelu UT-IT je že potreben omenjeni portal kot rezultat procesov priupravljanju znanj in repositorij kjer se shranjujejo potrebne vsebine in nastaja bazaznanja o dogodkih in tveganjih ter obrambnih mehanizmih Portal služi tudi zaizobraževanje Vsebine predstavljajo sezname in infostrukture od standardov doobrazcev ki se uporabljajo v posameznih fazah ali procesih analize in v obravnavanjutveganj Zbrani so tudi vsi principi zakonodaja politike procedure metrika procesiin tokovi informacij kakor tudi vnos v register tveganj zajem nevarnosti popis vsehkontrol varnostni mehanizmi in seznam protiukrepov vse to za dogodke in scenarijeki se lahko ali so se že zgodiliZa področje UT-IT se kreirajo smernice za posamezne entitete ali subjekte ki sovključeni kot participatorji ter navodila kako se izvajajo aktivnosti Učinkovitost sedoseže s poprej določenimi infostrukturami standardizacijo in povezavami medpodročji ter odnosi med entitetami ali objekti ki tvorijo sistem upravljanja tveganj IT
Kreiranje konteksta ali takšnega okvira je možno ker so v glavnem poznane vsestrukture in gradniki UT-IT in želenega sistema varnosti Dovolj predlog je že naInternetu zato je smiselno področje pregledati in izbrati želene infostrukture Posebnerazlage niso potrebne UT-IT se odvija po projektnih principih s skupinami ki so
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 31
Napredno vzdrževanje strojne opreme Učno gradivo
strokovne na svojih področjih Prav tako se v skupinah (samovodljivo) ocenjujejotveganja in definirajo strategije rešitev za identificirana tveganjaPodročje UT-IT je lahko služba ki je neodvisna in samostojna organizacijska enota v vrhu vodstva organizacijeIZVAJANJEOKVIRKaj kako s 1048830i
- Komunikacijski krogi
Bistven gradnik UT-IT predstavljajo komunikacijski krogi (KK) med področji inodgovornimi ali delegiranimi sodelavci po poslovnih linijah Le-ti predstavljajo raquokomunikatorje tveganjalaquo ki so povezani prek sistema zgodnjega opozarjanja inizvajajo vnos dogodkov ter podatkov za analize tveganj in ocenjevanje vpliva naposlovanje Izkušena skupina določi tudi ustrezne protiukrepe in varnostne mere ter jihposreduje lastnikom tveganj Ti s strokovnjaki za posamezna področja pripravijostrategijo rešitve in jo predstavijo (kot zagovor) odgovornim za področja da se posoglasju lahko izvedejo Področje UT-IT spremlja in spet ocenjuje učinke terrezidualna tveganja Zaradi narave tveganj in inherentnih tveganj IT so tovsakodnevne aktivnosti upravljanje tveganj in varnosti pa je vodstvena funkcijaObstaja še pomembna lastnost in specifika da področja varnosti in tveganj pripadajovsem zaposlenem v organizaciji zato so komunikacijski krogi in pravočasnoinformiranje nujniZa operacijsko kvaliteto v organizaciji je potrebno definirati oz določiti dimenzijo vkateri se meri kvaliteta Značilne so tri dimenzije (kriteriji)
- primernost in funkcionalnost- varnost in zanesljivost- razpoložljivost in dostopnost
- Metrike
-Tveganje je objektivizirane negotovosti glede na možnost pojavitve nezaželenegadogodka merjenje negotovosti in negotovosti izgube Negotovost nastane zaradipomanjkanja informacij o nekdanjih sedanjosti in prihodnjih dogodkih vrednostih inpogojih Ne glede na različne stopnje negotovosti je osnova koncepta negotovosti vpomanjkanju informacij o delih sistema ki ga obravnavamo ali opazujemo Zmanjšanje tveganj mora biti motiv za organizacijo Zmanjšanjestopnje negotovosti je korak k opredelitvi kaj je lahko narejeno zazmanjšanje izpostavljanju tveganj Kakšno metriko uporabimo jeodvisno od tega kaj želimo meriti obravnavati spremljati izboljšatiitdOceniti tveganje pomeni ovrednotiti koliko lahko prenesemo oz izgubimo če seneljubi dogodek zgodi in pri tem izgubimo npr kar posedujemo Ali predstavlja to zanas vrednost in kako pogosto se ti dogodki pojavljajo so začetna razmišljanja ko greza tveganja in reakcije na njihLahko trdimo da je tveganje vedno ocenjeno z analizo scenarijev kar pomenivrednotiti možne izgube in frekvenco verjetnosti možne škode Toda v kakšnemobsegu in po katerih predvidevanjih Vsekakor je pri ocenjevanju tveganj medkvalitativno in kvantitativno analizo razlika Smiselno je obravnavanje analizetveganj Še tako dobro zastavljena varnostna politika brez izvajanja in kontrole ne
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 32
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
3 slika pri CD-ju in CD romu je možno popravljanje napak
Če nameščamo vse tiste komponente ki jih osnovne plošče vgradijo izdelovalci računalnika ali jih nanje namestijo sestavljavci računalnikov glede na želje uporabnikov ali želje kupcev
- Procesor
Kljub pomembnosti je procesor najbolj odgovorno in je pri naprednem vzdrževanju potrebno ločeno kupiti ali popraviti od osnovne plošče Na njej je podnožje kamor ga sestavljavec računalnika lahko zamenja ali nadomesti z bolj zmogljivim Izdelovalci plošč skrbijo da je posamezna osnovna plošča uporabna z celo družino procesorjev včasih celo z različnimi družinami Družine se seveda razlikujejo po oznakah Večina korporacij med strojno opremo še posebno v zadnjem času se razlikuje po hitrosti delovnega takta frekvenci prenosa in zmogljivosti
3 NAČRTOVANJE STROJNE OPREME
Načrtovanje strojne opreme lahko izbiramo ob nakupu primernih računalnikov s pomočjo svetovalca serviserja ali vzdrževalca informacijske opreme Uporabe računalnikov in posebnih programov v proizvodnji in arhitekturi postavitve linijskih proizvodnji procesov urejajo posebni programi CAD
Za izdelavo prevodnikov in polprevodnikov na matični plošči oz integriranih vezij lahko srečamo naslednje kovine
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 18
Napredno vzdrževanje strojne opreme Učno gradivo
Krom barij iridij svinec paladij tantal arzen berilij baker zlato kadmij
Pri gradnji informacijske opreme in sistemov na osnovi mikroprocesorjev potrebujemo dodatne elemente rečemo jim raquopodporni elementilaquo To so periferni adapterji časovna vezja DMA krmilniki množilniki frekvence ROM in RAM pomnilniki Na osnovi fizičnih diskov pa imamo povezave IDE ter SATA vmesnikov - RAID diskov v samem ohišju računalnika
V tem času je podjetje Intel še razvilo večjedrsko delitev v enem procesorju kar pomeni da si vsa jedra morajo deliti predpomnilnik dostopnost do pomnilnika ter usklajeno delovati in imeti povezave do ostalih elementov Procesorji s porabo in zmogljivostjo Teraflop že omogočajo prepoznavo govora obraza in rokopisa Hitrost zmogljivosti število jeder ter odvajanje toplote pri mikroprocesorjih se bo eksponentno povečevalo (Intel source view 2010)
Vprašanja za ponavljanje
Kaj je več jedrski procesor Kaj je to napredni RAM Razišči in opiši katera napredna strojna oprema je na slovenskem trgu
34 Napredni operacijski sistemi
V naprednih strojnih vodah je znana večja prepoznavnost Windows XP operacijskega sistema ki ga ob nakupu lahko nastavimo in kasneje enostavno vzdržujemo
Vgrajena orodja znotraj OS-a
Raziskovalec (computer managment ) Register Nadzorna plošča in spremljajoči programi ter nastavitve
Kot pri vsaki informacijski opremi je preventiva vedno najprimernejša
V OS Windows XP_Nadzorni plošči_Computer managment imamo vsa navodila in upravljanje z napakami in popravki tako programske opreme napake na trdih RAID diskov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 19
Napredno vzdrževanje strojne opreme Učno gradivo
namestitev gonilnikov starih verzij programske opreme sistemske in aplikativne napake ter odstranitev vseh uporabnikov ki niso več priključeni v informacijski sistem
Nameščanje in odmeščanje strojne opreme (gonilnikov matične plošče uporabnih vhodnih -izhodnih enot sistemske strojne opreme ter do končnega cilja namestitve Odmeščanje ali odstranitev strojne opreme pri napredni strojni opremi pa je v okolju Windows XP narejeno z posebnimi odnamestitvenimi programi istega proizvajalca oz operacijskega sistema v našem primeru preko Windows nadzorne plošče
Register ki beleži vse namestitve ter spremembe programov znotraj le-tega ima funkcijo spominanja zatorej mora računalnikar uporabiti zmogljiva vzdrževalna orodja ki pretekle namestitve strojne opreme pobrišejo veliko hitreje kot pa uporabnik
Zaščita strojne opreme na uporabniškem nivoju poteka preko dodatnih požarnih zidov z nekaj 1028 bitnim ključi in več V primeru povezav veš računalniških sistemov in mrež znotraj LAN-a imajo najnovejša strojna oprema že nameščene programe za požarni zid znotraj HW proizvoda
3 slika primer brezžične matične plošče
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 20
Napredno vzdrževanje strojne opreme Učno gradivo
i Navodila za izdelavo tehničnega poročila
Kakovostna in po navodilih nadrejenega vzdrževalca - računalnikarja morajo biti zapisana v točno določenem Word formatu z primernim oblikovanjem in zapisom
Struktura naj bo sledeča
Naslovnica
Na njej je logotip Ljudske Univerze Radovljica naziv predmeta ime in priimek dijaka (tehničnega poročila seminarske oz pogodbenika) ime in priimek mentorja mesec in leto izdelave
Povzetek
V nekaj stavkih se povzame vsebino tehničnega poročila seminarske naloge oz naprednega nameščanja strojne opreme
Kazalo vsebine
Je izdelano na podlagi uporabe slogov za naslove Nivoji naslovov naj dosegajo največ nivo 3 (123)
Kazalo slik
Slike ki so uporabljene v nalogi morajo imeti napise Kazalo slik je izdelano na podlagi uporabe sloga za napise (arial 8 pt)
Poglavje uvoda
V tem poglavju se na eni strani strne in izbere kratko in jedrnato uvodna misel avtorja Namen uvoda je da bralca seznani z postopoma brano tematiko v gradivu
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 21
Napredno vzdrževanje strojne opreme Učno gradivo
Ostala poglavja
Nato sledijo ostala poglavja kot si jih je zamislil dijak
Povzetek
V povzetku se na kratko povzame obravnavan tema in nakaže morebitne težave in priložnosti pri obravnavanju tematike
Literatura
Zaradi avtorskih pravic in nelegalnega kopiranja inovacij predvsem tehničnih izumov se vedno navaja vire in informacije od tam kjer je avtor napisal strojno pogodbo tehnično poročilo ali seminarsko nalogo
Literatura zavzema spletne naslove podjetij gradiv časopisov revij in knjižnih strokovnih knjig
-------------------------------------------------------------------------------------------------------
Velikost pisave je 12 ali 14Pt
Vrsta pisave je Times New Roman
Slogi napisov
Naslov 1 pisava Cambria velikost 14pik krepko
Naslov 2 pisava Cambria velikost 13 pik krepko
Naslov 3 pisava Cambria velikost 12 pik krepko
Jezik
V strokovno-znanstveni literaturi je uporaba knjižnega jezika in urejevalnika besedil smiselna V primeru da je prevod izraza v tujkah se v oklepaju navede vrsto tujega jezika in prevod Primer
RAM (ang Random Access Memory)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 22
Napredno vzdrževanje strojne opreme Učno gradivo
Obseg
Tehnično poročilo je predvideno do 4 strani v primeru modula M8
Vzdrževalna pogodba je kratka in po členih pravno definirana v obliki medsebojnega dogovora naprednega vzdrževanja strojne opreme ter lastnika zastarele strojne opreme
Seminarska naloga je definirana glede na temo ni vrsto seminarske zatorej je priporočljivo imeti navodila strani- obsega ob začetku pisanja
Vprašanja za ponavljanje
Kakšno je tehnično poročilo
Zakaj je strojna oprema potrebna naprednega vzdrževanja ob koncu leta
Kakšne vrste pogodb o namestitvi strojne opreme poznaš v IT-ju
Kako izgleda licenčna namestitev strojne opreme Glej primer HW podjetij ki uporabljajo strojno opremo IBMHPLogitech ipd
Spletni brskalniki
Glede na naravo dela in poznavanje novih strojnih namestitev ter naprednih oprem ki nastajajo v posameznih multunacionalnih laboratorijih in proizvodnih procesih mora računalnikar biti seznanjen z novimi produkti oz strojno opremo v sodobnem času
Uporabo dostopa do wwwgooglecom wwwhpcom wwwibmcom wwwapplecom mu omogočajo pri velikanski izbiri na trgu da poišče primerno opremo proizvajalca zamenjati določen zastarel že servisiran produkt mikroprocesor izh-enoto ipd
Za brskanje po spletu je važno da se spozna na prodajo in uporabo strojne opreme kot tudi posameznih enot Oprema ki jo bo vzdrževal ima neko serijsko številko oziroma namestitveno pogodbo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 23
Napredno vzdrževanje strojne opreme Učno gradivo
Diski in na njem zaupni podatki strojna oprema ponarejanje in zamenjava s slabšimi produkti dolgoročne ne vodi računalnikarja tako do osebnega kot tudi poslovnega uspeha Res je da je mnogo različno kakovostnih produktov strojne opreme na trgu vendar tudi zloraba pri naprednem servisiranju in vzdrževanju prinašata posledice
Računalnikar se bo na terenu srečeval z identitetami računalnikov podjetij organizacij ki so po svoji naravi različna
Kot primer navajam uporabniške skupine strojne opreme ki so privrženci za Apple ter uporabniki oz privrženci za IBM Vsi bodo hvalili in zagotavljali boljšo kvaliteto in kakovost svoje strojne opreme
Zatorej vedno v tehničnem poročilu navedemo stanje strojne opreme pred našim prihodom in po tem ko smo jo le-to vzdrževali
Tako se profesionalno in komunikacijsko obnašamo s stranko kot pravi računalnikar z veliko odgovornostjo
Napredno svetovanje in pomoč uporabnikom strojne opreme
Pri pomembnosti komunikacije s s stranko moramo torej uporabljati pravila profesionalnega vedenja do stranke
Analizirati učinkovitost obstoječe strojne opreme Svetovati napredne matične plošče procesorje vodila Upoštevati različne strojne zahteve glede na namembnost osebnega računalnika Upoštevamo pomembnost shranjevanja dokumentacije vsaj 4 leta
S stranko je važno da vedno komuniciramo prijazno spoštljivo in umirjeno Kot svetovalec oz napredni računalnikar si lahko informacije o strojni opremi izmenjujemo preko strokovnih forumov novičarskih fan-tehničnih skupin (Apple HP Microsoftipd) ali pa smo povezani preko help-desk podpore na lokalnem zaščitenem omrežju kjer odpravljamo napake na terenu takoj
Zelo pomembna je tudi hitra odzivnost hitro in natančno odpravljanje napak poštenost do stranke ter na koncu primerna cena napredne strojne opreme vzdrževanja
Vprašanja za ponavljanje
Kaj je to komplet čipov
Kaj je osveževanje podpisana pogodbe o strojni opremi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 24
Napredno vzdrževanje strojne opreme Učno gradivo
Kaj je to etičnost in morala pravočasne namestitve napredne strojne opreme
4 Tveganje pri upravljanju napredne strojne opreme
Ko izrečemo ali preberemo besedi raquotveganje upravljanja napredne strojne opremelaquo se ne zavedamo da je tveganje skrito že kar v prvi besedi raquoupravljanjelaquo Tisti ki so odgovorni za upravljanje se tega namreč premalo ali sploh ne zavedajo Tveganja ki se v pri strojni opremi ter poslovnih subjektih na tem nivoju kažejo so
- nikoli dovolj resursov- cilji so nejasni- ni definirane politike standardov- število tveganj je preveliko ne ve se katera strojna oprema je najbolj pomembna- ni kulture
Sicer pa prevladuje prepričanje da se verjetno ne bo nič zgodilo Opisano ni zgled vodstvaZato moramo v svojo organizacijo sistematično s celostnim pristopom vpeljatiupravljanje tveganj Za drugo besedo raquotveganjelaquo se lahko vprašamo na kajnajprej pomislimo v vsakodnevnem življenju ko jo slišimo Najbrž pomislimo dalahko nekaj z določeno verjetnostjo izgubimo Preprosto sklepamo kaj in koliko lahko izgubimo ob neljubem dogodku to opredelimo z raquoresnostjolaquo verjetnost da izgubimo paobičajno opredelimo kot raquofrekvencalaquo pojavljanjaTo da se zgodi tisto česar v bistvu ne želimo je naša raquoranljivostlaquo če se ustreznoodzovemo ali reagiramo na tak dogodek pomeni da smo v aktivnostih privzelidoločene raquoobrambnelaquo mehanizme in zmanjšali raquoizpostavljenostlaquo tveganjemPri obravnavanju tveganj se izvajajo procesi analize ocene in rešitve kar lahkoopredelimo kot raquoupravljanjelaquo Resnost se meri z vrednostmi ovrednotimo jo finančnotorej določimo znesek Verjetnost pa merimo oz ocenimo s številom dogodkov včasovnem obdobju največkrat na leto Seveda bomo pozorni in dogodke spremljali dotiste varnosti in zaščite ki sta primerni sprejemljivi in hkrati skladni z našimivrednotami standardi in ekonomskimi zmožnostmi V bistvu so stvari boljkompleksne vsekakor je pomembna hitrost v odzivnosti Če želimo obravnavati inprimerjati tveganja moramo primerjati razsežnosti tveganj Ni rečeno da so tveganjanizka po vrednosti in visoka po frekvenci z enakim učinkom itd Zanimivo je da so vZDA in anglosaksonskem svetu upravljanje s tveganji vzeli kot tekmovalno prednostmedtem ko je v EU to bolj posledica regulative
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 25
Napredno vzdrževanje strojne opreme Učno gradivo
41 Spremembe pri strojni opremi
Spremembe so silovite Hitro se razvijajoča informacijska in telekomunikacijskatehnologija zahteva nove poslovne modele Gonilniki sprememb vplivajo na poslovnesubjekte ki morajo biti prilagodljivi hitri in hkrati varni Vse to med drugim prinašanegotovost znotraj poslovnega sistema pa tudi v zunanjem okolju Obvladovanjesprememb zahteva izjemne intelektualne napore saj so pritiski na poslovne subjekteveliki Prihajajo s strani zahtev regulative zakonodaje varnosti standardov nadzorakontrol konkurence itd Odražajo se v vrednostnih pogajalcih za PS kot soohranjanje rasti stroški in učinkovitost načrtna razdelitev kapitala in prioritetno sejim pridružuje upravljanje s tveganji torej investiranje v varnost Ključna tveganja vteh transformacijah so tako strateška kot procesna Sem sodijo informacijski sistemi(IS) infrastruktura tehnologija stranke partnerji konkurenca in intelektualni kapital -človeški viri itd Vsako od omenjenih tveganj je sicer možno omiliti ali odpravitivendar je potreben holistični pristop standardizacija privzemanje kulture tveganjpotrebno je kreirati program upravljanja tveganj program varnosti vpeljatiupravljanje znanj integralna orodja za tveganja orodja za analize scenarijev insimulacij uvesti nove discipline in metrike ter dobro prakso In kakšna je potem cenavarnosti Ni univerzalnih navodil ni garancij za uspeh ker v globalnem svetunenehno nastajajo nova tveganja V mreži poslovnih verig so medsebojno odvisna Vnadaljevanju je nakazano strukturno razumevanje oziroma pristop k upravljanjutveganj informacijske tehnologije (IT) kot podpore IS-mu in procesom v poslovnihsistemih ne glede na to kateri industriji poslovni subjekt pripada
V področje upravljanja s tveganji IT (UT-IT) vsekakor spadajo informacijski sistemi[1] IT viri procesi projekti in druge danosti ter kategorije povezane z IT Področjezajema vsa operativna tveganja kot posledice Človeških in tehnoloških napak Jeizjemno široko kompleksno interdisciplinarne narave s poudarkom na ustreznemrazumevanju konceptov z več področij (varnost tveganja nadzor (revizije)neprekinjeno poslovanje) Izhodišče so informacije ki jih podpira IS kateregaomogoča informacijska tehnologija v vsaki organizaciji Informacije potrebujejoanalizo tako domene IS kot poslovne domene Informacije so vitalen vir vsakeposlovne enote zato so tudi tarča napadov z različnimi motivi in vplivi na poslovanjeUT-IT tako zajema uporabnike IT organizacijo IT in njeno dejavnost kot storitevkončnim uporabnikom
IT organizacija mora biti ustrezno organizirana da zagotavljaposlanstvo varnosti učinkovitosti IS in dostavo storitev Zato imavarnost v organizacijah več oblik Odvisne so ena od druge inpredstavljalo celotno varnost (fizičnondashtehnično varnost in upravljalnisistem informacijske varnosti)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 26
Napredno vzdrževanje strojne opreme Učno gradivo
Pogled na strukturo IT organizacije je priporočljiv z več vidikov in dimenzijPredstava v prostoru je znana IT raquokockalaquo Med IT vire pa na splošno opredeljujemo
- ljudi- aplikacije- tehnologijo- podatke- Podporo-
Taka struktura je pomembna za odpravljanje tveganj v IT organizacijah namrečzajema tako procese kot več disciplin in upravljanje dejavnosti IT organizacije S temdemonstriramo funkcionalnost ki zagotavlja kvalitetno storitev IT Taka strukturaomogoča boljšo dostavljivost IT rešitev kar pomeni učinkovitost IS in zmanjšanjedoločenih tveganj med njimi tudi usklajevanje poslovnih ciljev najvišjega vodstva zIT
Ker izhajamo iz informacije poglejmo njene lastnosti Glavni kriteriji za ocenjevanjeso zaupnost integriteta in razpoložljivost Metoda UT-IT pa je skupni imenovalec zaanalizo neprekinjenemu poslovanju [4] projektnemu vodenju [5] drugim disciplinamin revizijam ter informacijskim varnostnim tveganjem Tveganja iz naslovainformacijske varnosti lahko do določene stopnje primerjamo s kontrolami [6] S tegavidika kontrole zmanjšujejo tveganja in so povezane z revizijami (notranjimi inzunanjimi) Pri tem se opirajo na preglede v katerih se ugotavljajo primernost inskladnost varnostne arhitekture ter učinkovitosti izvajanja upravljanja tveganjTudi odločitve običajno temeljijo na informacijah če so informacije mehke pride doizraza večja negotovost in odločitve ki se sprejemajo lahko pripeljejo do usodnihdogodkov v katerih se tveganja uresničijo in nastajajo izgube v poslovanjuDefinicij informacije je precej Velja da je to vir vsakega poslovnega subjekta Takopridemo do vrednosti informacije kot vseh drugih vitalnih vrednih virov v poslovnemsistemu Prav neustrezno ravnanje z informacijami povzroča velika tveganja ininformacijsko nestabilnost Dejstvo je da se mora v digitalni ekonomiji in globalnemsvetu poleg socialne finančne in ekonomske stabilnosti upoštevati tudi informacijska
Pri poslovanju so vsekakor pomembni procesi ki so predmet obravnave na področjuupravljanja tveganj IT Tako UT-IT opredeljuje in zajema tudi operativna tveganja Izpraktičnega vidika je v poslovnem sistemu veliko procesov ki se nadalje delijo napodprocese in aktivnosti temeljni in podporni Toda vsi morajo biti raquooptimalnilaquovodeni in nadzorovani Precej kompleksnosti naraste v informacijskem sistemu ki gapodpirata informacijska in telekomunikacijska tehnologija Zato je za področje UT-ITsmiselno uporabiti okvir COBIT Ta standard se lahko uspešno privzame tudi pri samiorganiziranosti in definiciji procesov v organizacijah ITUT-IT je prav tako proces v katerem se proučuje in obravnava IS-me Sem spadajotudi nevarnosti ki pretijo poslovnemu sitemu IS-mu IT organizaciji njeni storitveni
dejavnosti torej vsem virom v sistemu kakor tudi drugim poslovnim subjektom vposlovni verigi V njej so tehnološke razdalje med subjekti izjemno ranljive saj nasvoji poti informacije doživljajo spremembe procesi v katerih se to dogaja pa so semorali razširiti izven okolja posamezne organizacije ali PS Pot je posejana z
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 27
Napredno vzdrževanje strojne opreme Učno gradivo
nevarnostmi različnih izvorov tako da se tudi tveganja in njihovi vplivi na poslovanjeodražajo z različnimi učinki Poglablja se tveganje e-poslovanja gre za takoimenovana e-tveganja Biti brez varnosti v realnem času in hitre odzivne funkcije natveganja ter nepredvidene dogodke je lahko za poslovanje silno usodno Zatoobstajajo različne strategije orodja in načini za zdravljenje tveganj ki skupajpredstavljajo obrambne mehanizme organizacije Pri tem je pomembno zavedanje inizobraževanje ter neprestano usposabljanje strokovnjakov na teh področjihOperativna tveganja so izrazito povezana z internimi procesi in jih posamezneindustrije že obravnavajo vsekakor pa jih bo morala vpeljati finančna industrija zlastiban1048830ni sektor ki bo moral biti skladen z Baselskim II standardom in EU (CAD)direktivami Standard namreč zajema potencialne izgube tudi iz naslova operativnihtveganj ne glede na interne ali zunanje dejavnike Osredotočen je na objavopotencialnih izgub za vse poslovne linije organizacije po določeni strukturi poročanjaglede kapitalske ustreznostiKo pogledamo v bančni sektor je osnovni namen obvladovanja inupravljanja s tveganji v bankah zagotavljanje njene plačilnesposobnosti Med različnimi načini za uresničevanje tega cilja je naprvem mestu institut minimalnega kapitala in zagotavljanje potrebnekapitalske ustreznosti banke o katerem govori Basel IIDelež kapitala v celotni bilančni vsoti je pri bankah mnogo manjši kot pri drugihorganizacijah in podjetjih Tudi njegova funkcija je drugačna Kot najpomembnejšafunkcija bančnega kapitala se ponavadi navaja zaščita vlagateljev Bančni kapitalpoleg tega omogoča nadzornim institucijam omejevati obseg tveganih dejavnosti bankin hkrati omogoča banki financiranje njenih osnovnih sredstev Ker so upniki bankmnožice posameznikov ki imajo pri teh bankah praviloma vloge na vpogled alikratkoročno vezane vloge in ker je takrat ko banka postane nelikvidna ponavadi žeprepozno saj je takrat banka praviloma že nesolventna je velikost bančnega kapitalajavna zadeva
Filozofija današnje bančne regulative je dopustiti zdravo konkurenco med bankami inhkrati zagotoviti njihovo disciplino prek predpisovanja minimalnih kapitalskih zahtevBaselski standardi so vplivali na oblikovanje evropskih smernic za banke Polegstandardizirane metodologije za računanje potrebnega kapitala za pokrivanjeomenjenih tveganj so navedeni potrebni pogoji za uporabo internih modelov bank zamerjenje tveganj med njimi operativno tveganje (uporabniki IT in IT organizacij)
Obseg in narava tveganj s katerima se srečujejo banke sta odvisni od narave njihovihposlov Pri tradicionalnih bančnih poslih (dajanje posojil iz prejetih depozitov) se kotglavna tveganja pojavljajo kreditno tveganje (tveganje dolžnikove nezmožnosti alinepripravljenosti izpolniti obveznosti iz naslova kreditne pogodbe) tržnolikvidnostno tveganje (tveganje da banka v določenem trenutku ne more poravnativseh svojih dospelih plačilnih obveznosti) tveganje spremembe obrestne mere(tveganje da bo postala pogodbeno določena obrestna mera drugačna od tržne in dabo banka utrpela izgubo iz tega naslova) ter operacijsko tveganje (tveganje ki mu jebanka izpostavljena zaradi možnih človeških napak torej internih procesov napaktehnologije in zunanjih dejavnikov (gre tudi za prevare poneverbe pranje denarjaoperativne izgube pravne ter druge stroške ki jih banka nosi v primeru njihoveganastanka)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 28
Napredno vzdrževanje strojne opreme Učno gradivo
Z bankami so povezani poslovni subjekti in vsi morajo zagotavljati varno poslovanjeTveganja so precejšnja saj vsi PS ne morejo zagotavljati enako učinkovitihprotiukrepov in varnostnih mer Pogljablja se tudi STP e-poslovanje nastajajo eskupnostiIS-mi se pogovarjajo med seboj brezžične komunikacije nujno jeprivzemanje standardov in različice XML protokola vse različne storitve potrebujejoUT-IT Področje je v razmahu in lastniki ter nadzorni sveti bodo moralikontrolirati operativne izgube in učinkovitost IS NS bodo imeli vlogo potrditvestrategij UT-IT uprave oz vodstva pa bodo morali dokazati skladnost s standardi inmetodami
Primerov storitev ki jih lahko obsega napredno vzdrževanje strojne opreme v UT-IT
spremljanje tehnoloških novosti povezanih z vzdrževano opremo ter priprava predlogov in ukrepov za nemoteno delovanje oz izboljšanje njenega delovanja
zamenjava delov strojne opreme
namestitev varnostnih popravkov na strežniško infrastrukturo
namestitev varnostnih popravkov na delovne postaje in prenosnike
periodično preventivno vzdrževanje strojne opreme
dokumentiranje storitev vzdrževanja
popravilo in odstranitev vseh pomanjkljivosti odkritih med preventivnim pregledom
pomoč sistemskim administratorjem in uporabnikom odgovori na vprašanja in svetovanje glede uporabe vzdrževane infrastrukturne opreme na lokaciji naročnika oz uporabnika
izredni kontrolni nadzor nad delovanjem infrastrukturne opreme po dogovoru z naročnikom
nadgradnja strežnikov delovnih postaj in prenosnih računalnikov
nadgradnja komunikacijske opreme
daljinska pomoč preko telefona elektronske pošte faksa ali daljinskega dostopa pri reševanju problemov uporabnikov odgovori na vprašanja in svetovanje glede uporabe vzdrževane strojne opreme
Osnovno popraviloStrokovnjak bo preveril delovanje računalnika opredelil napako in jo odpravil V to storitev se uvršča odprava manjših napak na računalniku
Storitev vsebuje diagnostiko težave in njeno odpravo v primeru da gre za manjšo napako Med manjše napake sodi ponovna namestitev gonilnikov popravilo napačnih nastavitev v programski opremi ponovna namestitev programov itd
V primeru da sestavljamo ob nakupu nov računalnik z dodatno opremo moramo poskrbeti da bomo da za nakup dobili najboljšo ponudbo računalnika ali računalniške opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 29
Napredno vzdrževanje strojne opreme Učno gradivo
Pri sestavi sistema bomo upoštevali vaše potrebe ter dosegli najboljše razmerje med ceno in zmogljivostjo Poudarek je na individualnem svetovanju katerega namen je kar najbolje poskrbeti za želje uporabnika V ta sklop sodi poleg svetovanja za nakup računalnika tudi svetovanje o ostalih perifernih napravah (tiskalniki usmerjevalniki itd)
Pristop k osnovanju UT-IT
Težko je odgovoriti ali se odzvati na vsa tveganja brez ustreznega znanja Splošnoznano je tudi da se iz podatkov procesirajo informacije in iz njih znanje ki ga jesmiselno takoj uporabiti Gre za znanje poslovnega subjekta v celoti in nekateraspecialna znanja za katera je potrebno zagotoviti da so v pravilnem kontekstu in napravem mestu Upravljanje znanj (UZ) ima lahko odločilno vlogo pri strategiji zavpeljavo področja upravljanja tveganj IT v vsakodnevnem poslovanju UZ zmanjšaraquokorporacijskolaquo izpostavljenost tveganjem Zato je pametno zbrati vse ustrezneinformacije strukturirati znanje v kontekst ali okvir v katerega bodo vnesene vsebinepotrebne za UT-IT Kreiranje portala in repositorija za upravljanje tveganjopredeljujemo kot podporno infrastrukturo področju V repositoriju sopredefinirane strukture Zaposlenim so na voljo v obliki zemljevidov raquomaplaquo kikažejo na vsebine in povezave med njimi ter omogočajo polnjenje vsebin Pridoločanju vsebin lahko sodelujejo vsi želeno je da se v organizaciji na področjutveganj in varnosti ustvarja intelektualni potencialUpravljanje
Tveganj IT5Varnost
Metoda je opredeljena kot množica korakov (algoritem ali navodilo) uporabljenih zaizvršitev naloge (dela posla) Metodologija je nekako širši pojem in predstavljamnožico orodij lahko raziskovalne metode ali razlago teorije vodenja v vodstvenoprakso Torej metodologija organizira teorijo v nekaj razumljivega Ker je na voljo večpristopov metodologij in metod pri upravljanju tveganj bi torej metodologijopredstavljalo orodje za podporo odločitvenim sistemom iz področja UT-IT Tehnik inmetod je dejansko več katere bomo uporabili za različna področja in položaje toterja tehtni premislek
Slika 4 Zunanji disk WD Passport (klikni na sliko
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 30
Napredno vzdrževanje strojne opreme Učno gradivo
V glavnem so osnovane na točkovnih in statističnih metodah kvalitativni inkvantitativni tehniki Znana je enačba tveganj ALE (letnih pričakovanih izgub)Smiselno pa je privzeti metodo standarda BS7799 [10] ali ISO17799 za informacijskovarnost Smiselno je da bi vse industrije prevzele standard PSIST7799 (prevod) kivelja v državi od 13 6 2000 za bančni sektor (z dopolnitvami)Poslovni subjekti lahko uporabljajo lastno razvite tehnike in tehnologije zaidentifikacijo in analizo tveganj Za različne poslovne procese kot so vodenjesprememb združevanja in prevzemi raquocorporate governancelaquo strateško planiranje invrednotenje lahko privzete kvalitativne ali kvantitativne identifikacije tveganj inanalitske tehnike dodajo značilno vrednost za različne poslovne položaje in področjaUveljavljajo se metode analize scenarijev in raquoscorecardslaquo ter druge statistične metoderazne simulacije (Monte Carlo) itdTipično je da se simulacijski modeli uporabljajo za odločitve o sestavi realnihsistemov in za odločitve o politiki in postopkih ki jih uporabljamo pri delovanjurealnih sistemov Simulacija pomaga pri določanju sestave politike in postopkov vnegotovih torej tveganih pogojih okolja sistema Manager poskuša z modelom kotnadomestkom za realni sistem z uporabo različnih vhodnih podatkov in postopkovdoseči na osnovi dobljenih rezultatov pri simulaciji lažje odločanje pri vodenjurealnega sistema Vendar mora biti pri tem pazljiv in rezultatov dobljenih ssimulacijo ne more kratkomalo prenašati v realni svet Model in simulacija lahkopomagata bolje spoznati delovanje realnega sistema ne moreta pa zagotoviti raquopraveizbirelaquo za realni sistem Pri upravljanju tveganj IT lahko preveč subjektivne ocenepovzročajo nova tveganja predvsem na področju zunanjih virov (outsourcinga) invodenja pogodbZa UT-IT je na voljo dovolj modelov orodij programov in vzorcev ki jih lahkouporabimo v svojem poslovnem okolju Priporoljivo je da vsak poslovni subjektkreira sebi ustrezen model glede na specifiko vendar mora izvajati ovrednotenje da jeskladen s standardi in regulativo Standardi so uveljavljeni in nudijo dovolj velik okvirza njihovo privzemanje in funkcijo uporabe
Pregledni model UT-ITV podporo modelu UT-IT je že potreben omenjeni portal kot rezultat procesov priupravljanju znanj in repositorij kjer se shranjujejo potrebne vsebine in nastaja bazaznanja o dogodkih in tveganjih ter obrambnih mehanizmih Portal služi tudi zaizobraževanje Vsebine predstavljajo sezname in infostrukture od standardov doobrazcev ki se uporabljajo v posameznih fazah ali procesih analize in v obravnavanjutveganj Zbrani so tudi vsi principi zakonodaja politike procedure metrika procesiin tokovi informacij kakor tudi vnos v register tveganj zajem nevarnosti popis vsehkontrol varnostni mehanizmi in seznam protiukrepov vse to za dogodke in scenarijeki se lahko ali so se že zgodiliZa področje UT-IT se kreirajo smernice za posamezne entitete ali subjekte ki sovključeni kot participatorji ter navodila kako se izvajajo aktivnosti Učinkovitost sedoseže s poprej določenimi infostrukturami standardizacijo in povezavami medpodročji ter odnosi med entitetami ali objekti ki tvorijo sistem upravljanja tveganj IT
Kreiranje konteksta ali takšnega okvira je možno ker so v glavnem poznane vsestrukture in gradniki UT-IT in želenega sistema varnosti Dovolj predlog je že naInternetu zato je smiselno področje pregledati in izbrati želene infostrukture Posebnerazlage niso potrebne UT-IT se odvija po projektnih principih s skupinami ki so
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 31
Napredno vzdrževanje strojne opreme Učno gradivo
strokovne na svojih področjih Prav tako se v skupinah (samovodljivo) ocenjujejotveganja in definirajo strategije rešitev za identificirana tveganjaPodročje UT-IT je lahko služba ki je neodvisna in samostojna organizacijska enota v vrhu vodstva organizacijeIZVAJANJEOKVIRKaj kako s 1048830i
- Komunikacijski krogi
Bistven gradnik UT-IT predstavljajo komunikacijski krogi (KK) med področji inodgovornimi ali delegiranimi sodelavci po poslovnih linijah Le-ti predstavljajo raquokomunikatorje tveganjalaquo ki so povezani prek sistema zgodnjega opozarjanja inizvajajo vnos dogodkov ter podatkov za analize tveganj in ocenjevanje vpliva naposlovanje Izkušena skupina določi tudi ustrezne protiukrepe in varnostne mere ter jihposreduje lastnikom tveganj Ti s strokovnjaki za posamezna področja pripravijostrategijo rešitve in jo predstavijo (kot zagovor) odgovornim za področja da se posoglasju lahko izvedejo Področje UT-IT spremlja in spet ocenjuje učinke terrezidualna tveganja Zaradi narave tveganj in inherentnih tveganj IT so tovsakodnevne aktivnosti upravljanje tveganj in varnosti pa je vodstvena funkcijaObstaja še pomembna lastnost in specifika da področja varnosti in tveganj pripadajovsem zaposlenem v organizaciji zato so komunikacijski krogi in pravočasnoinformiranje nujniZa operacijsko kvaliteto v organizaciji je potrebno definirati oz določiti dimenzijo vkateri se meri kvaliteta Značilne so tri dimenzije (kriteriji)
- primernost in funkcionalnost- varnost in zanesljivost- razpoložljivost in dostopnost
- Metrike
-Tveganje je objektivizirane negotovosti glede na možnost pojavitve nezaželenegadogodka merjenje negotovosti in negotovosti izgube Negotovost nastane zaradipomanjkanja informacij o nekdanjih sedanjosti in prihodnjih dogodkih vrednostih inpogojih Ne glede na različne stopnje negotovosti je osnova koncepta negotovosti vpomanjkanju informacij o delih sistema ki ga obravnavamo ali opazujemo Zmanjšanje tveganj mora biti motiv za organizacijo Zmanjšanjestopnje negotovosti je korak k opredelitvi kaj je lahko narejeno zazmanjšanje izpostavljanju tveganj Kakšno metriko uporabimo jeodvisno od tega kaj želimo meriti obravnavati spremljati izboljšatiitdOceniti tveganje pomeni ovrednotiti koliko lahko prenesemo oz izgubimo če seneljubi dogodek zgodi in pri tem izgubimo npr kar posedujemo Ali predstavlja to zanas vrednost in kako pogosto se ti dogodki pojavljajo so začetna razmišljanja ko greza tveganja in reakcije na njihLahko trdimo da je tveganje vedno ocenjeno z analizo scenarijev kar pomenivrednotiti možne izgube in frekvenco verjetnosti možne škode Toda v kakšnemobsegu in po katerih predvidevanjih Vsekakor je pri ocenjevanju tveganj medkvalitativno in kvantitativno analizo razlika Smiselno je obravnavanje analizetveganj Še tako dobro zastavljena varnostna politika brez izvajanja in kontrole ne
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 32
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
Krom barij iridij svinec paladij tantal arzen berilij baker zlato kadmij
Pri gradnji informacijske opreme in sistemov na osnovi mikroprocesorjev potrebujemo dodatne elemente rečemo jim raquopodporni elementilaquo To so periferni adapterji časovna vezja DMA krmilniki množilniki frekvence ROM in RAM pomnilniki Na osnovi fizičnih diskov pa imamo povezave IDE ter SATA vmesnikov - RAID diskov v samem ohišju računalnika
V tem času je podjetje Intel še razvilo večjedrsko delitev v enem procesorju kar pomeni da si vsa jedra morajo deliti predpomnilnik dostopnost do pomnilnika ter usklajeno delovati in imeti povezave do ostalih elementov Procesorji s porabo in zmogljivostjo Teraflop že omogočajo prepoznavo govora obraza in rokopisa Hitrost zmogljivosti število jeder ter odvajanje toplote pri mikroprocesorjih se bo eksponentno povečevalo (Intel source view 2010)
Vprašanja za ponavljanje
Kaj je več jedrski procesor Kaj je to napredni RAM Razišči in opiši katera napredna strojna oprema je na slovenskem trgu
34 Napredni operacijski sistemi
V naprednih strojnih vodah je znana večja prepoznavnost Windows XP operacijskega sistema ki ga ob nakupu lahko nastavimo in kasneje enostavno vzdržujemo
Vgrajena orodja znotraj OS-a
Raziskovalec (computer managment ) Register Nadzorna plošča in spremljajoči programi ter nastavitve
Kot pri vsaki informacijski opremi je preventiva vedno najprimernejša
V OS Windows XP_Nadzorni plošči_Computer managment imamo vsa navodila in upravljanje z napakami in popravki tako programske opreme napake na trdih RAID diskov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 19
Napredno vzdrževanje strojne opreme Učno gradivo
namestitev gonilnikov starih verzij programske opreme sistemske in aplikativne napake ter odstranitev vseh uporabnikov ki niso več priključeni v informacijski sistem
Nameščanje in odmeščanje strojne opreme (gonilnikov matične plošče uporabnih vhodnih -izhodnih enot sistemske strojne opreme ter do končnega cilja namestitve Odmeščanje ali odstranitev strojne opreme pri napredni strojni opremi pa je v okolju Windows XP narejeno z posebnimi odnamestitvenimi programi istega proizvajalca oz operacijskega sistema v našem primeru preko Windows nadzorne plošče
Register ki beleži vse namestitve ter spremembe programov znotraj le-tega ima funkcijo spominanja zatorej mora računalnikar uporabiti zmogljiva vzdrževalna orodja ki pretekle namestitve strojne opreme pobrišejo veliko hitreje kot pa uporabnik
Zaščita strojne opreme na uporabniškem nivoju poteka preko dodatnih požarnih zidov z nekaj 1028 bitnim ključi in več V primeru povezav veš računalniških sistemov in mrež znotraj LAN-a imajo najnovejša strojna oprema že nameščene programe za požarni zid znotraj HW proizvoda
3 slika primer brezžične matične plošče
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 20
Napredno vzdrževanje strojne opreme Učno gradivo
i Navodila za izdelavo tehničnega poročila
Kakovostna in po navodilih nadrejenega vzdrževalca - računalnikarja morajo biti zapisana v točno določenem Word formatu z primernim oblikovanjem in zapisom
Struktura naj bo sledeča
Naslovnica
Na njej je logotip Ljudske Univerze Radovljica naziv predmeta ime in priimek dijaka (tehničnega poročila seminarske oz pogodbenika) ime in priimek mentorja mesec in leto izdelave
Povzetek
V nekaj stavkih se povzame vsebino tehničnega poročila seminarske naloge oz naprednega nameščanja strojne opreme
Kazalo vsebine
Je izdelano na podlagi uporabe slogov za naslove Nivoji naslovov naj dosegajo največ nivo 3 (123)
Kazalo slik
Slike ki so uporabljene v nalogi morajo imeti napise Kazalo slik je izdelano na podlagi uporabe sloga za napise (arial 8 pt)
Poglavje uvoda
V tem poglavju se na eni strani strne in izbere kratko in jedrnato uvodna misel avtorja Namen uvoda je da bralca seznani z postopoma brano tematiko v gradivu
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 21
Napredno vzdrževanje strojne opreme Učno gradivo
Ostala poglavja
Nato sledijo ostala poglavja kot si jih je zamislil dijak
Povzetek
V povzetku se na kratko povzame obravnavan tema in nakaže morebitne težave in priložnosti pri obravnavanju tematike
Literatura
Zaradi avtorskih pravic in nelegalnega kopiranja inovacij predvsem tehničnih izumov se vedno navaja vire in informacije od tam kjer je avtor napisal strojno pogodbo tehnično poročilo ali seminarsko nalogo
Literatura zavzema spletne naslove podjetij gradiv časopisov revij in knjižnih strokovnih knjig
-------------------------------------------------------------------------------------------------------
Velikost pisave je 12 ali 14Pt
Vrsta pisave je Times New Roman
Slogi napisov
Naslov 1 pisava Cambria velikost 14pik krepko
Naslov 2 pisava Cambria velikost 13 pik krepko
Naslov 3 pisava Cambria velikost 12 pik krepko
Jezik
V strokovno-znanstveni literaturi je uporaba knjižnega jezika in urejevalnika besedil smiselna V primeru da je prevod izraza v tujkah se v oklepaju navede vrsto tujega jezika in prevod Primer
RAM (ang Random Access Memory)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 22
Napredno vzdrževanje strojne opreme Učno gradivo
Obseg
Tehnično poročilo je predvideno do 4 strani v primeru modula M8
Vzdrževalna pogodba je kratka in po členih pravno definirana v obliki medsebojnega dogovora naprednega vzdrževanja strojne opreme ter lastnika zastarele strojne opreme
Seminarska naloga je definirana glede na temo ni vrsto seminarske zatorej je priporočljivo imeti navodila strani- obsega ob začetku pisanja
Vprašanja za ponavljanje
Kakšno je tehnično poročilo
Zakaj je strojna oprema potrebna naprednega vzdrževanja ob koncu leta
Kakšne vrste pogodb o namestitvi strojne opreme poznaš v IT-ju
Kako izgleda licenčna namestitev strojne opreme Glej primer HW podjetij ki uporabljajo strojno opremo IBMHPLogitech ipd
Spletni brskalniki
Glede na naravo dela in poznavanje novih strojnih namestitev ter naprednih oprem ki nastajajo v posameznih multunacionalnih laboratorijih in proizvodnih procesih mora računalnikar biti seznanjen z novimi produkti oz strojno opremo v sodobnem času
Uporabo dostopa do wwwgooglecom wwwhpcom wwwibmcom wwwapplecom mu omogočajo pri velikanski izbiri na trgu da poišče primerno opremo proizvajalca zamenjati določen zastarel že servisiran produkt mikroprocesor izh-enoto ipd
Za brskanje po spletu je važno da se spozna na prodajo in uporabo strojne opreme kot tudi posameznih enot Oprema ki jo bo vzdrževal ima neko serijsko številko oziroma namestitveno pogodbo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 23
Napredno vzdrževanje strojne opreme Učno gradivo
Diski in na njem zaupni podatki strojna oprema ponarejanje in zamenjava s slabšimi produkti dolgoročne ne vodi računalnikarja tako do osebnega kot tudi poslovnega uspeha Res je da je mnogo različno kakovostnih produktov strojne opreme na trgu vendar tudi zloraba pri naprednem servisiranju in vzdrževanju prinašata posledice
Računalnikar se bo na terenu srečeval z identitetami računalnikov podjetij organizacij ki so po svoji naravi različna
Kot primer navajam uporabniške skupine strojne opreme ki so privrženci za Apple ter uporabniki oz privrženci za IBM Vsi bodo hvalili in zagotavljali boljšo kvaliteto in kakovost svoje strojne opreme
Zatorej vedno v tehničnem poročilu navedemo stanje strojne opreme pred našim prihodom in po tem ko smo jo le-to vzdrževali
Tako se profesionalno in komunikacijsko obnašamo s stranko kot pravi računalnikar z veliko odgovornostjo
Napredno svetovanje in pomoč uporabnikom strojne opreme
Pri pomembnosti komunikacije s s stranko moramo torej uporabljati pravila profesionalnega vedenja do stranke
Analizirati učinkovitost obstoječe strojne opreme Svetovati napredne matične plošče procesorje vodila Upoštevati različne strojne zahteve glede na namembnost osebnega računalnika Upoštevamo pomembnost shranjevanja dokumentacije vsaj 4 leta
S stranko je važno da vedno komuniciramo prijazno spoštljivo in umirjeno Kot svetovalec oz napredni računalnikar si lahko informacije o strojni opremi izmenjujemo preko strokovnih forumov novičarskih fan-tehničnih skupin (Apple HP Microsoftipd) ali pa smo povezani preko help-desk podpore na lokalnem zaščitenem omrežju kjer odpravljamo napake na terenu takoj
Zelo pomembna je tudi hitra odzivnost hitro in natančno odpravljanje napak poštenost do stranke ter na koncu primerna cena napredne strojne opreme vzdrževanja
Vprašanja za ponavljanje
Kaj je to komplet čipov
Kaj je osveževanje podpisana pogodbe o strojni opremi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 24
Napredno vzdrževanje strojne opreme Učno gradivo
Kaj je to etičnost in morala pravočasne namestitve napredne strojne opreme
4 Tveganje pri upravljanju napredne strojne opreme
Ko izrečemo ali preberemo besedi raquotveganje upravljanja napredne strojne opremelaquo se ne zavedamo da je tveganje skrito že kar v prvi besedi raquoupravljanjelaquo Tisti ki so odgovorni za upravljanje se tega namreč premalo ali sploh ne zavedajo Tveganja ki se v pri strojni opremi ter poslovnih subjektih na tem nivoju kažejo so
- nikoli dovolj resursov- cilji so nejasni- ni definirane politike standardov- število tveganj je preveliko ne ve se katera strojna oprema je najbolj pomembna- ni kulture
Sicer pa prevladuje prepričanje da se verjetno ne bo nič zgodilo Opisano ni zgled vodstvaZato moramo v svojo organizacijo sistematično s celostnim pristopom vpeljatiupravljanje tveganj Za drugo besedo raquotveganjelaquo se lahko vprašamo na kajnajprej pomislimo v vsakodnevnem življenju ko jo slišimo Najbrž pomislimo dalahko nekaj z določeno verjetnostjo izgubimo Preprosto sklepamo kaj in koliko lahko izgubimo ob neljubem dogodku to opredelimo z raquoresnostjolaquo verjetnost da izgubimo paobičajno opredelimo kot raquofrekvencalaquo pojavljanjaTo da se zgodi tisto česar v bistvu ne želimo je naša raquoranljivostlaquo če se ustreznoodzovemo ali reagiramo na tak dogodek pomeni da smo v aktivnostih privzelidoločene raquoobrambnelaquo mehanizme in zmanjšali raquoizpostavljenostlaquo tveganjemPri obravnavanju tveganj se izvajajo procesi analize ocene in rešitve kar lahkoopredelimo kot raquoupravljanjelaquo Resnost se meri z vrednostmi ovrednotimo jo finančnotorej določimo znesek Verjetnost pa merimo oz ocenimo s številom dogodkov včasovnem obdobju največkrat na leto Seveda bomo pozorni in dogodke spremljali dotiste varnosti in zaščite ki sta primerni sprejemljivi in hkrati skladni z našimivrednotami standardi in ekonomskimi zmožnostmi V bistvu so stvari boljkompleksne vsekakor je pomembna hitrost v odzivnosti Če želimo obravnavati inprimerjati tveganja moramo primerjati razsežnosti tveganj Ni rečeno da so tveganjanizka po vrednosti in visoka po frekvenci z enakim učinkom itd Zanimivo je da so vZDA in anglosaksonskem svetu upravljanje s tveganji vzeli kot tekmovalno prednostmedtem ko je v EU to bolj posledica regulative
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 25
Napredno vzdrževanje strojne opreme Učno gradivo
41 Spremembe pri strojni opremi
Spremembe so silovite Hitro se razvijajoča informacijska in telekomunikacijskatehnologija zahteva nove poslovne modele Gonilniki sprememb vplivajo na poslovnesubjekte ki morajo biti prilagodljivi hitri in hkrati varni Vse to med drugim prinašanegotovost znotraj poslovnega sistema pa tudi v zunanjem okolju Obvladovanjesprememb zahteva izjemne intelektualne napore saj so pritiski na poslovne subjekteveliki Prihajajo s strani zahtev regulative zakonodaje varnosti standardov nadzorakontrol konkurence itd Odražajo se v vrednostnih pogajalcih za PS kot soohranjanje rasti stroški in učinkovitost načrtna razdelitev kapitala in prioritetno sejim pridružuje upravljanje s tveganji torej investiranje v varnost Ključna tveganja vteh transformacijah so tako strateška kot procesna Sem sodijo informacijski sistemi(IS) infrastruktura tehnologija stranke partnerji konkurenca in intelektualni kapital -človeški viri itd Vsako od omenjenih tveganj je sicer možno omiliti ali odpravitivendar je potreben holistični pristop standardizacija privzemanje kulture tveganjpotrebno je kreirati program upravljanja tveganj program varnosti vpeljatiupravljanje znanj integralna orodja za tveganja orodja za analize scenarijev insimulacij uvesti nove discipline in metrike ter dobro prakso In kakšna je potem cenavarnosti Ni univerzalnih navodil ni garancij za uspeh ker v globalnem svetunenehno nastajajo nova tveganja V mreži poslovnih verig so medsebojno odvisna Vnadaljevanju je nakazano strukturno razumevanje oziroma pristop k upravljanjutveganj informacijske tehnologije (IT) kot podpore IS-mu in procesom v poslovnihsistemih ne glede na to kateri industriji poslovni subjekt pripada
V področje upravljanja s tveganji IT (UT-IT) vsekakor spadajo informacijski sistemi[1] IT viri procesi projekti in druge danosti ter kategorije povezane z IT Področjezajema vsa operativna tveganja kot posledice Človeških in tehnoloških napak Jeizjemno široko kompleksno interdisciplinarne narave s poudarkom na ustreznemrazumevanju konceptov z več področij (varnost tveganja nadzor (revizije)neprekinjeno poslovanje) Izhodišče so informacije ki jih podpira IS kateregaomogoča informacijska tehnologija v vsaki organizaciji Informacije potrebujejoanalizo tako domene IS kot poslovne domene Informacije so vitalen vir vsakeposlovne enote zato so tudi tarča napadov z različnimi motivi in vplivi na poslovanjeUT-IT tako zajema uporabnike IT organizacijo IT in njeno dejavnost kot storitevkončnim uporabnikom
IT organizacija mora biti ustrezno organizirana da zagotavljaposlanstvo varnosti učinkovitosti IS in dostavo storitev Zato imavarnost v organizacijah več oblik Odvisne so ena od druge inpredstavljalo celotno varnost (fizičnondashtehnično varnost in upravljalnisistem informacijske varnosti)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 26
Napredno vzdrževanje strojne opreme Učno gradivo
Pogled na strukturo IT organizacije je priporočljiv z več vidikov in dimenzijPredstava v prostoru je znana IT raquokockalaquo Med IT vire pa na splošno opredeljujemo
- ljudi- aplikacije- tehnologijo- podatke- Podporo-
Taka struktura je pomembna za odpravljanje tveganj v IT organizacijah namrečzajema tako procese kot več disciplin in upravljanje dejavnosti IT organizacije S temdemonstriramo funkcionalnost ki zagotavlja kvalitetno storitev IT Taka strukturaomogoča boljšo dostavljivost IT rešitev kar pomeni učinkovitost IS in zmanjšanjedoločenih tveganj med njimi tudi usklajevanje poslovnih ciljev najvišjega vodstva zIT
Ker izhajamo iz informacije poglejmo njene lastnosti Glavni kriteriji za ocenjevanjeso zaupnost integriteta in razpoložljivost Metoda UT-IT pa je skupni imenovalec zaanalizo neprekinjenemu poslovanju [4] projektnemu vodenju [5] drugim disciplinamin revizijam ter informacijskim varnostnim tveganjem Tveganja iz naslovainformacijske varnosti lahko do določene stopnje primerjamo s kontrolami [6] S tegavidika kontrole zmanjšujejo tveganja in so povezane z revizijami (notranjimi inzunanjimi) Pri tem se opirajo na preglede v katerih se ugotavljajo primernost inskladnost varnostne arhitekture ter učinkovitosti izvajanja upravljanja tveganjTudi odločitve običajno temeljijo na informacijah če so informacije mehke pride doizraza večja negotovost in odločitve ki se sprejemajo lahko pripeljejo do usodnihdogodkov v katerih se tveganja uresničijo in nastajajo izgube v poslovanjuDefinicij informacije je precej Velja da je to vir vsakega poslovnega subjekta Takopridemo do vrednosti informacije kot vseh drugih vitalnih vrednih virov v poslovnemsistemu Prav neustrezno ravnanje z informacijami povzroča velika tveganja ininformacijsko nestabilnost Dejstvo je da se mora v digitalni ekonomiji in globalnemsvetu poleg socialne finančne in ekonomske stabilnosti upoštevati tudi informacijska
Pri poslovanju so vsekakor pomembni procesi ki so predmet obravnave na področjuupravljanja tveganj IT Tako UT-IT opredeljuje in zajema tudi operativna tveganja Izpraktičnega vidika je v poslovnem sistemu veliko procesov ki se nadalje delijo napodprocese in aktivnosti temeljni in podporni Toda vsi morajo biti raquooptimalnilaquovodeni in nadzorovani Precej kompleksnosti naraste v informacijskem sistemu ki gapodpirata informacijska in telekomunikacijska tehnologija Zato je za področje UT-ITsmiselno uporabiti okvir COBIT Ta standard se lahko uspešno privzame tudi pri samiorganiziranosti in definiciji procesov v organizacijah ITUT-IT je prav tako proces v katerem se proučuje in obravnava IS-me Sem spadajotudi nevarnosti ki pretijo poslovnemu sitemu IS-mu IT organizaciji njeni storitveni
dejavnosti torej vsem virom v sistemu kakor tudi drugim poslovnim subjektom vposlovni verigi V njej so tehnološke razdalje med subjekti izjemno ranljive saj nasvoji poti informacije doživljajo spremembe procesi v katerih se to dogaja pa so semorali razširiti izven okolja posamezne organizacije ali PS Pot je posejana z
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 27
Napredno vzdrževanje strojne opreme Učno gradivo
nevarnostmi različnih izvorov tako da se tudi tveganja in njihovi vplivi na poslovanjeodražajo z različnimi učinki Poglablja se tveganje e-poslovanja gre za takoimenovana e-tveganja Biti brez varnosti v realnem času in hitre odzivne funkcije natveganja ter nepredvidene dogodke je lahko za poslovanje silno usodno Zatoobstajajo različne strategije orodja in načini za zdravljenje tveganj ki skupajpredstavljajo obrambne mehanizme organizacije Pri tem je pomembno zavedanje inizobraževanje ter neprestano usposabljanje strokovnjakov na teh področjihOperativna tveganja so izrazito povezana z internimi procesi in jih posamezneindustrije že obravnavajo vsekakor pa jih bo morala vpeljati finančna industrija zlastiban1048830ni sektor ki bo moral biti skladen z Baselskim II standardom in EU (CAD)direktivami Standard namreč zajema potencialne izgube tudi iz naslova operativnihtveganj ne glede na interne ali zunanje dejavnike Osredotočen je na objavopotencialnih izgub za vse poslovne linije organizacije po določeni strukturi poročanjaglede kapitalske ustreznostiKo pogledamo v bančni sektor je osnovni namen obvladovanja inupravljanja s tveganji v bankah zagotavljanje njene plačilnesposobnosti Med različnimi načini za uresničevanje tega cilja je naprvem mestu institut minimalnega kapitala in zagotavljanje potrebnekapitalske ustreznosti banke o katerem govori Basel IIDelež kapitala v celotni bilančni vsoti je pri bankah mnogo manjši kot pri drugihorganizacijah in podjetjih Tudi njegova funkcija je drugačna Kot najpomembnejšafunkcija bančnega kapitala se ponavadi navaja zaščita vlagateljev Bančni kapitalpoleg tega omogoča nadzornim institucijam omejevati obseg tveganih dejavnosti bankin hkrati omogoča banki financiranje njenih osnovnih sredstev Ker so upniki bankmnožice posameznikov ki imajo pri teh bankah praviloma vloge na vpogled alikratkoročno vezane vloge in ker je takrat ko banka postane nelikvidna ponavadi žeprepozno saj je takrat banka praviloma že nesolventna je velikost bančnega kapitalajavna zadeva
Filozofija današnje bančne regulative je dopustiti zdravo konkurenco med bankami inhkrati zagotoviti njihovo disciplino prek predpisovanja minimalnih kapitalskih zahtevBaselski standardi so vplivali na oblikovanje evropskih smernic za banke Polegstandardizirane metodologije za računanje potrebnega kapitala za pokrivanjeomenjenih tveganj so navedeni potrebni pogoji za uporabo internih modelov bank zamerjenje tveganj med njimi operativno tveganje (uporabniki IT in IT organizacij)
Obseg in narava tveganj s katerima se srečujejo banke sta odvisni od narave njihovihposlov Pri tradicionalnih bančnih poslih (dajanje posojil iz prejetih depozitov) se kotglavna tveganja pojavljajo kreditno tveganje (tveganje dolžnikove nezmožnosti alinepripravljenosti izpolniti obveznosti iz naslova kreditne pogodbe) tržnolikvidnostno tveganje (tveganje da banka v določenem trenutku ne more poravnativseh svojih dospelih plačilnih obveznosti) tveganje spremembe obrestne mere(tveganje da bo postala pogodbeno določena obrestna mera drugačna od tržne in dabo banka utrpela izgubo iz tega naslova) ter operacijsko tveganje (tveganje ki mu jebanka izpostavljena zaradi možnih človeških napak torej internih procesov napaktehnologije in zunanjih dejavnikov (gre tudi za prevare poneverbe pranje denarjaoperativne izgube pravne ter druge stroške ki jih banka nosi v primeru njihoveganastanka)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 28
Napredno vzdrževanje strojne opreme Učno gradivo
Z bankami so povezani poslovni subjekti in vsi morajo zagotavljati varno poslovanjeTveganja so precejšnja saj vsi PS ne morejo zagotavljati enako učinkovitihprotiukrepov in varnostnih mer Pogljablja se tudi STP e-poslovanje nastajajo eskupnostiIS-mi se pogovarjajo med seboj brezžične komunikacije nujno jeprivzemanje standardov in različice XML protokola vse različne storitve potrebujejoUT-IT Področje je v razmahu in lastniki ter nadzorni sveti bodo moralikontrolirati operativne izgube in učinkovitost IS NS bodo imeli vlogo potrditvestrategij UT-IT uprave oz vodstva pa bodo morali dokazati skladnost s standardi inmetodami
Primerov storitev ki jih lahko obsega napredno vzdrževanje strojne opreme v UT-IT
spremljanje tehnoloških novosti povezanih z vzdrževano opremo ter priprava predlogov in ukrepov za nemoteno delovanje oz izboljšanje njenega delovanja
zamenjava delov strojne opreme
namestitev varnostnih popravkov na strežniško infrastrukturo
namestitev varnostnih popravkov na delovne postaje in prenosnike
periodično preventivno vzdrževanje strojne opreme
dokumentiranje storitev vzdrževanja
popravilo in odstranitev vseh pomanjkljivosti odkritih med preventivnim pregledom
pomoč sistemskim administratorjem in uporabnikom odgovori na vprašanja in svetovanje glede uporabe vzdrževane infrastrukturne opreme na lokaciji naročnika oz uporabnika
izredni kontrolni nadzor nad delovanjem infrastrukturne opreme po dogovoru z naročnikom
nadgradnja strežnikov delovnih postaj in prenosnih računalnikov
nadgradnja komunikacijske opreme
daljinska pomoč preko telefona elektronske pošte faksa ali daljinskega dostopa pri reševanju problemov uporabnikov odgovori na vprašanja in svetovanje glede uporabe vzdrževane strojne opreme
Osnovno popraviloStrokovnjak bo preveril delovanje računalnika opredelil napako in jo odpravil V to storitev se uvršča odprava manjših napak na računalniku
Storitev vsebuje diagnostiko težave in njeno odpravo v primeru da gre za manjšo napako Med manjše napake sodi ponovna namestitev gonilnikov popravilo napačnih nastavitev v programski opremi ponovna namestitev programov itd
V primeru da sestavljamo ob nakupu nov računalnik z dodatno opremo moramo poskrbeti da bomo da za nakup dobili najboljšo ponudbo računalnika ali računalniške opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 29
Napredno vzdrževanje strojne opreme Učno gradivo
Pri sestavi sistema bomo upoštevali vaše potrebe ter dosegli najboljše razmerje med ceno in zmogljivostjo Poudarek je na individualnem svetovanju katerega namen je kar najbolje poskrbeti za želje uporabnika V ta sklop sodi poleg svetovanja za nakup računalnika tudi svetovanje o ostalih perifernih napravah (tiskalniki usmerjevalniki itd)
Pristop k osnovanju UT-IT
Težko je odgovoriti ali se odzvati na vsa tveganja brez ustreznega znanja Splošnoznano je tudi da se iz podatkov procesirajo informacije in iz njih znanje ki ga jesmiselno takoj uporabiti Gre za znanje poslovnega subjekta v celoti in nekateraspecialna znanja za katera je potrebno zagotoviti da so v pravilnem kontekstu in napravem mestu Upravljanje znanj (UZ) ima lahko odločilno vlogo pri strategiji zavpeljavo področja upravljanja tveganj IT v vsakodnevnem poslovanju UZ zmanjšaraquokorporacijskolaquo izpostavljenost tveganjem Zato je pametno zbrati vse ustrezneinformacije strukturirati znanje v kontekst ali okvir v katerega bodo vnesene vsebinepotrebne za UT-IT Kreiranje portala in repositorija za upravljanje tveganjopredeljujemo kot podporno infrastrukturo področju V repositoriju sopredefinirane strukture Zaposlenim so na voljo v obliki zemljevidov raquomaplaquo kikažejo na vsebine in povezave med njimi ter omogočajo polnjenje vsebin Pridoločanju vsebin lahko sodelujejo vsi želeno je da se v organizaciji na področjutveganj in varnosti ustvarja intelektualni potencialUpravljanje
Tveganj IT5Varnost
Metoda je opredeljena kot množica korakov (algoritem ali navodilo) uporabljenih zaizvršitev naloge (dela posla) Metodologija je nekako širši pojem in predstavljamnožico orodij lahko raziskovalne metode ali razlago teorije vodenja v vodstvenoprakso Torej metodologija organizira teorijo v nekaj razumljivega Ker je na voljo večpristopov metodologij in metod pri upravljanju tveganj bi torej metodologijopredstavljalo orodje za podporo odločitvenim sistemom iz področja UT-IT Tehnik inmetod je dejansko več katere bomo uporabili za različna področja in položaje toterja tehtni premislek
Slika 4 Zunanji disk WD Passport (klikni na sliko
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 30
Napredno vzdrževanje strojne opreme Učno gradivo
V glavnem so osnovane na točkovnih in statističnih metodah kvalitativni inkvantitativni tehniki Znana je enačba tveganj ALE (letnih pričakovanih izgub)Smiselno pa je privzeti metodo standarda BS7799 [10] ali ISO17799 za informacijskovarnost Smiselno je da bi vse industrije prevzele standard PSIST7799 (prevod) kivelja v državi od 13 6 2000 za bančni sektor (z dopolnitvami)Poslovni subjekti lahko uporabljajo lastno razvite tehnike in tehnologije zaidentifikacijo in analizo tveganj Za različne poslovne procese kot so vodenjesprememb združevanja in prevzemi raquocorporate governancelaquo strateško planiranje invrednotenje lahko privzete kvalitativne ali kvantitativne identifikacije tveganj inanalitske tehnike dodajo značilno vrednost za različne poslovne položaje in področjaUveljavljajo se metode analize scenarijev in raquoscorecardslaquo ter druge statistične metoderazne simulacije (Monte Carlo) itdTipično je da se simulacijski modeli uporabljajo za odločitve o sestavi realnihsistemov in za odločitve o politiki in postopkih ki jih uporabljamo pri delovanjurealnih sistemov Simulacija pomaga pri določanju sestave politike in postopkov vnegotovih torej tveganih pogojih okolja sistema Manager poskuša z modelom kotnadomestkom za realni sistem z uporabo različnih vhodnih podatkov in postopkovdoseči na osnovi dobljenih rezultatov pri simulaciji lažje odločanje pri vodenjurealnega sistema Vendar mora biti pri tem pazljiv in rezultatov dobljenih ssimulacijo ne more kratkomalo prenašati v realni svet Model in simulacija lahkopomagata bolje spoznati delovanje realnega sistema ne moreta pa zagotoviti raquopraveizbirelaquo za realni sistem Pri upravljanju tveganj IT lahko preveč subjektivne ocenepovzročajo nova tveganja predvsem na področju zunanjih virov (outsourcinga) invodenja pogodbZa UT-IT je na voljo dovolj modelov orodij programov in vzorcev ki jih lahkouporabimo v svojem poslovnem okolju Priporoljivo je da vsak poslovni subjektkreira sebi ustrezen model glede na specifiko vendar mora izvajati ovrednotenje da jeskladen s standardi in regulativo Standardi so uveljavljeni in nudijo dovolj velik okvirza njihovo privzemanje in funkcijo uporabe
Pregledni model UT-ITV podporo modelu UT-IT je že potreben omenjeni portal kot rezultat procesov priupravljanju znanj in repositorij kjer se shranjujejo potrebne vsebine in nastaja bazaznanja o dogodkih in tveganjih ter obrambnih mehanizmih Portal služi tudi zaizobraževanje Vsebine predstavljajo sezname in infostrukture od standardov doobrazcev ki se uporabljajo v posameznih fazah ali procesih analize in v obravnavanjutveganj Zbrani so tudi vsi principi zakonodaja politike procedure metrika procesiin tokovi informacij kakor tudi vnos v register tveganj zajem nevarnosti popis vsehkontrol varnostni mehanizmi in seznam protiukrepov vse to za dogodke in scenarijeki se lahko ali so se že zgodiliZa področje UT-IT se kreirajo smernice za posamezne entitete ali subjekte ki sovključeni kot participatorji ter navodila kako se izvajajo aktivnosti Učinkovitost sedoseže s poprej določenimi infostrukturami standardizacijo in povezavami medpodročji ter odnosi med entitetami ali objekti ki tvorijo sistem upravljanja tveganj IT
Kreiranje konteksta ali takšnega okvira je možno ker so v glavnem poznane vsestrukture in gradniki UT-IT in želenega sistema varnosti Dovolj predlog je že naInternetu zato je smiselno področje pregledati in izbrati želene infostrukture Posebnerazlage niso potrebne UT-IT se odvija po projektnih principih s skupinami ki so
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 31
Napredno vzdrževanje strojne opreme Učno gradivo
strokovne na svojih področjih Prav tako se v skupinah (samovodljivo) ocenjujejotveganja in definirajo strategije rešitev za identificirana tveganjaPodročje UT-IT je lahko služba ki je neodvisna in samostojna organizacijska enota v vrhu vodstva organizacijeIZVAJANJEOKVIRKaj kako s 1048830i
- Komunikacijski krogi
Bistven gradnik UT-IT predstavljajo komunikacijski krogi (KK) med področji inodgovornimi ali delegiranimi sodelavci po poslovnih linijah Le-ti predstavljajo raquokomunikatorje tveganjalaquo ki so povezani prek sistema zgodnjega opozarjanja inizvajajo vnos dogodkov ter podatkov za analize tveganj in ocenjevanje vpliva naposlovanje Izkušena skupina določi tudi ustrezne protiukrepe in varnostne mere ter jihposreduje lastnikom tveganj Ti s strokovnjaki za posamezna področja pripravijostrategijo rešitve in jo predstavijo (kot zagovor) odgovornim za področja da se posoglasju lahko izvedejo Področje UT-IT spremlja in spet ocenjuje učinke terrezidualna tveganja Zaradi narave tveganj in inherentnih tveganj IT so tovsakodnevne aktivnosti upravljanje tveganj in varnosti pa je vodstvena funkcijaObstaja še pomembna lastnost in specifika da področja varnosti in tveganj pripadajovsem zaposlenem v organizaciji zato so komunikacijski krogi in pravočasnoinformiranje nujniZa operacijsko kvaliteto v organizaciji je potrebno definirati oz določiti dimenzijo vkateri se meri kvaliteta Značilne so tri dimenzije (kriteriji)
- primernost in funkcionalnost- varnost in zanesljivost- razpoložljivost in dostopnost
- Metrike
-Tveganje je objektivizirane negotovosti glede na možnost pojavitve nezaželenegadogodka merjenje negotovosti in negotovosti izgube Negotovost nastane zaradipomanjkanja informacij o nekdanjih sedanjosti in prihodnjih dogodkih vrednostih inpogojih Ne glede na različne stopnje negotovosti je osnova koncepta negotovosti vpomanjkanju informacij o delih sistema ki ga obravnavamo ali opazujemo Zmanjšanje tveganj mora biti motiv za organizacijo Zmanjšanjestopnje negotovosti je korak k opredelitvi kaj je lahko narejeno zazmanjšanje izpostavljanju tveganj Kakšno metriko uporabimo jeodvisno od tega kaj želimo meriti obravnavati spremljati izboljšatiitdOceniti tveganje pomeni ovrednotiti koliko lahko prenesemo oz izgubimo če seneljubi dogodek zgodi in pri tem izgubimo npr kar posedujemo Ali predstavlja to zanas vrednost in kako pogosto se ti dogodki pojavljajo so začetna razmišljanja ko greza tveganja in reakcije na njihLahko trdimo da je tveganje vedno ocenjeno z analizo scenarijev kar pomenivrednotiti možne izgube in frekvenco verjetnosti možne škode Toda v kakšnemobsegu in po katerih predvidevanjih Vsekakor je pri ocenjevanju tveganj medkvalitativno in kvantitativno analizo razlika Smiselno je obravnavanje analizetveganj Še tako dobro zastavljena varnostna politika brez izvajanja in kontrole ne
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 32
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
namestitev gonilnikov starih verzij programske opreme sistemske in aplikativne napake ter odstranitev vseh uporabnikov ki niso več priključeni v informacijski sistem
Nameščanje in odmeščanje strojne opreme (gonilnikov matične plošče uporabnih vhodnih -izhodnih enot sistemske strojne opreme ter do končnega cilja namestitve Odmeščanje ali odstranitev strojne opreme pri napredni strojni opremi pa je v okolju Windows XP narejeno z posebnimi odnamestitvenimi programi istega proizvajalca oz operacijskega sistema v našem primeru preko Windows nadzorne plošče
Register ki beleži vse namestitve ter spremembe programov znotraj le-tega ima funkcijo spominanja zatorej mora računalnikar uporabiti zmogljiva vzdrževalna orodja ki pretekle namestitve strojne opreme pobrišejo veliko hitreje kot pa uporabnik
Zaščita strojne opreme na uporabniškem nivoju poteka preko dodatnih požarnih zidov z nekaj 1028 bitnim ključi in več V primeru povezav veš računalniških sistemov in mrež znotraj LAN-a imajo najnovejša strojna oprema že nameščene programe za požarni zid znotraj HW proizvoda
3 slika primer brezžične matične plošče
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 20
Napredno vzdrževanje strojne opreme Učno gradivo
i Navodila za izdelavo tehničnega poročila
Kakovostna in po navodilih nadrejenega vzdrževalca - računalnikarja morajo biti zapisana v točno določenem Word formatu z primernim oblikovanjem in zapisom
Struktura naj bo sledeča
Naslovnica
Na njej je logotip Ljudske Univerze Radovljica naziv predmeta ime in priimek dijaka (tehničnega poročila seminarske oz pogodbenika) ime in priimek mentorja mesec in leto izdelave
Povzetek
V nekaj stavkih se povzame vsebino tehničnega poročila seminarske naloge oz naprednega nameščanja strojne opreme
Kazalo vsebine
Je izdelano na podlagi uporabe slogov za naslove Nivoji naslovov naj dosegajo največ nivo 3 (123)
Kazalo slik
Slike ki so uporabljene v nalogi morajo imeti napise Kazalo slik je izdelano na podlagi uporabe sloga za napise (arial 8 pt)
Poglavje uvoda
V tem poglavju se na eni strani strne in izbere kratko in jedrnato uvodna misel avtorja Namen uvoda je da bralca seznani z postopoma brano tematiko v gradivu
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 21
Napredno vzdrževanje strojne opreme Učno gradivo
Ostala poglavja
Nato sledijo ostala poglavja kot si jih je zamislil dijak
Povzetek
V povzetku se na kratko povzame obravnavan tema in nakaže morebitne težave in priložnosti pri obravnavanju tematike
Literatura
Zaradi avtorskih pravic in nelegalnega kopiranja inovacij predvsem tehničnih izumov se vedno navaja vire in informacije od tam kjer je avtor napisal strojno pogodbo tehnično poročilo ali seminarsko nalogo
Literatura zavzema spletne naslove podjetij gradiv časopisov revij in knjižnih strokovnih knjig
-------------------------------------------------------------------------------------------------------
Velikost pisave je 12 ali 14Pt
Vrsta pisave je Times New Roman
Slogi napisov
Naslov 1 pisava Cambria velikost 14pik krepko
Naslov 2 pisava Cambria velikost 13 pik krepko
Naslov 3 pisava Cambria velikost 12 pik krepko
Jezik
V strokovno-znanstveni literaturi je uporaba knjižnega jezika in urejevalnika besedil smiselna V primeru da je prevod izraza v tujkah se v oklepaju navede vrsto tujega jezika in prevod Primer
RAM (ang Random Access Memory)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 22
Napredno vzdrževanje strojne opreme Učno gradivo
Obseg
Tehnično poročilo je predvideno do 4 strani v primeru modula M8
Vzdrževalna pogodba je kratka in po členih pravno definirana v obliki medsebojnega dogovora naprednega vzdrževanja strojne opreme ter lastnika zastarele strojne opreme
Seminarska naloga je definirana glede na temo ni vrsto seminarske zatorej je priporočljivo imeti navodila strani- obsega ob začetku pisanja
Vprašanja za ponavljanje
Kakšno je tehnično poročilo
Zakaj je strojna oprema potrebna naprednega vzdrževanja ob koncu leta
Kakšne vrste pogodb o namestitvi strojne opreme poznaš v IT-ju
Kako izgleda licenčna namestitev strojne opreme Glej primer HW podjetij ki uporabljajo strojno opremo IBMHPLogitech ipd
Spletni brskalniki
Glede na naravo dela in poznavanje novih strojnih namestitev ter naprednih oprem ki nastajajo v posameznih multunacionalnih laboratorijih in proizvodnih procesih mora računalnikar biti seznanjen z novimi produkti oz strojno opremo v sodobnem času
Uporabo dostopa do wwwgooglecom wwwhpcom wwwibmcom wwwapplecom mu omogočajo pri velikanski izbiri na trgu da poišče primerno opremo proizvajalca zamenjati določen zastarel že servisiran produkt mikroprocesor izh-enoto ipd
Za brskanje po spletu je važno da se spozna na prodajo in uporabo strojne opreme kot tudi posameznih enot Oprema ki jo bo vzdrževal ima neko serijsko številko oziroma namestitveno pogodbo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 23
Napredno vzdrževanje strojne opreme Učno gradivo
Diski in na njem zaupni podatki strojna oprema ponarejanje in zamenjava s slabšimi produkti dolgoročne ne vodi računalnikarja tako do osebnega kot tudi poslovnega uspeha Res je da je mnogo različno kakovostnih produktov strojne opreme na trgu vendar tudi zloraba pri naprednem servisiranju in vzdrževanju prinašata posledice
Računalnikar se bo na terenu srečeval z identitetami računalnikov podjetij organizacij ki so po svoji naravi različna
Kot primer navajam uporabniške skupine strojne opreme ki so privrženci za Apple ter uporabniki oz privrženci za IBM Vsi bodo hvalili in zagotavljali boljšo kvaliteto in kakovost svoje strojne opreme
Zatorej vedno v tehničnem poročilu navedemo stanje strojne opreme pred našim prihodom in po tem ko smo jo le-to vzdrževali
Tako se profesionalno in komunikacijsko obnašamo s stranko kot pravi računalnikar z veliko odgovornostjo
Napredno svetovanje in pomoč uporabnikom strojne opreme
Pri pomembnosti komunikacije s s stranko moramo torej uporabljati pravila profesionalnega vedenja do stranke
Analizirati učinkovitost obstoječe strojne opreme Svetovati napredne matične plošče procesorje vodila Upoštevati različne strojne zahteve glede na namembnost osebnega računalnika Upoštevamo pomembnost shranjevanja dokumentacije vsaj 4 leta
S stranko je važno da vedno komuniciramo prijazno spoštljivo in umirjeno Kot svetovalec oz napredni računalnikar si lahko informacije o strojni opremi izmenjujemo preko strokovnih forumov novičarskih fan-tehničnih skupin (Apple HP Microsoftipd) ali pa smo povezani preko help-desk podpore na lokalnem zaščitenem omrežju kjer odpravljamo napake na terenu takoj
Zelo pomembna je tudi hitra odzivnost hitro in natančno odpravljanje napak poštenost do stranke ter na koncu primerna cena napredne strojne opreme vzdrževanja
Vprašanja za ponavljanje
Kaj je to komplet čipov
Kaj je osveževanje podpisana pogodbe o strojni opremi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 24
Napredno vzdrževanje strojne opreme Učno gradivo
Kaj je to etičnost in morala pravočasne namestitve napredne strojne opreme
4 Tveganje pri upravljanju napredne strojne opreme
Ko izrečemo ali preberemo besedi raquotveganje upravljanja napredne strojne opremelaquo se ne zavedamo da je tveganje skrito že kar v prvi besedi raquoupravljanjelaquo Tisti ki so odgovorni za upravljanje se tega namreč premalo ali sploh ne zavedajo Tveganja ki se v pri strojni opremi ter poslovnih subjektih na tem nivoju kažejo so
- nikoli dovolj resursov- cilji so nejasni- ni definirane politike standardov- število tveganj je preveliko ne ve se katera strojna oprema je najbolj pomembna- ni kulture
Sicer pa prevladuje prepričanje da se verjetno ne bo nič zgodilo Opisano ni zgled vodstvaZato moramo v svojo organizacijo sistematično s celostnim pristopom vpeljatiupravljanje tveganj Za drugo besedo raquotveganjelaquo se lahko vprašamo na kajnajprej pomislimo v vsakodnevnem življenju ko jo slišimo Najbrž pomislimo dalahko nekaj z določeno verjetnostjo izgubimo Preprosto sklepamo kaj in koliko lahko izgubimo ob neljubem dogodku to opredelimo z raquoresnostjolaquo verjetnost da izgubimo paobičajno opredelimo kot raquofrekvencalaquo pojavljanjaTo da se zgodi tisto česar v bistvu ne želimo je naša raquoranljivostlaquo če se ustreznoodzovemo ali reagiramo na tak dogodek pomeni da smo v aktivnostih privzelidoločene raquoobrambnelaquo mehanizme in zmanjšali raquoizpostavljenostlaquo tveganjemPri obravnavanju tveganj se izvajajo procesi analize ocene in rešitve kar lahkoopredelimo kot raquoupravljanjelaquo Resnost se meri z vrednostmi ovrednotimo jo finančnotorej določimo znesek Verjetnost pa merimo oz ocenimo s številom dogodkov včasovnem obdobju največkrat na leto Seveda bomo pozorni in dogodke spremljali dotiste varnosti in zaščite ki sta primerni sprejemljivi in hkrati skladni z našimivrednotami standardi in ekonomskimi zmožnostmi V bistvu so stvari boljkompleksne vsekakor je pomembna hitrost v odzivnosti Če želimo obravnavati inprimerjati tveganja moramo primerjati razsežnosti tveganj Ni rečeno da so tveganjanizka po vrednosti in visoka po frekvenci z enakim učinkom itd Zanimivo je da so vZDA in anglosaksonskem svetu upravljanje s tveganji vzeli kot tekmovalno prednostmedtem ko je v EU to bolj posledica regulative
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 25
Napredno vzdrževanje strojne opreme Učno gradivo
41 Spremembe pri strojni opremi
Spremembe so silovite Hitro se razvijajoča informacijska in telekomunikacijskatehnologija zahteva nove poslovne modele Gonilniki sprememb vplivajo na poslovnesubjekte ki morajo biti prilagodljivi hitri in hkrati varni Vse to med drugim prinašanegotovost znotraj poslovnega sistema pa tudi v zunanjem okolju Obvladovanjesprememb zahteva izjemne intelektualne napore saj so pritiski na poslovne subjekteveliki Prihajajo s strani zahtev regulative zakonodaje varnosti standardov nadzorakontrol konkurence itd Odražajo se v vrednostnih pogajalcih za PS kot soohranjanje rasti stroški in učinkovitost načrtna razdelitev kapitala in prioritetno sejim pridružuje upravljanje s tveganji torej investiranje v varnost Ključna tveganja vteh transformacijah so tako strateška kot procesna Sem sodijo informacijski sistemi(IS) infrastruktura tehnologija stranke partnerji konkurenca in intelektualni kapital -človeški viri itd Vsako od omenjenih tveganj je sicer možno omiliti ali odpravitivendar je potreben holistični pristop standardizacija privzemanje kulture tveganjpotrebno je kreirati program upravljanja tveganj program varnosti vpeljatiupravljanje znanj integralna orodja za tveganja orodja za analize scenarijev insimulacij uvesti nove discipline in metrike ter dobro prakso In kakšna je potem cenavarnosti Ni univerzalnih navodil ni garancij za uspeh ker v globalnem svetunenehno nastajajo nova tveganja V mreži poslovnih verig so medsebojno odvisna Vnadaljevanju je nakazano strukturno razumevanje oziroma pristop k upravljanjutveganj informacijske tehnologije (IT) kot podpore IS-mu in procesom v poslovnihsistemih ne glede na to kateri industriji poslovni subjekt pripada
V področje upravljanja s tveganji IT (UT-IT) vsekakor spadajo informacijski sistemi[1] IT viri procesi projekti in druge danosti ter kategorije povezane z IT Področjezajema vsa operativna tveganja kot posledice Človeških in tehnoloških napak Jeizjemno široko kompleksno interdisciplinarne narave s poudarkom na ustreznemrazumevanju konceptov z več področij (varnost tveganja nadzor (revizije)neprekinjeno poslovanje) Izhodišče so informacije ki jih podpira IS kateregaomogoča informacijska tehnologija v vsaki organizaciji Informacije potrebujejoanalizo tako domene IS kot poslovne domene Informacije so vitalen vir vsakeposlovne enote zato so tudi tarča napadov z različnimi motivi in vplivi na poslovanjeUT-IT tako zajema uporabnike IT organizacijo IT in njeno dejavnost kot storitevkončnim uporabnikom
IT organizacija mora biti ustrezno organizirana da zagotavljaposlanstvo varnosti učinkovitosti IS in dostavo storitev Zato imavarnost v organizacijah več oblik Odvisne so ena od druge inpredstavljalo celotno varnost (fizičnondashtehnično varnost in upravljalnisistem informacijske varnosti)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 26
Napredno vzdrževanje strojne opreme Učno gradivo
Pogled na strukturo IT organizacije je priporočljiv z več vidikov in dimenzijPredstava v prostoru je znana IT raquokockalaquo Med IT vire pa na splošno opredeljujemo
- ljudi- aplikacije- tehnologijo- podatke- Podporo-
Taka struktura je pomembna za odpravljanje tveganj v IT organizacijah namrečzajema tako procese kot več disciplin in upravljanje dejavnosti IT organizacije S temdemonstriramo funkcionalnost ki zagotavlja kvalitetno storitev IT Taka strukturaomogoča boljšo dostavljivost IT rešitev kar pomeni učinkovitost IS in zmanjšanjedoločenih tveganj med njimi tudi usklajevanje poslovnih ciljev najvišjega vodstva zIT
Ker izhajamo iz informacije poglejmo njene lastnosti Glavni kriteriji za ocenjevanjeso zaupnost integriteta in razpoložljivost Metoda UT-IT pa je skupni imenovalec zaanalizo neprekinjenemu poslovanju [4] projektnemu vodenju [5] drugim disciplinamin revizijam ter informacijskim varnostnim tveganjem Tveganja iz naslovainformacijske varnosti lahko do določene stopnje primerjamo s kontrolami [6] S tegavidika kontrole zmanjšujejo tveganja in so povezane z revizijami (notranjimi inzunanjimi) Pri tem se opirajo na preglede v katerih se ugotavljajo primernost inskladnost varnostne arhitekture ter učinkovitosti izvajanja upravljanja tveganjTudi odločitve običajno temeljijo na informacijah če so informacije mehke pride doizraza večja negotovost in odločitve ki se sprejemajo lahko pripeljejo do usodnihdogodkov v katerih se tveganja uresničijo in nastajajo izgube v poslovanjuDefinicij informacije je precej Velja da je to vir vsakega poslovnega subjekta Takopridemo do vrednosti informacije kot vseh drugih vitalnih vrednih virov v poslovnemsistemu Prav neustrezno ravnanje z informacijami povzroča velika tveganja ininformacijsko nestabilnost Dejstvo je da se mora v digitalni ekonomiji in globalnemsvetu poleg socialne finančne in ekonomske stabilnosti upoštevati tudi informacijska
Pri poslovanju so vsekakor pomembni procesi ki so predmet obravnave na področjuupravljanja tveganj IT Tako UT-IT opredeljuje in zajema tudi operativna tveganja Izpraktičnega vidika je v poslovnem sistemu veliko procesov ki se nadalje delijo napodprocese in aktivnosti temeljni in podporni Toda vsi morajo biti raquooptimalnilaquovodeni in nadzorovani Precej kompleksnosti naraste v informacijskem sistemu ki gapodpirata informacijska in telekomunikacijska tehnologija Zato je za področje UT-ITsmiselno uporabiti okvir COBIT Ta standard se lahko uspešno privzame tudi pri samiorganiziranosti in definiciji procesov v organizacijah ITUT-IT je prav tako proces v katerem se proučuje in obravnava IS-me Sem spadajotudi nevarnosti ki pretijo poslovnemu sitemu IS-mu IT organizaciji njeni storitveni
dejavnosti torej vsem virom v sistemu kakor tudi drugim poslovnim subjektom vposlovni verigi V njej so tehnološke razdalje med subjekti izjemno ranljive saj nasvoji poti informacije doživljajo spremembe procesi v katerih se to dogaja pa so semorali razširiti izven okolja posamezne organizacije ali PS Pot je posejana z
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 27
Napredno vzdrževanje strojne opreme Učno gradivo
nevarnostmi različnih izvorov tako da se tudi tveganja in njihovi vplivi na poslovanjeodražajo z različnimi učinki Poglablja se tveganje e-poslovanja gre za takoimenovana e-tveganja Biti brez varnosti v realnem času in hitre odzivne funkcije natveganja ter nepredvidene dogodke je lahko za poslovanje silno usodno Zatoobstajajo različne strategije orodja in načini za zdravljenje tveganj ki skupajpredstavljajo obrambne mehanizme organizacije Pri tem je pomembno zavedanje inizobraževanje ter neprestano usposabljanje strokovnjakov na teh področjihOperativna tveganja so izrazito povezana z internimi procesi in jih posamezneindustrije že obravnavajo vsekakor pa jih bo morala vpeljati finančna industrija zlastiban1048830ni sektor ki bo moral biti skladen z Baselskim II standardom in EU (CAD)direktivami Standard namreč zajema potencialne izgube tudi iz naslova operativnihtveganj ne glede na interne ali zunanje dejavnike Osredotočen je na objavopotencialnih izgub za vse poslovne linije organizacije po določeni strukturi poročanjaglede kapitalske ustreznostiKo pogledamo v bančni sektor je osnovni namen obvladovanja inupravljanja s tveganji v bankah zagotavljanje njene plačilnesposobnosti Med različnimi načini za uresničevanje tega cilja je naprvem mestu institut minimalnega kapitala in zagotavljanje potrebnekapitalske ustreznosti banke o katerem govori Basel IIDelež kapitala v celotni bilančni vsoti je pri bankah mnogo manjši kot pri drugihorganizacijah in podjetjih Tudi njegova funkcija je drugačna Kot najpomembnejšafunkcija bančnega kapitala se ponavadi navaja zaščita vlagateljev Bančni kapitalpoleg tega omogoča nadzornim institucijam omejevati obseg tveganih dejavnosti bankin hkrati omogoča banki financiranje njenih osnovnih sredstev Ker so upniki bankmnožice posameznikov ki imajo pri teh bankah praviloma vloge na vpogled alikratkoročno vezane vloge in ker je takrat ko banka postane nelikvidna ponavadi žeprepozno saj je takrat banka praviloma že nesolventna je velikost bančnega kapitalajavna zadeva
Filozofija današnje bančne regulative je dopustiti zdravo konkurenco med bankami inhkrati zagotoviti njihovo disciplino prek predpisovanja minimalnih kapitalskih zahtevBaselski standardi so vplivali na oblikovanje evropskih smernic za banke Polegstandardizirane metodologije za računanje potrebnega kapitala za pokrivanjeomenjenih tveganj so navedeni potrebni pogoji za uporabo internih modelov bank zamerjenje tveganj med njimi operativno tveganje (uporabniki IT in IT organizacij)
Obseg in narava tveganj s katerima se srečujejo banke sta odvisni od narave njihovihposlov Pri tradicionalnih bančnih poslih (dajanje posojil iz prejetih depozitov) se kotglavna tveganja pojavljajo kreditno tveganje (tveganje dolžnikove nezmožnosti alinepripravljenosti izpolniti obveznosti iz naslova kreditne pogodbe) tržnolikvidnostno tveganje (tveganje da banka v določenem trenutku ne more poravnativseh svojih dospelih plačilnih obveznosti) tveganje spremembe obrestne mere(tveganje da bo postala pogodbeno določena obrestna mera drugačna od tržne in dabo banka utrpela izgubo iz tega naslova) ter operacijsko tveganje (tveganje ki mu jebanka izpostavljena zaradi možnih človeških napak torej internih procesov napaktehnologije in zunanjih dejavnikov (gre tudi za prevare poneverbe pranje denarjaoperativne izgube pravne ter druge stroške ki jih banka nosi v primeru njihoveganastanka)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 28
Napredno vzdrževanje strojne opreme Učno gradivo
Z bankami so povezani poslovni subjekti in vsi morajo zagotavljati varno poslovanjeTveganja so precejšnja saj vsi PS ne morejo zagotavljati enako učinkovitihprotiukrepov in varnostnih mer Pogljablja se tudi STP e-poslovanje nastajajo eskupnostiIS-mi se pogovarjajo med seboj brezžične komunikacije nujno jeprivzemanje standardov in različice XML protokola vse različne storitve potrebujejoUT-IT Področje je v razmahu in lastniki ter nadzorni sveti bodo moralikontrolirati operativne izgube in učinkovitost IS NS bodo imeli vlogo potrditvestrategij UT-IT uprave oz vodstva pa bodo morali dokazati skladnost s standardi inmetodami
Primerov storitev ki jih lahko obsega napredno vzdrževanje strojne opreme v UT-IT
spremljanje tehnoloških novosti povezanih z vzdrževano opremo ter priprava predlogov in ukrepov za nemoteno delovanje oz izboljšanje njenega delovanja
zamenjava delov strojne opreme
namestitev varnostnih popravkov na strežniško infrastrukturo
namestitev varnostnih popravkov na delovne postaje in prenosnike
periodično preventivno vzdrževanje strojne opreme
dokumentiranje storitev vzdrževanja
popravilo in odstranitev vseh pomanjkljivosti odkritih med preventivnim pregledom
pomoč sistemskim administratorjem in uporabnikom odgovori na vprašanja in svetovanje glede uporabe vzdrževane infrastrukturne opreme na lokaciji naročnika oz uporabnika
izredni kontrolni nadzor nad delovanjem infrastrukturne opreme po dogovoru z naročnikom
nadgradnja strežnikov delovnih postaj in prenosnih računalnikov
nadgradnja komunikacijske opreme
daljinska pomoč preko telefona elektronske pošte faksa ali daljinskega dostopa pri reševanju problemov uporabnikov odgovori na vprašanja in svetovanje glede uporabe vzdrževane strojne opreme
Osnovno popraviloStrokovnjak bo preveril delovanje računalnika opredelil napako in jo odpravil V to storitev se uvršča odprava manjših napak na računalniku
Storitev vsebuje diagnostiko težave in njeno odpravo v primeru da gre za manjšo napako Med manjše napake sodi ponovna namestitev gonilnikov popravilo napačnih nastavitev v programski opremi ponovna namestitev programov itd
V primeru da sestavljamo ob nakupu nov računalnik z dodatno opremo moramo poskrbeti da bomo da za nakup dobili najboljšo ponudbo računalnika ali računalniške opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 29
Napredno vzdrževanje strojne opreme Učno gradivo
Pri sestavi sistema bomo upoštevali vaše potrebe ter dosegli najboljše razmerje med ceno in zmogljivostjo Poudarek je na individualnem svetovanju katerega namen je kar najbolje poskrbeti za želje uporabnika V ta sklop sodi poleg svetovanja za nakup računalnika tudi svetovanje o ostalih perifernih napravah (tiskalniki usmerjevalniki itd)
Pristop k osnovanju UT-IT
Težko je odgovoriti ali se odzvati na vsa tveganja brez ustreznega znanja Splošnoznano je tudi da se iz podatkov procesirajo informacije in iz njih znanje ki ga jesmiselno takoj uporabiti Gre za znanje poslovnega subjekta v celoti in nekateraspecialna znanja za katera je potrebno zagotoviti da so v pravilnem kontekstu in napravem mestu Upravljanje znanj (UZ) ima lahko odločilno vlogo pri strategiji zavpeljavo področja upravljanja tveganj IT v vsakodnevnem poslovanju UZ zmanjšaraquokorporacijskolaquo izpostavljenost tveganjem Zato je pametno zbrati vse ustrezneinformacije strukturirati znanje v kontekst ali okvir v katerega bodo vnesene vsebinepotrebne za UT-IT Kreiranje portala in repositorija za upravljanje tveganjopredeljujemo kot podporno infrastrukturo področju V repositoriju sopredefinirane strukture Zaposlenim so na voljo v obliki zemljevidov raquomaplaquo kikažejo na vsebine in povezave med njimi ter omogočajo polnjenje vsebin Pridoločanju vsebin lahko sodelujejo vsi želeno je da se v organizaciji na področjutveganj in varnosti ustvarja intelektualni potencialUpravljanje
Tveganj IT5Varnost
Metoda je opredeljena kot množica korakov (algoritem ali navodilo) uporabljenih zaizvršitev naloge (dela posla) Metodologija je nekako širši pojem in predstavljamnožico orodij lahko raziskovalne metode ali razlago teorije vodenja v vodstvenoprakso Torej metodologija organizira teorijo v nekaj razumljivega Ker je na voljo večpristopov metodologij in metod pri upravljanju tveganj bi torej metodologijopredstavljalo orodje za podporo odločitvenim sistemom iz področja UT-IT Tehnik inmetod je dejansko več katere bomo uporabili za različna področja in položaje toterja tehtni premislek
Slika 4 Zunanji disk WD Passport (klikni na sliko
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 30
Napredno vzdrževanje strojne opreme Učno gradivo
V glavnem so osnovane na točkovnih in statističnih metodah kvalitativni inkvantitativni tehniki Znana je enačba tveganj ALE (letnih pričakovanih izgub)Smiselno pa je privzeti metodo standarda BS7799 [10] ali ISO17799 za informacijskovarnost Smiselno je da bi vse industrije prevzele standard PSIST7799 (prevod) kivelja v državi od 13 6 2000 za bančni sektor (z dopolnitvami)Poslovni subjekti lahko uporabljajo lastno razvite tehnike in tehnologije zaidentifikacijo in analizo tveganj Za različne poslovne procese kot so vodenjesprememb združevanja in prevzemi raquocorporate governancelaquo strateško planiranje invrednotenje lahko privzete kvalitativne ali kvantitativne identifikacije tveganj inanalitske tehnike dodajo značilno vrednost za različne poslovne položaje in področjaUveljavljajo se metode analize scenarijev in raquoscorecardslaquo ter druge statistične metoderazne simulacije (Monte Carlo) itdTipično je da se simulacijski modeli uporabljajo za odločitve o sestavi realnihsistemov in za odločitve o politiki in postopkih ki jih uporabljamo pri delovanjurealnih sistemov Simulacija pomaga pri določanju sestave politike in postopkov vnegotovih torej tveganih pogojih okolja sistema Manager poskuša z modelom kotnadomestkom za realni sistem z uporabo različnih vhodnih podatkov in postopkovdoseči na osnovi dobljenih rezultatov pri simulaciji lažje odločanje pri vodenjurealnega sistema Vendar mora biti pri tem pazljiv in rezultatov dobljenih ssimulacijo ne more kratkomalo prenašati v realni svet Model in simulacija lahkopomagata bolje spoznati delovanje realnega sistema ne moreta pa zagotoviti raquopraveizbirelaquo za realni sistem Pri upravljanju tveganj IT lahko preveč subjektivne ocenepovzročajo nova tveganja predvsem na področju zunanjih virov (outsourcinga) invodenja pogodbZa UT-IT je na voljo dovolj modelov orodij programov in vzorcev ki jih lahkouporabimo v svojem poslovnem okolju Priporoljivo je da vsak poslovni subjektkreira sebi ustrezen model glede na specifiko vendar mora izvajati ovrednotenje da jeskladen s standardi in regulativo Standardi so uveljavljeni in nudijo dovolj velik okvirza njihovo privzemanje in funkcijo uporabe
Pregledni model UT-ITV podporo modelu UT-IT je že potreben omenjeni portal kot rezultat procesov priupravljanju znanj in repositorij kjer se shranjujejo potrebne vsebine in nastaja bazaznanja o dogodkih in tveganjih ter obrambnih mehanizmih Portal služi tudi zaizobraževanje Vsebine predstavljajo sezname in infostrukture od standardov doobrazcev ki se uporabljajo v posameznih fazah ali procesih analize in v obravnavanjutveganj Zbrani so tudi vsi principi zakonodaja politike procedure metrika procesiin tokovi informacij kakor tudi vnos v register tveganj zajem nevarnosti popis vsehkontrol varnostni mehanizmi in seznam protiukrepov vse to za dogodke in scenarijeki se lahko ali so se že zgodiliZa področje UT-IT se kreirajo smernice za posamezne entitete ali subjekte ki sovključeni kot participatorji ter navodila kako se izvajajo aktivnosti Učinkovitost sedoseže s poprej določenimi infostrukturami standardizacijo in povezavami medpodročji ter odnosi med entitetami ali objekti ki tvorijo sistem upravljanja tveganj IT
Kreiranje konteksta ali takšnega okvira je možno ker so v glavnem poznane vsestrukture in gradniki UT-IT in želenega sistema varnosti Dovolj predlog je že naInternetu zato je smiselno področje pregledati in izbrati želene infostrukture Posebnerazlage niso potrebne UT-IT se odvija po projektnih principih s skupinami ki so
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 31
Napredno vzdrževanje strojne opreme Učno gradivo
strokovne na svojih področjih Prav tako se v skupinah (samovodljivo) ocenjujejotveganja in definirajo strategije rešitev za identificirana tveganjaPodročje UT-IT je lahko služba ki je neodvisna in samostojna organizacijska enota v vrhu vodstva organizacijeIZVAJANJEOKVIRKaj kako s 1048830i
- Komunikacijski krogi
Bistven gradnik UT-IT predstavljajo komunikacijski krogi (KK) med področji inodgovornimi ali delegiranimi sodelavci po poslovnih linijah Le-ti predstavljajo raquokomunikatorje tveganjalaquo ki so povezani prek sistema zgodnjega opozarjanja inizvajajo vnos dogodkov ter podatkov za analize tveganj in ocenjevanje vpliva naposlovanje Izkušena skupina določi tudi ustrezne protiukrepe in varnostne mere ter jihposreduje lastnikom tveganj Ti s strokovnjaki za posamezna področja pripravijostrategijo rešitve in jo predstavijo (kot zagovor) odgovornim za področja da se posoglasju lahko izvedejo Področje UT-IT spremlja in spet ocenjuje učinke terrezidualna tveganja Zaradi narave tveganj in inherentnih tveganj IT so tovsakodnevne aktivnosti upravljanje tveganj in varnosti pa je vodstvena funkcijaObstaja še pomembna lastnost in specifika da področja varnosti in tveganj pripadajovsem zaposlenem v organizaciji zato so komunikacijski krogi in pravočasnoinformiranje nujniZa operacijsko kvaliteto v organizaciji je potrebno definirati oz določiti dimenzijo vkateri se meri kvaliteta Značilne so tri dimenzije (kriteriji)
- primernost in funkcionalnost- varnost in zanesljivost- razpoložljivost in dostopnost
- Metrike
-Tveganje je objektivizirane negotovosti glede na možnost pojavitve nezaželenegadogodka merjenje negotovosti in negotovosti izgube Negotovost nastane zaradipomanjkanja informacij o nekdanjih sedanjosti in prihodnjih dogodkih vrednostih inpogojih Ne glede na različne stopnje negotovosti je osnova koncepta negotovosti vpomanjkanju informacij o delih sistema ki ga obravnavamo ali opazujemo Zmanjšanje tveganj mora biti motiv za organizacijo Zmanjšanjestopnje negotovosti je korak k opredelitvi kaj je lahko narejeno zazmanjšanje izpostavljanju tveganj Kakšno metriko uporabimo jeodvisno od tega kaj želimo meriti obravnavati spremljati izboljšatiitdOceniti tveganje pomeni ovrednotiti koliko lahko prenesemo oz izgubimo če seneljubi dogodek zgodi in pri tem izgubimo npr kar posedujemo Ali predstavlja to zanas vrednost in kako pogosto se ti dogodki pojavljajo so začetna razmišljanja ko greza tveganja in reakcije na njihLahko trdimo da je tveganje vedno ocenjeno z analizo scenarijev kar pomenivrednotiti možne izgube in frekvenco verjetnosti možne škode Toda v kakšnemobsegu in po katerih predvidevanjih Vsekakor je pri ocenjevanju tveganj medkvalitativno in kvantitativno analizo razlika Smiselno je obravnavanje analizetveganj Še tako dobro zastavljena varnostna politika brez izvajanja in kontrole ne
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 32
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
i Navodila za izdelavo tehničnega poročila
Kakovostna in po navodilih nadrejenega vzdrževalca - računalnikarja morajo biti zapisana v točno določenem Word formatu z primernim oblikovanjem in zapisom
Struktura naj bo sledeča
Naslovnica
Na njej je logotip Ljudske Univerze Radovljica naziv predmeta ime in priimek dijaka (tehničnega poročila seminarske oz pogodbenika) ime in priimek mentorja mesec in leto izdelave
Povzetek
V nekaj stavkih se povzame vsebino tehničnega poročila seminarske naloge oz naprednega nameščanja strojne opreme
Kazalo vsebine
Je izdelano na podlagi uporabe slogov za naslove Nivoji naslovov naj dosegajo največ nivo 3 (123)
Kazalo slik
Slike ki so uporabljene v nalogi morajo imeti napise Kazalo slik je izdelano na podlagi uporabe sloga za napise (arial 8 pt)
Poglavje uvoda
V tem poglavju se na eni strani strne in izbere kratko in jedrnato uvodna misel avtorja Namen uvoda je da bralca seznani z postopoma brano tematiko v gradivu
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 21
Napredno vzdrževanje strojne opreme Učno gradivo
Ostala poglavja
Nato sledijo ostala poglavja kot si jih je zamislil dijak
Povzetek
V povzetku se na kratko povzame obravnavan tema in nakaže morebitne težave in priložnosti pri obravnavanju tematike
Literatura
Zaradi avtorskih pravic in nelegalnega kopiranja inovacij predvsem tehničnih izumov se vedno navaja vire in informacije od tam kjer je avtor napisal strojno pogodbo tehnično poročilo ali seminarsko nalogo
Literatura zavzema spletne naslove podjetij gradiv časopisov revij in knjižnih strokovnih knjig
-------------------------------------------------------------------------------------------------------
Velikost pisave je 12 ali 14Pt
Vrsta pisave je Times New Roman
Slogi napisov
Naslov 1 pisava Cambria velikost 14pik krepko
Naslov 2 pisava Cambria velikost 13 pik krepko
Naslov 3 pisava Cambria velikost 12 pik krepko
Jezik
V strokovno-znanstveni literaturi je uporaba knjižnega jezika in urejevalnika besedil smiselna V primeru da je prevod izraza v tujkah se v oklepaju navede vrsto tujega jezika in prevod Primer
RAM (ang Random Access Memory)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 22
Napredno vzdrževanje strojne opreme Učno gradivo
Obseg
Tehnično poročilo je predvideno do 4 strani v primeru modula M8
Vzdrževalna pogodba je kratka in po členih pravno definirana v obliki medsebojnega dogovora naprednega vzdrževanja strojne opreme ter lastnika zastarele strojne opreme
Seminarska naloga je definirana glede na temo ni vrsto seminarske zatorej je priporočljivo imeti navodila strani- obsega ob začetku pisanja
Vprašanja za ponavljanje
Kakšno je tehnično poročilo
Zakaj je strojna oprema potrebna naprednega vzdrževanja ob koncu leta
Kakšne vrste pogodb o namestitvi strojne opreme poznaš v IT-ju
Kako izgleda licenčna namestitev strojne opreme Glej primer HW podjetij ki uporabljajo strojno opremo IBMHPLogitech ipd
Spletni brskalniki
Glede na naravo dela in poznavanje novih strojnih namestitev ter naprednih oprem ki nastajajo v posameznih multunacionalnih laboratorijih in proizvodnih procesih mora računalnikar biti seznanjen z novimi produkti oz strojno opremo v sodobnem času
Uporabo dostopa do wwwgooglecom wwwhpcom wwwibmcom wwwapplecom mu omogočajo pri velikanski izbiri na trgu da poišče primerno opremo proizvajalca zamenjati določen zastarel že servisiran produkt mikroprocesor izh-enoto ipd
Za brskanje po spletu je važno da se spozna na prodajo in uporabo strojne opreme kot tudi posameznih enot Oprema ki jo bo vzdrževal ima neko serijsko številko oziroma namestitveno pogodbo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 23
Napredno vzdrževanje strojne opreme Učno gradivo
Diski in na njem zaupni podatki strojna oprema ponarejanje in zamenjava s slabšimi produkti dolgoročne ne vodi računalnikarja tako do osebnega kot tudi poslovnega uspeha Res je da je mnogo različno kakovostnih produktov strojne opreme na trgu vendar tudi zloraba pri naprednem servisiranju in vzdrževanju prinašata posledice
Računalnikar se bo na terenu srečeval z identitetami računalnikov podjetij organizacij ki so po svoji naravi različna
Kot primer navajam uporabniške skupine strojne opreme ki so privrženci za Apple ter uporabniki oz privrženci za IBM Vsi bodo hvalili in zagotavljali boljšo kvaliteto in kakovost svoje strojne opreme
Zatorej vedno v tehničnem poročilu navedemo stanje strojne opreme pred našim prihodom in po tem ko smo jo le-to vzdrževali
Tako se profesionalno in komunikacijsko obnašamo s stranko kot pravi računalnikar z veliko odgovornostjo
Napredno svetovanje in pomoč uporabnikom strojne opreme
Pri pomembnosti komunikacije s s stranko moramo torej uporabljati pravila profesionalnega vedenja do stranke
Analizirati učinkovitost obstoječe strojne opreme Svetovati napredne matične plošče procesorje vodila Upoštevati različne strojne zahteve glede na namembnost osebnega računalnika Upoštevamo pomembnost shranjevanja dokumentacije vsaj 4 leta
S stranko je važno da vedno komuniciramo prijazno spoštljivo in umirjeno Kot svetovalec oz napredni računalnikar si lahko informacije o strojni opremi izmenjujemo preko strokovnih forumov novičarskih fan-tehničnih skupin (Apple HP Microsoftipd) ali pa smo povezani preko help-desk podpore na lokalnem zaščitenem omrežju kjer odpravljamo napake na terenu takoj
Zelo pomembna je tudi hitra odzivnost hitro in natančno odpravljanje napak poštenost do stranke ter na koncu primerna cena napredne strojne opreme vzdrževanja
Vprašanja za ponavljanje
Kaj je to komplet čipov
Kaj je osveževanje podpisana pogodbe o strojni opremi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 24
Napredno vzdrževanje strojne opreme Učno gradivo
Kaj je to etičnost in morala pravočasne namestitve napredne strojne opreme
4 Tveganje pri upravljanju napredne strojne opreme
Ko izrečemo ali preberemo besedi raquotveganje upravljanja napredne strojne opremelaquo se ne zavedamo da je tveganje skrito že kar v prvi besedi raquoupravljanjelaquo Tisti ki so odgovorni za upravljanje se tega namreč premalo ali sploh ne zavedajo Tveganja ki se v pri strojni opremi ter poslovnih subjektih na tem nivoju kažejo so
- nikoli dovolj resursov- cilji so nejasni- ni definirane politike standardov- število tveganj je preveliko ne ve se katera strojna oprema je najbolj pomembna- ni kulture
Sicer pa prevladuje prepričanje da se verjetno ne bo nič zgodilo Opisano ni zgled vodstvaZato moramo v svojo organizacijo sistematično s celostnim pristopom vpeljatiupravljanje tveganj Za drugo besedo raquotveganjelaquo se lahko vprašamo na kajnajprej pomislimo v vsakodnevnem življenju ko jo slišimo Najbrž pomislimo dalahko nekaj z določeno verjetnostjo izgubimo Preprosto sklepamo kaj in koliko lahko izgubimo ob neljubem dogodku to opredelimo z raquoresnostjolaquo verjetnost da izgubimo paobičajno opredelimo kot raquofrekvencalaquo pojavljanjaTo da se zgodi tisto česar v bistvu ne želimo je naša raquoranljivostlaquo če se ustreznoodzovemo ali reagiramo na tak dogodek pomeni da smo v aktivnostih privzelidoločene raquoobrambnelaquo mehanizme in zmanjšali raquoizpostavljenostlaquo tveganjemPri obravnavanju tveganj se izvajajo procesi analize ocene in rešitve kar lahkoopredelimo kot raquoupravljanjelaquo Resnost se meri z vrednostmi ovrednotimo jo finančnotorej določimo znesek Verjetnost pa merimo oz ocenimo s številom dogodkov včasovnem obdobju največkrat na leto Seveda bomo pozorni in dogodke spremljali dotiste varnosti in zaščite ki sta primerni sprejemljivi in hkrati skladni z našimivrednotami standardi in ekonomskimi zmožnostmi V bistvu so stvari boljkompleksne vsekakor je pomembna hitrost v odzivnosti Če želimo obravnavati inprimerjati tveganja moramo primerjati razsežnosti tveganj Ni rečeno da so tveganjanizka po vrednosti in visoka po frekvenci z enakim učinkom itd Zanimivo je da so vZDA in anglosaksonskem svetu upravljanje s tveganji vzeli kot tekmovalno prednostmedtem ko je v EU to bolj posledica regulative
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 25
Napredno vzdrževanje strojne opreme Učno gradivo
41 Spremembe pri strojni opremi
Spremembe so silovite Hitro se razvijajoča informacijska in telekomunikacijskatehnologija zahteva nove poslovne modele Gonilniki sprememb vplivajo na poslovnesubjekte ki morajo biti prilagodljivi hitri in hkrati varni Vse to med drugim prinašanegotovost znotraj poslovnega sistema pa tudi v zunanjem okolju Obvladovanjesprememb zahteva izjemne intelektualne napore saj so pritiski na poslovne subjekteveliki Prihajajo s strani zahtev regulative zakonodaje varnosti standardov nadzorakontrol konkurence itd Odražajo se v vrednostnih pogajalcih za PS kot soohranjanje rasti stroški in učinkovitost načrtna razdelitev kapitala in prioritetno sejim pridružuje upravljanje s tveganji torej investiranje v varnost Ključna tveganja vteh transformacijah so tako strateška kot procesna Sem sodijo informacijski sistemi(IS) infrastruktura tehnologija stranke partnerji konkurenca in intelektualni kapital -človeški viri itd Vsako od omenjenih tveganj je sicer možno omiliti ali odpravitivendar je potreben holistični pristop standardizacija privzemanje kulture tveganjpotrebno je kreirati program upravljanja tveganj program varnosti vpeljatiupravljanje znanj integralna orodja za tveganja orodja za analize scenarijev insimulacij uvesti nove discipline in metrike ter dobro prakso In kakšna je potem cenavarnosti Ni univerzalnih navodil ni garancij za uspeh ker v globalnem svetunenehno nastajajo nova tveganja V mreži poslovnih verig so medsebojno odvisna Vnadaljevanju je nakazano strukturno razumevanje oziroma pristop k upravljanjutveganj informacijske tehnologije (IT) kot podpore IS-mu in procesom v poslovnihsistemih ne glede na to kateri industriji poslovni subjekt pripada
V področje upravljanja s tveganji IT (UT-IT) vsekakor spadajo informacijski sistemi[1] IT viri procesi projekti in druge danosti ter kategorije povezane z IT Področjezajema vsa operativna tveganja kot posledice Človeških in tehnoloških napak Jeizjemno široko kompleksno interdisciplinarne narave s poudarkom na ustreznemrazumevanju konceptov z več področij (varnost tveganja nadzor (revizije)neprekinjeno poslovanje) Izhodišče so informacije ki jih podpira IS kateregaomogoča informacijska tehnologija v vsaki organizaciji Informacije potrebujejoanalizo tako domene IS kot poslovne domene Informacije so vitalen vir vsakeposlovne enote zato so tudi tarča napadov z različnimi motivi in vplivi na poslovanjeUT-IT tako zajema uporabnike IT organizacijo IT in njeno dejavnost kot storitevkončnim uporabnikom
IT organizacija mora biti ustrezno organizirana da zagotavljaposlanstvo varnosti učinkovitosti IS in dostavo storitev Zato imavarnost v organizacijah več oblik Odvisne so ena od druge inpredstavljalo celotno varnost (fizičnondashtehnično varnost in upravljalnisistem informacijske varnosti)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 26
Napredno vzdrževanje strojne opreme Učno gradivo
Pogled na strukturo IT organizacije je priporočljiv z več vidikov in dimenzijPredstava v prostoru je znana IT raquokockalaquo Med IT vire pa na splošno opredeljujemo
- ljudi- aplikacije- tehnologijo- podatke- Podporo-
Taka struktura je pomembna za odpravljanje tveganj v IT organizacijah namrečzajema tako procese kot več disciplin in upravljanje dejavnosti IT organizacije S temdemonstriramo funkcionalnost ki zagotavlja kvalitetno storitev IT Taka strukturaomogoča boljšo dostavljivost IT rešitev kar pomeni učinkovitost IS in zmanjšanjedoločenih tveganj med njimi tudi usklajevanje poslovnih ciljev najvišjega vodstva zIT
Ker izhajamo iz informacije poglejmo njene lastnosti Glavni kriteriji za ocenjevanjeso zaupnost integriteta in razpoložljivost Metoda UT-IT pa je skupni imenovalec zaanalizo neprekinjenemu poslovanju [4] projektnemu vodenju [5] drugim disciplinamin revizijam ter informacijskim varnostnim tveganjem Tveganja iz naslovainformacijske varnosti lahko do določene stopnje primerjamo s kontrolami [6] S tegavidika kontrole zmanjšujejo tveganja in so povezane z revizijami (notranjimi inzunanjimi) Pri tem se opirajo na preglede v katerih se ugotavljajo primernost inskladnost varnostne arhitekture ter učinkovitosti izvajanja upravljanja tveganjTudi odločitve običajno temeljijo na informacijah če so informacije mehke pride doizraza večja negotovost in odločitve ki se sprejemajo lahko pripeljejo do usodnihdogodkov v katerih se tveganja uresničijo in nastajajo izgube v poslovanjuDefinicij informacije je precej Velja da je to vir vsakega poslovnega subjekta Takopridemo do vrednosti informacije kot vseh drugih vitalnih vrednih virov v poslovnemsistemu Prav neustrezno ravnanje z informacijami povzroča velika tveganja ininformacijsko nestabilnost Dejstvo je da se mora v digitalni ekonomiji in globalnemsvetu poleg socialne finančne in ekonomske stabilnosti upoštevati tudi informacijska
Pri poslovanju so vsekakor pomembni procesi ki so predmet obravnave na področjuupravljanja tveganj IT Tako UT-IT opredeljuje in zajema tudi operativna tveganja Izpraktičnega vidika je v poslovnem sistemu veliko procesov ki se nadalje delijo napodprocese in aktivnosti temeljni in podporni Toda vsi morajo biti raquooptimalnilaquovodeni in nadzorovani Precej kompleksnosti naraste v informacijskem sistemu ki gapodpirata informacijska in telekomunikacijska tehnologija Zato je za področje UT-ITsmiselno uporabiti okvir COBIT Ta standard se lahko uspešno privzame tudi pri samiorganiziranosti in definiciji procesov v organizacijah ITUT-IT je prav tako proces v katerem se proučuje in obravnava IS-me Sem spadajotudi nevarnosti ki pretijo poslovnemu sitemu IS-mu IT organizaciji njeni storitveni
dejavnosti torej vsem virom v sistemu kakor tudi drugim poslovnim subjektom vposlovni verigi V njej so tehnološke razdalje med subjekti izjemno ranljive saj nasvoji poti informacije doživljajo spremembe procesi v katerih se to dogaja pa so semorali razširiti izven okolja posamezne organizacije ali PS Pot je posejana z
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 27
Napredno vzdrževanje strojne opreme Učno gradivo
nevarnostmi različnih izvorov tako da se tudi tveganja in njihovi vplivi na poslovanjeodražajo z različnimi učinki Poglablja se tveganje e-poslovanja gre za takoimenovana e-tveganja Biti brez varnosti v realnem času in hitre odzivne funkcije natveganja ter nepredvidene dogodke je lahko za poslovanje silno usodno Zatoobstajajo različne strategije orodja in načini za zdravljenje tveganj ki skupajpredstavljajo obrambne mehanizme organizacije Pri tem je pomembno zavedanje inizobraževanje ter neprestano usposabljanje strokovnjakov na teh področjihOperativna tveganja so izrazito povezana z internimi procesi in jih posamezneindustrije že obravnavajo vsekakor pa jih bo morala vpeljati finančna industrija zlastiban1048830ni sektor ki bo moral biti skladen z Baselskim II standardom in EU (CAD)direktivami Standard namreč zajema potencialne izgube tudi iz naslova operativnihtveganj ne glede na interne ali zunanje dejavnike Osredotočen je na objavopotencialnih izgub za vse poslovne linije organizacije po določeni strukturi poročanjaglede kapitalske ustreznostiKo pogledamo v bančni sektor je osnovni namen obvladovanja inupravljanja s tveganji v bankah zagotavljanje njene plačilnesposobnosti Med različnimi načini za uresničevanje tega cilja je naprvem mestu institut minimalnega kapitala in zagotavljanje potrebnekapitalske ustreznosti banke o katerem govori Basel IIDelež kapitala v celotni bilančni vsoti je pri bankah mnogo manjši kot pri drugihorganizacijah in podjetjih Tudi njegova funkcija je drugačna Kot najpomembnejšafunkcija bančnega kapitala se ponavadi navaja zaščita vlagateljev Bančni kapitalpoleg tega omogoča nadzornim institucijam omejevati obseg tveganih dejavnosti bankin hkrati omogoča banki financiranje njenih osnovnih sredstev Ker so upniki bankmnožice posameznikov ki imajo pri teh bankah praviloma vloge na vpogled alikratkoročno vezane vloge in ker je takrat ko banka postane nelikvidna ponavadi žeprepozno saj je takrat banka praviloma že nesolventna je velikost bančnega kapitalajavna zadeva
Filozofija današnje bančne regulative je dopustiti zdravo konkurenco med bankami inhkrati zagotoviti njihovo disciplino prek predpisovanja minimalnih kapitalskih zahtevBaselski standardi so vplivali na oblikovanje evropskih smernic za banke Polegstandardizirane metodologije za računanje potrebnega kapitala za pokrivanjeomenjenih tveganj so navedeni potrebni pogoji za uporabo internih modelov bank zamerjenje tveganj med njimi operativno tveganje (uporabniki IT in IT organizacij)
Obseg in narava tveganj s katerima se srečujejo banke sta odvisni od narave njihovihposlov Pri tradicionalnih bančnih poslih (dajanje posojil iz prejetih depozitov) se kotglavna tveganja pojavljajo kreditno tveganje (tveganje dolžnikove nezmožnosti alinepripravljenosti izpolniti obveznosti iz naslova kreditne pogodbe) tržnolikvidnostno tveganje (tveganje da banka v določenem trenutku ne more poravnativseh svojih dospelih plačilnih obveznosti) tveganje spremembe obrestne mere(tveganje da bo postala pogodbeno določena obrestna mera drugačna od tržne in dabo banka utrpela izgubo iz tega naslova) ter operacijsko tveganje (tveganje ki mu jebanka izpostavljena zaradi možnih človeških napak torej internih procesov napaktehnologije in zunanjih dejavnikov (gre tudi za prevare poneverbe pranje denarjaoperativne izgube pravne ter druge stroške ki jih banka nosi v primeru njihoveganastanka)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 28
Napredno vzdrževanje strojne opreme Učno gradivo
Z bankami so povezani poslovni subjekti in vsi morajo zagotavljati varno poslovanjeTveganja so precejšnja saj vsi PS ne morejo zagotavljati enako učinkovitihprotiukrepov in varnostnih mer Pogljablja se tudi STP e-poslovanje nastajajo eskupnostiIS-mi se pogovarjajo med seboj brezžične komunikacije nujno jeprivzemanje standardov in različice XML protokola vse različne storitve potrebujejoUT-IT Področje je v razmahu in lastniki ter nadzorni sveti bodo moralikontrolirati operativne izgube in učinkovitost IS NS bodo imeli vlogo potrditvestrategij UT-IT uprave oz vodstva pa bodo morali dokazati skladnost s standardi inmetodami
Primerov storitev ki jih lahko obsega napredno vzdrževanje strojne opreme v UT-IT
spremljanje tehnoloških novosti povezanih z vzdrževano opremo ter priprava predlogov in ukrepov za nemoteno delovanje oz izboljšanje njenega delovanja
zamenjava delov strojne opreme
namestitev varnostnih popravkov na strežniško infrastrukturo
namestitev varnostnih popravkov na delovne postaje in prenosnike
periodično preventivno vzdrževanje strojne opreme
dokumentiranje storitev vzdrževanja
popravilo in odstranitev vseh pomanjkljivosti odkritih med preventivnim pregledom
pomoč sistemskim administratorjem in uporabnikom odgovori na vprašanja in svetovanje glede uporabe vzdrževane infrastrukturne opreme na lokaciji naročnika oz uporabnika
izredni kontrolni nadzor nad delovanjem infrastrukturne opreme po dogovoru z naročnikom
nadgradnja strežnikov delovnih postaj in prenosnih računalnikov
nadgradnja komunikacijske opreme
daljinska pomoč preko telefona elektronske pošte faksa ali daljinskega dostopa pri reševanju problemov uporabnikov odgovori na vprašanja in svetovanje glede uporabe vzdrževane strojne opreme
Osnovno popraviloStrokovnjak bo preveril delovanje računalnika opredelil napako in jo odpravil V to storitev se uvršča odprava manjših napak na računalniku
Storitev vsebuje diagnostiko težave in njeno odpravo v primeru da gre za manjšo napako Med manjše napake sodi ponovna namestitev gonilnikov popravilo napačnih nastavitev v programski opremi ponovna namestitev programov itd
V primeru da sestavljamo ob nakupu nov računalnik z dodatno opremo moramo poskrbeti da bomo da za nakup dobili najboljšo ponudbo računalnika ali računalniške opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 29
Napredno vzdrževanje strojne opreme Učno gradivo
Pri sestavi sistema bomo upoštevali vaše potrebe ter dosegli najboljše razmerje med ceno in zmogljivostjo Poudarek je na individualnem svetovanju katerega namen je kar najbolje poskrbeti za želje uporabnika V ta sklop sodi poleg svetovanja za nakup računalnika tudi svetovanje o ostalih perifernih napravah (tiskalniki usmerjevalniki itd)
Pristop k osnovanju UT-IT
Težko je odgovoriti ali se odzvati na vsa tveganja brez ustreznega znanja Splošnoznano je tudi da se iz podatkov procesirajo informacije in iz njih znanje ki ga jesmiselno takoj uporabiti Gre za znanje poslovnega subjekta v celoti in nekateraspecialna znanja za katera je potrebno zagotoviti da so v pravilnem kontekstu in napravem mestu Upravljanje znanj (UZ) ima lahko odločilno vlogo pri strategiji zavpeljavo področja upravljanja tveganj IT v vsakodnevnem poslovanju UZ zmanjšaraquokorporacijskolaquo izpostavljenost tveganjem Zato je pametno zbrati vse ustrezneinformacije strukturirati znanje v kontekst ali okvir v katerega bodo vnesene vsebinepotrebne za UT-IT Kreiranje portala in repositorija za upravljanje tveganjopredeljujemo kot podporno infrastrukturo področju V repositoriju sopredefinirane strukture Zaposlenim so na voljo v obliki zemljevidov raquomaplaquo kikažejo na vsebine in povezave med njimi ter omogočajo polnjenje vsebin Pridoločanju vsebin lahko sodelujejo vsi želeno je da se v organizaciji na področjutveganj in varnosti ustvarja intelektualni potencialUpravljanje
Tveganj IT5Varnost
Metoda je opredeljena kot množica korakov (algoritem ali navodilo) uporabljenih zaizvršitev naloge (dela posla) Metodologija je nekako širši pojem in predstavljamnožico orodij lahko raziskovalne metode ali razlago teorije vodenja v vodstvenoprakso Torej metodologija organizira teorijo v nekaj razumljivega Ker je na voljo večpristopov metodologij in metod pri upravljanju tveganj bi torej metodologijopredstavljalo orodje za podporo odločitvenim sistemom iz področja UT-IT Tehnik inmetod je dejansko več katere bomo uporabili za različna področja in položaje toterja tehtni premislek
Slika 4 Zunanji disk WD Passport (klikni na sliko
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 30
Napredno vzdrževanje strojne opreme Učno gradivo
V glavnem so osnovane na točkovnih in statističnih metodah kvalitativni inkvantitativni tehniki Znana je enačba tveganj ALE (letnih pričakovanih izgub)Smiselno pa je privzeti metodo standarda BS7799 [10] ali ISO17799 za informacijskovarnost Smiselno je da bi vse industrije prevzele standard PSIST7799 (prevod) kivelja v državi od 13 6 2000 za bančni sektor (z dopolnitvami)Poslovni subjekti lahko uporabljajo lastno razvite tehnike in tehnologije zaidentifikacijo in analizo tveganj Za različne poslovne procese kot so vodenjesprememb združevanja in prevzemi raquocorporate governancelaquo strateško planiranje invrednotenje lahko privzete kvalitativne ali kvantitativne identifikacije tveganj inanalitske tehnike dodajo značilno vrednost za različne poslovne položaje in področjaUveljavljajo se metode analize scenarijev in raquoscorecardslaquo ter druge statistične metoderazne simulacije (Monte Carlo) itdTipično je da se simulacijski modeli uporabljajo za odločitve o sestavi realnihsistemov in za odločitve o politiki in postopkih ki jih uporabljamo pri delovanjurealnih sistemov Simulacija pomaga pri določanju sestave politike in postopkov vnegotovih torej tveganih pogojih okolja sistema Manager poskuša z modelom kotnadomestkom za realni sistem z uporabo različnih vhodnih podatkov in postopkovdoseči na osnovi dobljenih rezultatov pri simulaciji lažje odločanje pri vodenjurealnega sistema Vendar mora biti pri tem pazljiv in rezultatov dobljenih ssimulacijo ne more kratkomalo prenašati v realni svet Model in simulacija lahkopomagata bolje spoznati delovanje realnega sistema ne moreta pa zagotoviti raquopraveizbirelaquo za realni sistem Pri upravljanju tveganj IT lahko preveč subjektivne ocenepovzročajo nova tveganja predvsem na področju zunanjih virov (outsourcinga) invodenja pogodbZa UT-IT je na voljo dovolj modelov orodij programov in vzorcev ki jih lahkouporabimo v svojem poslovnem okolju Priporoljivo je da vsak poslovni subjektkreira sebi ustrezen model glede na specifiko vendar mora izvajati ovrednotenje da jeskladen s standardi in regulativo Standardi so uveljavljeni in nudijo dovolj velik okvirza njihovo privzemanje in funkcijo uporabe
Pregledni model UT-ITV podporo modelu UT-IT je že potreben omenjeni portal kot rezultat procesov priupravljanju znanj in repositorij kjer se shranjujejo potrebne vsebine in nastaja bazaznanja o dogodkih in tveganjih ter obrambnih mehanizmih Portal služi tudi zaizobraževanje Vsebine predstavljajo sezname in infostrukture od standardov doobrazcev ki se uporabljajo v posameznih fazah ali procesih analize in v obravnavanjutveganj Zbrani so tudi vsi principi zakonodaja politike procedure metrika procesiin tokovi informacij kakor tudi vnos v register tveganj zajem nevarnosti popis vsehkontrol varnostni mehanizmi in seznam protiukrepov vse to za dogodke in scenarijeki se lahko ali so se že zgodiliZa področje UT-IT se kreirajo smernice za posamezne entitete ali subjekte ki sovključeni kot participatorji ter navodila kako se izvajajo aktivnosti Učinkovitost sedoseže s poprej določenimi infostrukturami standardizacijo in povezavami medpodročji ter odnosi med entitetami ali objekti ki tvorijo sistem upravljanja tveganj IT
Kreiranje konteksta ali takšnega okvira je možno ker so v glavnem poznane vsestrukture in gradniki UT-IT in želenega sistema varnosti Dovolj predlog je že naInternetu zato je smiselno področje pregledati in izbrati želene infostrukture Posebnerazlage niso potrebne UT-IT se odvija po projektnih principih s skupinami ki so
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 31
Napredno vzdrževanje strojne opreme Učno gradivo
strokovne na svojih področjih Prav tako se v skupinah (samovodljivo) ocenjujejotveganja in definirajo strategije rešitev za identificirana tveganjaPodročje UT-IT je lahko služba ki je neodvisna in samostojna organizacijska enota v vrhu vodstva organizacijeIZVAJANJEOKVIRKaj kako s 1048830i
- Komunikacijski krogi
Bistven gradnik UT-IT predstavljajo komunikacijski krogi (KK) med področji inodgovornimi ali delegiranimi sodelavci po poslovnih linijah Le-ti predstavljajo raquokomunikatorje tveganjalaquo ki so povezani prek sistema zgodnjega opozarjanja inizvajajo vnos dogodkov ter podatkov za analize tveganj in ocenjevanje vpliva naposlovanje Izkušena skupina določi tudi ustrezne protiukrepe in varnostne mere ter jihposreduje lastnikom tveganj Ti s strokovnjaki za posamezna področja pripravijostrategijo rešitve in jo predstavijo (kot zagovor) odgovornim za področja da se posoglasju lahko izvedejo Področje UT-IT spremlja in spet ocenjuje učinke terrezidualna tveganja Zaradi narave tveganj in inherentnih tveganj IT so tovsakodnevne aktivnosti upravljanje tveganj in varnosti pa je vodstvena funkcijaObstaja še pomembna lastnost in specifika da področja varnosti in tveganj pripadajovsem zaposlenem v organizaciji zato so komunikacijski krogi in pravočasnoinformiranje nujniZa operacijsko kvaliteto v organizaciji je potrebno definirati oz določiti dimenzijo vkateri se meri kvaliteta Značilne so tri dimenzije (kriteriji)
- primernost in funkcionalnost- varnost in zanesljivost- razpoložljivost in dostopnost
- Metrike
-Tveganje je objektivizirane negotovosti glede na možnost pojavitve nezaželenegadogodka merjenje negotovosti in negotovosti izgube Negotovost nastane zaradipomanjkanja informacij o nekdanjih sedanjosti in prihodnjih dogodkih vrednostih inpogojih Ne glede na različne stopnje negotovosti je osnova koncepta negotovosti vpomanjkanju informacij o delih sistema ki ga obravnavamo ali opazujemo Zmanjšanje tveganj mora biti motiv za organizacijo Zmanjšanjestopnje negotovosti je korak k opredelitvi kaj je lahko narejeno zazmanjšanje izpostavljanju tveganj Kakšno metriko uporabimo jeodvisno od tega kaj želimo meriti obravnavati spremljati izboljšatiitdOceniti tveganje pomeni ovrednotiti koliko lahko prenesemo oz izgubimo če seneljubi dogodek zgodi in pri tem izgubimo npr kar posedujemo Ali predstavlja to zanas vrednost in kako pogosto se ti dogodki pojavljajo so začetna razmišljanja ko greza tveganja in reakcije na njihLahko trdimo da je tveganje vedno ocenjeno z analizo scenarijev kar pomenivrednotiti možne izgube in frekvenco verjetnosti možne škode Toda v kakšnemobsegu in po katerih predvidevanjih Vsekakor je pri ocenjevanju tveganj medkvalitativno in kvantitativno analizo razlika Smiselno je obravnavanje analizetveganj Še tako dobro zastavljena varnostna politika brez izvajanja in kontrole ne
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 32
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
Ostala poglavja
Nato sledijo ostala poglavja kot si jih je zamislil dijak
Povzetek
V povzetku se na kratko povzame obravnavan tema in nakaže morebitne težave in priložnosti pri obravnavanju tematike
Literatura
Zaradi avtorskih pravic in nelegalnega kopiranja inovacij predvsem tehničnih izumov se vedno navaja vire in informacije od tam kjer je avtor napisal strojno pogodbo tehnično poročilo ali seminarsko nalogo
Literatura zavzema spletne naslove podjetij gradiv časopisov revij in knjižnih strokovnih knjig
-------------------------------------------------------------------------------------------------------
Velikost pisave je 12 ali 14Pt
Vrsta pisave je Times New Roman
Slogi napisov
Naslov 1 pisava Cambria velikost 14pik krepko
Naslov 2 pisava Cambria velikost 13 pik krepko
Naslov 3 pisava Cambria velikost 12 pik krepko
Jezik
V strokovno-znanstveni literaturi je uporaba knjižnega jezika in urejevalnika besedil smiselna V primeru da je prevod izraza v tujkah se v oklepaju navede vrsto tujega jezika in prevod Primer
RAM (ang Random Access Memory)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 22
Napredno vzdrževanje strojne opreme Učno gradivo
Obseg
Tehnično poročilo je predvideno do 4 strani v primeru modula M8
Vzdrževalna pogodba je kratka in po členih pravno definirana v obliki medsebojnega dogovora naprednega vzdrževanja strojne opreme ter lastnika zastarele strojne opreme
Seminarska naloga je definirana glede na temo ni vrsto seminarske zatorej je priporočljivo imeti navodila strani- obsega ob začetku pisanja
Vprašanja za ponavljanje
Kakšno je tehnično poročilo
Zakaj je strojna oprema potrebna naprednega vzdrževanja ob koncu leta
Kakšne vrste pogodb o namestitvi strojne opreme poznaš v IT-ju
Kako izgleda licenčna namestitev strojne opreme Glej primer HW podjetij ki uporabljajo strojno opremo IBMHPLogitech ipd
Spletni brskalniki
Glede na naravo dela in poznavanje novih strojnih namestitev ter naprednih oprem ki nastajajo v posameznih multunacionalnih laboratorijih in proizvodnih procesih mora računalnikar biti seznanjen z novimi produkti oz strojno opremo v sodobnem času
Uporabo dostopa do wwwgooglecom wwwhpcom wwwibmcom wwwapplecom mu omogočajo pri velikanski izbiri na trgu da poišče primerno opremo proizvajalca zamenjati določen zastarel že servisiran produkt mikroprocesor izh-enoto ipd
Za brskanje po spletu je važno da se spozna na prodajo in uporabo strojne opreme kot tudi posameznih enot Oprema ki jo bo vzdrževal ima neko serijsko številko oziroma namestitveno pogodbo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 23
Napredno vzdrževanje strojne opreme Učno gradivo
Diski in na njem zaupni podatki strojna oprema ponarejanje in zamenjava s slabšimi produkti dolgoročne ne vodi računalnikarja tako do osebnega kot tudi poslovnega uspeha Res je da je mnogo različno kakovostnih produktov strojne opreme na trgu vendar tudi zloraba pri naprednem servisiranju in vzdrževanju prinašata posledice
Računalnikar se bo na terenu srečeval z identitetami računalnikov podjetij organizacij ki so po svoji naravi različna
Kot primer navajam uporabniške skupine strojne opreme ki so privrženci za Apple ter uporabniki oz privrženci za IBM Vsi bodo hvalili in zagotavljali boljšo kvaliteto in kakovost svoje strojne opreme
Zatorej vedno v tehničnem poročilu navedemo stanje strojne opreme pred našim prihodom in po tem ko smo jo le-to vzdrževali
Tako se profesionalno in komunikacijsko obnašamo s stranko kot pravi računalnikar z veliko odgovornostjo
Napredno svetovanje in pomoč uporabnikom strojne opreme
Pri pomembnosti komunikacije s s stranko moramo torej uporabljati pravila profesionalnega vedenja do stranke
Analizirati učinkovitost obstoječe strojne opreme Svetovati napredne matične plošče procesorje vodila Upoštevati različne strojne zahteve glede na namembnost osebnega računalnika Upoštevamo pomembnost shranjevanja dokumentacije vsaj 4 leta
S stranko je važno da vedno komuniciramo prijazno spoštljivo in umirjeno Kot svetovalec oz napredni računalnikar si lahko informacije o strojni opremi izmenjujemo preko strokovnih forumov novičarskih fan-tehničnih skupin (Apple HP Microsoftipd) ali pa smo povezani preko help-desk podpore na lokalnem zaščitenem omrežju kjer odpravljamo napake na terenu takoj
Zelo pomembna je tudi hitra odzivnost hitro in natančno odpravljanje napak poštenost do stranke ter na koncu primerna cena napredne strojne opreme vzdrževanja
Vprašanja za ponavljanje
Kaj je to komplet čipov
Kaj je osveževanje podpisana pogodbe o strojni opremi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 24
Napredno vzdrževanje strojne opreme Učno gradivo
Kaj je to etičnost in morala pravočasne namestitve napredne strojne opreme
4 Tveganje pri upravljanju napredne strojne opreme
Ko izrečemo ali preberemo besedi raquotveganje upravljanja napredne strojne opremelaquo se ne zavedamo da je tveganje skrito že kar v prvi besedi raquoupravljanjelaquo Tisti ki so odgovorni za upravljanje se tega namreč premalo ali sploh ne zavedajo Tveganja ki se v pri strojni opremi ter poslovnih subjektih na tem nivoju kažejo so
- nikoli dovolj resursov- cilji so nejasni- ni definirane politike standardov- število tveganj je preveliko ne ve se katera strojna oprema je najbolj pomembna- ni kulture
Sicer pa prevladuje prepričanje da se verjetno ne bo nič zgodilo Opisano ni zgled vodstvaZato moramo v svojo organizacijo sistematično s celostnim pristopom vpeljatiupravljanje tveganj Za drugo besedo raquotveganjelaquo se lahko vprašamo na kajnajprej pomislimo v vsakodnevnem življenju ko jo slišimo Najbrž pomislimo dalahko nekaj z določeno verjetnostjo izgubimo Preprosto sklepamo kaj in koliko lahko izgubimo ob neljubem dogodku to opredelimo z raquoresnostjolaquo verjetnost da izgubimo paobičajno opredelimo kot raquofrekvencalaquo pojavljanjaTo da se zgodi tisto česar v bistvu ne želimo je naša raquoranljivostlaquo če se ustreznoodzovemo ali reagiramo na tak dogodek pomeni da smo v aktivnostih privzelidoločene raquoobrambnelaquo mehanizme in zmanjšali raquoizpostavljenostlaquo tveganjemPri obravnavanju tveganj se izvajajo procesi analize ocene in rešitve kar lahkoopredelimo kot raquoupravljanjelaquo Resnost se meri z vrednostmi ovrednotimo jo finančnotorej določimo znesek Verjetnost pa merimo oz ocenimo s številom dogodkov včasovnem obdobju največkrat na leto Seveda bomo pozorni in dogodke spremljali dotiste varnosti in zaščite ki sta primerni sprejemljivi in hkrati skladni z našimivrednotami standardi in ekonomskimi zmožnostmi V bistvu so stvari boljkompleksne vsekakor je pomembna hitrost v odzivnosti Če želimo obravnavati inprimerjati tveganja moramo primerjati razsežnosti tveganj Ni rečeno da so tveganjanizka po vrednosti in visoka po frekvenci z enakim učinkom itd Zanimivo je da so vZDA in anglosaksonskem svetu upravljanje s tveganji vzeli kot tekmovalno prednostmedtem ko je v EU to bolj posledica regulative
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 25
Napredno vzdrževanje strojne opreme Učno gradivo
41 Spremembe pri strojni opremi
Spremembe so silovite Hitro se razvijajoča informacijska in telekomunikacijskatehnologija zahteva nove poslovne modele Gonilniki sprememb vplivajo na poslovnesubjekte ki morajo biti prilagodljivi hitri in hkrati varni Vse to med drugim prinašanegotovost znotraj poslovnega sistema pa tudi v zunanjem okolju Obvladovanjesprememb zahteva izjemne intelektualne napore saj so pritiski na poslovne subjekteveliki Prihajajo s strani zahtev regulative zakonodaje varnosti standardov nadzorakontrol konkurence itd Odražajo se v vrednostnih pogajalcih za PS kot soohranjanje rasti stroški in učinkovitost načrtna razdelitev kapitala in prioritetno sejim pridružuje upravljanje s tveganji torej investiranje v varnost Ključna tveganja vteh transformacijah so tako strateška kot procesna Sem sodijo informacijski sistemi(IS) infrastruktura tehnologija stranke partnerji konkurenca in intelektualni kapital -človeški viri itd Vsako od omenjenih tveganj je sicer možno omiliti ali odpravitivendar je potreben holistični pristop standardizacija privzemanje kulture tveganjpotrebno je kreirati program upravljanja tveganj program varnosti vpeljatiupravljanje znanj integralna orodja za tveganja orodja za analize scenarijev insimulacij uvesti nove discipline in metrike ter dobro prakso In kakšna je potem cenavarnosti Ni univerzalnih navodil ni garancij za uspeh ker v globalnem svetunenehno nastajajo nova tveganja V mreži poslovnih verig so medsebojno odvisna Vnadaljevanju je nakazano strukturno razumevanje oziroma pristop k upravljanjutveganj informacijske tehnologije (IT) kot podpore IS-mu in procesom v poslovnihsistemih ne glede na to kateri industriji poslovni subjekt pripada
V področje upravljanja s tveganji IT (UT-IT) vsekakor spadajo informacijski sistemi[1] IT viri procesi projekti in druge danosti ter kategorije povezane z IT Področjezajema vsa operativna tveganja kot posledice Človeških in tehnoloških napak Jeizjemno široko kompleksno interdisciplinarne narave s poudarkom na ustreznemrazumevanju konceptov z več področij (varnost tveganja nadzor (revizije)neprekinjeno poslovanje) Izhodišče so informacije ki jih podpira IS kateregaomogoča informacijska tehnologija v vsaki organizaciji Informacije potrebujejoanalizo tako domene IS kot poslovne domene Informacije so vitalen vir vsakeposlovne enote zato so tudi tarča napadov z različnimi motivi in vplivi na poslovanjeUT-IT tako zajema uporabnike IT organizacijo IT in njeno dejavnost kot storitevkončnim uporabnikom
IT organizacija mora biti ustrezno organizirana da zagotavljaposlanstvo varnosti učinkovitosti IS in dostavo storitev Zato imavarnost v organizacijah več oblik Odvisne so ena od druge inpredstavljalo celotno varnost (fizičnondashtehnično varnost in upravljalnisistem informacijske varnosti)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 26
Napredno vzdrževanje strojne opreme Učno gradivo
Pogled na strukturo IT organizacije je priporočljiv z več vidikov in dimenzijPredstava v prostoru je znana IT raquokockalaquo Med IT vire pa na splošno opredeljujemo
- ljudi- aplikacije- tehnologijo- podatke- Podporo-
Taka struktura je pomembna za odpravljanje tveganj v IT organizacijah namrečzajema tako procese kot več disciplin in upravljanje dejavnosti IT organizacije S temdemonstriramo funkcionalnost ki zagotavlja kvalitetno storitev IT Taka strukturaomogoča boljšo dostavljivost IT rešitev kar pomeni učinkovitost IS in zmanjšanjedoločenih tveganj med njimi tudi usklajevanje poslovnih ciljev najvišjega vodstva zIT
Ker izhajamo iz informacije poglejmo njene lastnosti Glavni kriteriji za ocenjevanjeso zaupnost integriteta in razpoložljivost Metoda UT-IT pa je skupni imenovalec zaanalizo neprekinjenemu poslovanju [4] projektnemu vodenju [5] drugim disciplinamin revizijam ter informacijskim varnostnim tveganjem Tveganja iz naslovainformacijske varnosti lahko do določene stopnje primerjamo s kontrolami [6] S tegavidika kontrole zmanjšujejo tveganja in so povezane z revizijami (notranjimi inzunanjimi) Pri tem se opirajo na preglede v katerih se ugotavljajo primernost inskladnost varnostne arhitekture ter učinkovitosti izvajanja upravljanja tveganjTudi odločitve običajno temeljijo na informacijah če so informacije mehke pride doizraza večja negotovost in odločitve ki se sprejemajo lahko pripeljejo do usodnihdogodkov v katerih se tveganja uresničijo in nastajajo izgube v poslovanjuDefinicij informacije je precej Velja da je to vir vsakega poslovnega subjekta Takopridemo do vrednosti informacije kot vseh drugih vitalnih vrednih virov v poslovnemsistemu Prav neustrezno ravnanje z informacijami povzroča velika tveganja ininformacijsko nestabilnost Dejstvo je da se mora v digitalni ekonomiji in globalnemsvetu poleg socialne finančne in ekonomske stabilnosti upoštevati tudi informacijska
Pri poslovanju so vsekakor pomembni procesi ki so predmet obravnave na področjuupravljanja tveganj IT Tako UT-IT opredeljuje in zajema tudi operativna tveganja Izpraktičnega vidika je v poslovnem sistemu veliko procesov ki se nadalje delijo napodprocese in aktivnosti temeljni in podporni Toda vsi morajo biti raquooptimalnilaquovodeni in nadzorovani Precej kompleksnosti naraste v informacijskem sistemu ki gapodpirata informacijska in telekomunikacijska tehnologija Zato je za področje UT-ITsmiselno uporabiti okvir COBIT Ta standard se lahko uspešno privzame tudi pri samiorganiziranosti in definiciji procesov v organizacijah ITUT-IT je prav tako proces v katerem se proučuje in obravnava IS-me Sem spadajotudi nevarnosti ki pretijo poslovnemu sitemu IS-mu IT organizaciji njeni storitveni
dejavnosti torej vsem virom v sistemu kakor tudi drugim poslovnim subjektom vposlovni verigi V njej so tehnološke razdalje med subjekti izjemno ranljive saj nasvoji poti informacije doživljajo spremembe procesi v katerih se to dogaja pa so semorali razširiti izven okolja posamezne organizacije ali PS Pot je posejana z
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 27
Napredno vzdrževanje strojne opreme Učno gradivo
nevarnostmi različnih izvorov tako da se tudi tveganja in njihovi vplivi na poslovanjeodražajo z različnimi učinki Poglablja se tveganje e-poslovanja gre za takoimenovana e-tveganja Biti brez varnosti v realnem času in hitre odzivne funkcije natveganja ter nepredvidene dogodke je lahko za poslovanje silno usodno Zatoobstajajo različne strategije orodja in načini za zdravljenje tveganj ki skupajpredstavljajo obrambne mehanizme organizacije Pri tem je pomembno zavedanje inizobraževanje ter neprestano usposabljanje strokovnjakov na teh področjihOperativna tveganja so izrazito povezana z internimi procesi in jih posamezneindustrije že obravnavajo vsekakor pa jih bo morala vpeljati finančna industrija zlastiban1048830ni sektor ki bo moral biti skladen z Baselskim II standardom in EU (CAD)direktivami Standard namreč zajema potencialne izgube tudi iz naslova operativnihtveganj ne glede na interne ali zunanje dejavnike Osredotočen je na objavopotencialnih izgub za vse poslovne linije organizacije po določeni strukturi poročanjaglede kapitalske ustreznostiKo pogledamo v bančni sektor je osnovni namen obvladovanja inupravljanja s tveganji v bankah zagotavljanje njene plačilnesposobnosti Med različnimi načini za uresničevanje tega cilja je naprvem mestu institut minimalnega kapitala in zagotavljanje potrebnekapitalske ustreznosti banke o katerem govori Basel IIDelež kapitala v celotni bilančni vsoti je pri bankah mnogo manjši kot pri drugihorganizacijah in podjetjih Tudi njegova funkcija je drugačna Kot najpomembnejšafunkcija bančnega kapitala se ponavadi navaja zaščita vlagateljev Bančni kapitalpoleg tega omogoča nadzornim institucijam omejevati obseg tveganih dejavnosti bankin hkrati omogoča banki financiranje njenih osnovnih sredstev Ker so upniki bankmnožice posameznikov ki imajo pri teh bankah praviloma vloge na vpogled alikratkoročno vezane vloge in ker je takrat ko banka postane nelikvidna ponavadi žeprepozno saj je takrat banka praviloma že nesolventna je velikost bančnega kapitalajavna zadeva
Filozofija današnje bančne regulative je dopustiti zdravo konkurenco med bankami inhkrati zagotoviti njihovo disciplino prek predpisovanja minimalnih kapitalskih zahtevBaselski standardi so vplivali na oblikovanje evropskih smernic za banke Polegstandardizirane metodologije za računanje potrebnega kapitala za pokrivanjeomenjenih tveganj so navedeni potrebni pogoji za uporabo internih modelov bank zamerjenje tveganj med njimi operativno tveganje (uporabniki IT in IT organizacij)
Obseg in narava tveganj s katerima se srečujejo banke sta odvisni od narave njihovihposlov Pri tradicionalnih bančnih poslih (dajanje posojil iz prejetih depozitov) se kotglavna tveganja pojavljajo kreditno tveganje (tveganje dolžnikove nezmožnosti alinepripravljenosti izpolniti obveznosti iz naslova kreditne pogodbe) tržnolikvidnostno tveganje (tveganje da banka v določenem trenutku ne more poravnativseh svojih dospelih plačilnih obveznosti) tveganje spremembe obrestne mere(tveganje da bo postala pogodbeno določena obrestna mera drugačna od tržne in dabo banka utrpela izgubo iz tega naslova) ter operacijsko tveganje (tveganje ki mu jebanka izpostavljena zaradi možnih človeških napak torej internih procesov napaktehnologije in zunanjih dejavnikov (gre tudi za prevare poneverbe pranje denarjaoperativne izgube pravne ter druge stroške ki jih banka nosi v primeru njihoveganastanka)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 28
Napredno vzdrževanje strojne opreme Učno gradivo
Z bankami so povezani poslovni subjekti in vsi morajo zagotavljati varno poslovanjeTveganja so precejšnja saj vsi PS ne morejo zagotavljati enako učinkovitihprotiukrepov in varnostnih mer Pogljablja se tudi STP e-poslovanje nastajajo eskupnostiIS-mi se pogovarjajo med seboj brezžične komunikacije nujno jeprivzemanje standardov in različice XML protokola vse različne storitve potrebujejoUT-IT Področje je v razmahu in lastniki ter nadzorni sveti bodo moralikontrolirati operativne izgube in učinkovitost IS NS bodo imeli vlogo potrditvestrategij UT-IT uprave oz vodstva pa bodo morali dokazati skladnost s standardi inmetodami
Primerov storitev ki jih lahko obsega napredno vzdrževanje strojne opreme v UT-IT
spremljanje tehnoloških novosti povezanih z vzdrževano opremo ter priprava predlogov in ukrepov za nemoteno delovanje oz izboljšanje njenega delovanja
zamenjava delov strojne opreme
namestitev varnostnih popravkov na strežniško infrastrukturo
namestitev varnostnih popravkov na delovne postaje in prenosnike
periodično preventivno vzdrževanje strojne opreme
dokumentiranje storitev vzdrževanja
popravilo in odstranitev vseh pomanjkljivosti odkritih med preventivnim pregledom
pomoč sistemskim administratorjem in uporabnikom odgovori na vprašanja in svetovanje glede uporabe vzdrževane infrastrukturne opreme na lokaciji naročnika oz uporabnika
izredni kontrolni nadzor nad delovanjem infrastrukturne opreme po dogovoru z naročnikom
nadgradnja strežnikov delovnih postaj in prenosnih računalnikov
nadgradnja komunikacijske opreme
daljinska pomoč preko telefona elektronske pošte faksa ali daljinskega dostopa pri reševanju problemov uporabnikov odgovori na vprašanja in svetovanje glede uporabe vzdrževane strojne opreme
Osnovno popraviloStrokovnjak bo preveril delovanje računalnika opredelil napako in jo odpravil V to storitev se uvršča odprava manjših napak na računalniku
Storitev vsebuje diagnostiko težave in njeno odpravo v primeru da gre za manjšo napako Med manjše napake sodi ponovna namestitev gonilnikov popravilo napačnih nastavitev v programski opremi ponovna namestitev programov itd
V primeru da sestavljamo ob nakupu nov računalnik z dodatno opremo moramo poskrbeti da bomo da za nakup dobili najboljšo ponudbo računalnika ali računalniške opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 29
Napredno vzdrževanje strojne opreme Učno gradivo
Pri sestavi sistema bomo upoštevali vaše potrebe ter dosegli najboljše razmerje med ceno in zmogljivostjo Poudarek je na individualnem svetovanju katerega namen je kar najbolje poskrbeti za želje uporabnika V ta sklop sodi poleg svetovanja za nakup računalnika tudi svetovanje o ostalih perifernih napravah (tiskalniki usmerjevalniki itd)
Pristop k osnovanju UT-IT
Težko je odgovoriti ali se odzvati na vsa tveganja brez ustreznega znanja Splošnoznano je tudi da se iz podatkov procesirajo informacije in iz njih znanje ki ga jesmiselno takoj uporabiti Gre za znanje poslovnega subjekta v celoti in nekateraspecialna znanja za katera je potrebno zagotoviti da so v pravilnem kontekstu in napravem mestu Upravljanje znanj (UZ) ima lahko odločilno vlogo pri strategiji zavpeljavo področja upravljanja tveganj IT v vsakodnevnem poslovanju UZ zmanjšaraquokorporacijskolaquo izpostavljenost tveganjem Zato je pametno zbrati vse ustrezneinformacije strukturirati znanje v kontekst ali okvir v katerega bodo vnesene vsebinepotrebne za UT-IT Kreiranje portala in repositorija za upravljanje tveganjopredeljujemo kot podporno infrastrukturo področju V repositoriju sopredefinirane strukture Zaposlenim so na voljo v obliki zemljevidov raquomaplaquo kikažejo na vsebine in povezave med njimi ter omogočajo polnjenje vsebin Pridoločanju vsebin lahko sodelujejo vsi želeno je da se v organizaciji na področjutveganj in varnosti ustvarja intelektualni potencialUpravljanje
Tveganj IT5Varnost
Metoda je opredeljena kot množica korakov (algoritem ali navodilo) uporabljenih zaizvršitev naloge (dela posla) Metodologija je nekako širši pojem in predstavljamnožico orodij lahko raziskovalne metode ali razlago teorije vodenja v vodstvenoprakso Torej metodologija organizira teorijo v nekaj razumljivega Ker je na voljo večpristopov metodologij in metod pri upravljanju tveganj bi torej metodologijopredstavljalo orodje za podporo odločitvenim sistemom iz področja UT-IT Tehnik inmetod je dejansko več katere bomo uporabili za različna področja in položaje toterja tehtni premislek
Slika 4 Zunanji disk WD Passport (klikni na sliko
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 30
Napredno vzdrževanje strojne opreme Učno gradivo
V glavnem so osnovane na točkovnih in statističnih metodah kvalitativni inkvantitativni tehniki Znana je enačba tveganj ALE (letnih pričakovanih izgub)Smiselno pa je privzeti metodo standarda BS7799 [10] ali ISO17799 za informacijskovarnost Smiselno je da bi vse industrije prevzele standard PSIST7799 (prevod) kivelja v državi od 13 6 2000 za bančni sektor (z dopolnitvami)Poslovni subjekti lahko uporabljajo lastno razvite tehnike in tehnologije zaidentifikacijo in analizo tveganj Za različne poslovne procese kot so vodenjesprememb združevanja in prevzemi raquocorporate governancelaquo strateško planiranje invrednotenje lahko privzete kvalitativne ali kvantitativne identifikacije tveganj inanalitske tehnike dodajo značilno vrednost za različne poslovne položaje in področjaUveljavljajo se metode analize scenarijev in raquoscorecardslaquo ter druge statistične metoderazne simulacije (Monte Carlo) itdTipično je da se simulacijski modeli uporabljajo za odločitve o sestavi realnihsistemov in za odločitve o politiki in postopkih ki jih uporabljamo pri delovanjurealnih sistemov Simulacija pomaga pri določanju sestave politike in postopkov vnegotovih torej tveganih pogojih okolja sistema Manager poskuša z modelom kotnadomestkom za realni sistem z uporabo različnih vhodnih podatkov in postopkovdoseči na osnovi dobljenih rezultatov pri simulaciji lažje odločanje pri vodenjurealnega sistema Vendar mora biti pri tem pazljiv in rezultatov dobljenih ssimulacijo ne more kratkomalo prenašati v realni svet Model in simulacija lahkopomagata bolje spoznati delovanje realnega sistema ne moreta pa zagotoviti raquopraveizbirelaquo za realni sistem Pri upravljanju tveganj IT lahko preveč subjektivne ocenepovzročajo nova tveganja predvsem na področju zunanjih virov (outsourcinga) invodenja pogodbZa UT-IT je na voljo dovolj modelov orodij programov in vzorcev ki jih lahkouporabimo v svojem poslovnem okolju Priporoljivo je da vsak poslovni subjektkreira sebi ustrezen model glede na specifiko vendar mora izvajati ovrednotenje da jeskladen s standardi in regulativo Standardi so uveljavljeni in nudijo dovolj velik okvirza njihovo privzemanje in funkcijo uporabe
Pregledni model UT-ITV podporo modelu UT-IT je že potreben omenjeni portal kot rezultat procesov priupravljanju znanj in repositorij kjer se shranjujejo potrebne vsebine in nastaja bazaznanja o dogodkih in tveganjih ter obrambnih mehanizmih Portal služi tudi zaizobraževanje Vsebine predstavljajo sezname in infostrukture od standardov doobrazcev ki se uporabljajo v posameznih fazah ali procesih analize in v obravnavanjutveganj Zbrani so tudi vsi principi zakonodaja politike procedure metrika procesiin tokovi informacij kakor tudi vnos v register tveganj zajem nevarnosti popis vsehkontrol varnostni mehanizmi in seznam protiukrepov vse to za dogodke in scenarijeki se lahko ali so se že zgodiliZa področje UT-IT se kreirajo smernice za posamezne entitete ali subjekte ki sovključeni kot participatorji ter navodila kako se izvajajo aktivnosti Učinkovitost sedoseže s poprej določenimi infostrukturami standardizacijo in povezavami medpodročji ter odnosi med entitetami ali objekti ki tvorijo sistem upravljanja tveganj IT
Kreiranje konteksta ali takšnega okvira je možno ker so v glavnem poznane vsestrukture in gradniki UT-IT in želenega sistema varnosti Dovolj predlog je že naInternetu zato je smiselno področje pregledati in izbrati želene infostrukture Posebnerazlage niso potrebne UT-IT se odvija po projektnih principih s skupinami ki so
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 31
Napredno vzdrževanje strojne opreme Učno gradivo
strokovne na svojih področjih Prav tako se v skupinah (samovodljivo) ocenjujejotveganja in definirajo strategije rešitev za identificirana tveganjaPodročje UT-IT je lahko služba ki je neodvisna in samostojna organizacijska enota v vrhu vodstva organizacijeIZVAJANJEOKVIRKaj kako s 1048830i
- Komunikacijski krogi
Bistven gradnik UT-IT predstavljajo komunikacijski krogi (KK) med področji inodgovornimi ali delegiranimi sodelavci po poslovnih linijah Le-ti predstavljajo raquokomunikatorje tveganjalaquo ki so povezani prek sistema zgodnjega opozarjanja inizvajajo vnos dogodkov ter podatkov za analize tveganj in ocenjevanje vpliva naposlovanje Izkušena skupina določi tudi ustrezne protiukrepe in varnostne mere ter jihposreduje lastnikom tveganj Ti s strokovnjaki za posamezna področja pripravijostrategijo rešitve in jo predstavijo (kot zagovor) odgovornim za področja da se posoglasju lahko izvedejo Področje UT-IT spremlja in spet ocenjuje učinke terrezidualna tveganja Zaradi narave tveganj in inherentnih tveganj IT so tovsakodnevne aktivnosti upravljanje tveganj in varnosti pa je vodstvena funkcijaObstaja še pomembna lastnost in specifika da področja varnosti in tveganj pripadajovsem zaposlenem v organizaciji zato so komunikacijski krogi in pravočasnoinformiranje nujniZa operacijsko kvaliteto v organizaciji je potrebno definirati oz določiti dimenzijo vkateri se meri kvaliteta Značilne so tri dimenzije (kriteriji)
- primernost in funkcionalnost- varnost in zanesljivost- razpoložljivost in dostopnost
- Metrike
-Tveganje je objektivizirane negotovosti glede na možnost pojavitve nezaželenegadogodka merjenje negotovosti in negotovosti izgube Negotovost nastane zaradipomanjkanja informacij o nekdanjih sedanjosti in prihodnjih dogodkih vrednostih inpogojih Ne glede na različne stopnje negotovosti je osnova koncepta negotovosti vpomanjkanju informacij o delih sistema ki ga obravnavamo ali opazujemo Zmanjšanje tveganj mora biti motiv za organizacijo Zmanjšanjestopnje negotovosti je korak k opredelitvi kaj je lahko narejeno zazmanjšanje izpostavljanju tveganj Kakšno metriko uporabimo jeodvisno od tega kaj želimo meriti obravnavati spremljati izboljšatiitdOceniti tveganje pomeni ovrednotiti koliko lahko prenesemo oz izgubimo če seneljubi dogodek zgodi in pri tem izgubimo npr kar posedujemo Ali predstavlja to zanas vrednost in kako pogosto se ti dogodki pojavljajo so začetna razmišljanja ko greza tveganja in reakcije na njihLahko trdimo da je tveganje vedno ocenjeno z analizo scenarijev kar pomenivrednotiti možne izgube in frekvenco verjetnosti možne škode Toda v kakšnemobsegu in po katerih predvidevanjih Vsekakor je pri ocenjevanju tveganj medkvalitativno in kvantitativno analizo razlika Smiselno je obravnavanje analizetveganj Še tako dobro zastavljena varnostna politika brez izvajanja in kontrole ne
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 32
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
Obseg
Tehnično poročilo je predvideno do 4 strani v primeru modula M8
Vzdrževalna pogodba je kratka in po členih pravno definirana v obliki medsebojnega dogovora naprednega vzdrževanja strojne opreme ter lastnika zastarele strojne opreme
Seminarska naloga je definirana glede na temo ni vrsto seminarske zatorej je priporočljivo imeti navodila strani- obsega ob začetku pisanja
Vprašanja za ponavljanje
Kakšno je tehnično poročilo
Zakaj je strojna oprema potrebna naprednega vzdrževanja ob koncu leta
Kakšne vrste pogodb o namestitvi strojne opreme poznaš v IT-ju
Kako izgleda licenčna namestitev strojne opreme Glej primer HW podjetij ki uporabljajo strojno opremo IBMHPLogitech ipd
Spletni brskalniki
Glede na naravo dela in poznavanje novih strojnih namestitev ter naprednih oprem ki nastajajo v posameznih multunacionalnih laboratorijih in proizvodnih procesih mora računalnikar biti seznanjen z novimi produkti oz strojno opremo v sodobnem času
Uporabo dostopa do wwwgooglecom wwwhpcom wwwibmcom wwwapplecom mu omogočajo pri velikanski izbiri na trgu da poišče primerno opremo proizvajalca zamenjati določen zastarel že servisiran produkt mikroprocesor izh-enoto ipd
Za brskanje po spletu je važno da se spozna na prodajo in uporabo strojne opreme kot tudi posameznih enot Oprema ki jo bo vzdrževal ima neko serijsko številko oziroma namestitveno pogodbo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 23
Napredno vzdrževanje strojne opreme Učno gradivo
Diski in na njem zaupni podatki strojna oprema ponarejanje in zamenjava s slabšimi produkti dolgoročne ne vodi računalnikarja tako do osebnega kot tudi poslovnega uspeha Res je da je mnogo različno kakovostnih produktov strojne opreme na trgu vendar tudi zloraba pri naprednem servisiranju in vzdrževanju prinašata posledice
Računalnikar se bo na terenu srečeval z identitetami računalnikov podjetij organizacij ki so po svoji naravi različna
Kot primer navajam uporabniške skupine strojne opreme ki so privrženci za Apple ter uporabniki oz privrženci za IBM Vsi bodo hvalili in zagotavljali boljšo kvaliteto in kakovost svoje strojne opreme
Zatorej vedno v tehničnem poročilu navedemo stanje strojne opreme pred našim prihodom in po tem ko smo jo le-to vzdrževali
Tako se profesionalno in komunikacijsko obnašamo s stranko kot pravi računalnikar z veliko odgovornostjo
Napredno svetovanje in pomoč uporabnikom strojne opreme
Pri pomembnosti komunikacije s s stranko moramo torej uporabljati pravila profesionalnega vedenja do stranke
Analizirati učinkovitost obstoječe strojne opreme Svetovati napredne matične plošče procesorje vodila Upoštevati različne strojne zahteve glede na namembnost osebnega računalnika Upoštevamo pomembnost shranjevanja dokumentacije vsaj 4 leta
S stranko je važno da vedno komuniciramo prijazno spoštljivo in umirjeno Kot svetovalec oz napredni računalnikar si lahko informacije o strojni opremi izmenjujemo preko strokovnih forumov novičarskih fan-tehničnih skupin (Apple HP Microsoftipd) ali pa smo povezani preko help-desk podpore na lokalnem zaščitenem omrežju kjer odpravljamo napake na terenu takoj
Zelo pomembna je tudi hitra odzivnost hitro in natančno odpravljanje napak poštenost do stranke ter na koncu primerna cena napredne strojne opreme vzdrževanja
Vprašanja za ponavljanje
Kaj je to komplet čipov
Kaj je osveževanje podpisana pogodbe o strojni opremi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 24
Napredno vzdrževanje strojne opreme Učno gradivo
Kaj je to etičnost in morala pravočasne namestitve napredne strojne opreme
4 Tveganje pri upravljanju napredne strojne opreme
Ko izrečemo ali preberemo besedi raquotveganje upravljanja napredne strojne opremelaquo se ne zavedamo da je tveganje skrito že kar v prvi besedi raquoupravljanjelaquo Tisti ki so odgovorni za upravljanje se tega namreč premalo ali sploh ne zavedajo Tveganja ki se v pri strojni opremi ter poslovnih subjektih na tem nivoju kažejo so
- nikoli dovolj resursov- cilji so nejasni- ni definirane politike standardov- število tveganj je preveliko ne ve se katera strojna oprema je najbolj pomembna- ni kulture
Sicer pa prevladuje prepričanje da se verjetno ne bo nič zgodilo Opisano ni zgled vodstvaZato moramo v svojo organizacijo sistematično s celostnim pristopom vpeljatiupravljanje tveganj Za drugo besedo raquotveganjelaquo se lahko vprašamo na kajnajprej pomislimo v vsakodnevnem življenju ko jo slišimo Najbrž pomislimo dalahko nekaj z določeno verjetnostjo izgubimo Preprosto sklepamo kaj in koliko lahko izgubimo ob neljubem dogodku to opredelimo z raquoresnostjolaquo verjetnost da izgubimo paobičajno opredelimo kot raquofrekvencalaquo pojavljanjaTo da se zgodi tisto česar v bistvu ne želimo je naša raquoranljivostlaquo če se ustreznoodzovemo ali reagiramo na tak dogodek pomeni da smo v aktivnostih privzelidoločene raquoobrambnelaquo mehanizme in zmanjšali raquoizpostavljenostlaquo tveganjemPri obravnavanju tveganj se izvajajo procesi analize ocene in rešitve kar lahkoopredelimo kot raquoupravljanjelaquo Resnost se meri z vrednostmi ovrednotimo jo finančnotorej določimo znesek Verjetnost pa merimo oz ocenimo s številom dogodkov včasovnem obdobju največkrat na leto Seveda bomo pozorni in dogodke spremljali dotiste varnosti in zaščite ki sta primerni sprejemljivi in hkrati skladni z našimivrednotami standardi in ekonomskimi zmožnostmi V bistvu so stvari boljkompleksne vsekakor je pomembna hitrost v odzivnosti Če želimo obravnavati inprimerjati tveganja moramo primerjati razsežnosti tveganj Ni rečeno da so tveganjanizka po vrednosti in visoka po frekvenci z enakim učinkom itd Zanimivo je da so vZDA in anglosaksonskem svetu upravljanje s tveganji vzeli kot tekmovalno prednostmedtem ko je v EU to bolj posledica regulative
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 25
Napredno vzdrževanje strojne opreme Učno gradivo
41 Spremembe pri strojni opremi
Spremembe so silovite Hitro se razvijajoča informacijska in telekomunikacijskatehnologija zahteva nove poslovne modele Gonilniki sprememb vplivajo na poslovnesubjekte ki morajo biti prilagodljivi hitri in hkrati varni Vse to med drugim prinašanegotovost znotraj poslovnega sistema pa tudi v zunanjem okolju Obvladovanjesprememb zahteva izjemne intelektualne napore saj so pritiski na poslovne subjekteveliki Prihajajo s strani zahtev regulative zakonodaje varnosti standardov nadzorakontrol konkurence itd Odražajo se v vrednostnih pogajalcih za PS kot soohranjanje rasti stroški in učinkovitost načrtna razdelitev kapitala in prioritetno sejim pridružuje upravljanje s tveganji torej investiranje v varnost Ključna tveganja vteh transformacijah so tako strateška kot procesna Sem sodijo informacijski sistemi(IS) infrastruktura tehnologija stranke partnerji konkurenca in intelektualni kapital -človeški viri itd Vsako od omenjenih tveganj je sicer možno omiliti ali odpravitivendar je potreben holistični pristop standardizacija privzemanje kulture tveganjpotrebno je kreirati program upravljanja tveganj program varnosti vpeljatiupravljanje znanj integralna orodja za tveganja orodja za analize scenarijev insimulacij uvesti nove discipline in metrike ter dobro prakso In kakšna je potem cenavarnosti Ni univerzalnih navodil ni garancij za uspeh ker v globalnem svetunenehno nastajajo nova tveganja V mreži poslovnih verig so medsebojno odvisna Vnadaljevanju je nakazano strukturno razumevanje oziroma pristop k upravljanjutveganj informacijske tehnologije (IT) kot podpore IS-mu in procesom v poslovnihsistemih ne glede na to kateri industriji poslovni subjekt pripada
V področje upravljanja s tveganji IT (UT-IT) vsekakor spadajo informacijski sistemi[1] IT viri procesi projekti in druge danosti ter kategorije povezane z IT Področjezajema vsa operativna tveganja kot posledice Človeških in tehnoloških napak Jeizjemno široko kompleksno interdisciplinarne narave s poudarkom na ustreznemrazumevanju konceptov z več področij (varnost tveganja nadzor (revizije)neprekinjeno poslovanje) Izhodišče so informacije ki jih podpira IS kateregaomogoča informacijska tehnologija v vsaki organizaciji Informacije potrebujejoanalizo tako domene IS kot poslovne domene Informacije so vitalen vir vsakeposlovne enote zato so tudi tarča napadov z različnimi motivi in vplivi na poslovanjeUT-IT tako zajema uporabnike IT organizacijo IT in njeno dejavnost kot storitevkončnim uporabnikom
IT organizacija mora biti ustrezno organizirana da zagotavljaposlanstvo varnosti učinkovitosti IS in dostavo storitev Zato imavarnost v organizacijah več oblik Odvisne so ena od druge inpredstavljalo celotno varnost (fizičnondashtehnično varnost in upravljalnisistem informacijske varnosti)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 26
Napredno vzdrževanje strojne opreme Učno gradivo
Pogled na strukturo IT organizacije je priporočljiv z več vidikov in dimenzijPredstava v prostoru je znana IT raquokockalaquo Med IT vire pa na splošno opredeljujemo
- ljudi- aplikacije- tehnologijo- podatke- Podporo-
Taka struktura je pomembna za odpravljanje tveganj v IT organizacijah namrečzajema tako procese kot več disciplin in upravljanje dejavnosti IT organizacije S temdemonstriramo funkcionalnost ki zagotavlja kvalitetno storitev IT Taka strukturaomogoča boljšo dostavljivost IT rešitev kar pomeni učinkovitost IS in zmanjšanjedoločenih tveganj med njimi tudi usklajevanje poslovnih ciljev najvišjega vodstva zIT
Ker izhajamo iz informacije poglejmo njene lastnosti Glavni kriteriji za ocenjevanjeso zaupnost integriteta in razpoložljivost Metoda UT-IT pa je skupni imenovalec zaanalizo neprekinjenemu poslovanju [4] projektnemu vodenju [5] drugim disciplinamin revizijam ter informacijskim varnostnim tveganjem Tveganja iz naslovainformacijske varnosti lahko do določene stopnje primerjamo s kontrolami [6] S tegavidika kontrole zmanjšujejo tveganja in so povezane z revizijami (notranjimi inzunanjimi) Pri tem se opirajo na preglede v katerih se ugotavljajo primernost inskladnost varnostne arhitekture ter učinkovitosti izvajanja upravljanja tveganjTudi odločitve običajno temeljijo na informacijah če so informacije mehke pride doizraza večja negotovost in odločitve ki se sprejemajo lahko pripeljejo do usodnihdogodkov v katerih se tveganja uresničijo in nastajajo izgube v poslovanjuDefinicij informacije je precej Velja da je to vir vsakega poslovnega subjekta Takopridemo do vrednosti informacije kot vseh drugih vitalnih vrednih virov v poslovnemsistemu Prav neustrezno ravnanje z informacijami povzroča velika tveganja ininformacijsko nestabilnost Dejstvo je da se mora v digitalni ekonomiji in globalnemsvetu poleg socialne finančne in ekonomske stabilnosti upoštevati tudi informacijska
Pri poslovanju so vsekakor pomembni procesi ki so predmet obravnave na področjuupravljanja tveganj IT Tako UT-IT opredeljuje in zajema tudi operativna tveganja Izpraktičnega vidika je v poslovnem sistemu veliko procesov ki se nadalje delijo napodprocese in aktivnosti temeljni in podporni Toda vsi morajo biti raquooptimalnilaquovodeni in nadzorovani Precej kompleksnosti naraste v informacijskem sistemu ki gapodpirata informacijska in telekomunikacijska tehnologija Zato je za področje UT-ITsmiselno uporabiti okvir COBIT Ta standard se lahko uspešno privzame tudi pri samiorganiziranosti in definiciji procesov v organizacijah ITUT-IT je prav tako proces v katerem se proučuje in obravnava IS-me Sem spadajotudi nevarnosti ki pretijo poslovnemu sitemu IS-mu IT organizaciji njeni storitveni
dejavnosti torej vsem virom v sistemu kakor tudi drugim poslovnim subjektom vposlovni verigi V njej so tehnološke razdalje med subjekti izjemno ranljive saj nasvoji poti informacije doživljajo spremembe procesi v katerih se to dogaja pa so semorali razširiti izven okolja posamezne organizacije ali PS Pot je posejana z
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 27
Napredno vzdrževanje strojne opreme Učno gradivo
nevarnostmi različnih izvorov tako da se tudi tveganja in njihovi vplivi na poslovanjeodražajo z različnimi učinki Poglablja se tveganje e-poslovanja gre za takoimenovana e-tveganja Biti brez varnosti v realnem času in hitre odzivne funkcije natveganja ter nepredvidene dogodke je lahko za poslovanje silno usodno Zatoobstajajo različne strategije orodja in načini za zdravljenje tveganj ki skupajpredstavljajo obrambne mehanizme organizacije Pri tem je pomembno zavedanje inizobraževanje ter neprestano usposabljanje strokovnjakov na teh področjihOperativna tveganja so izrazito povezana z internimi procesi in jih posamezneindustrije že obravnavajo vsekakor pa jih bo morala vpeljati finančna industrija zlastiban1048830ni sektor ki bo moral biti skladen z Baselskim II standardom in EU (CAD)direktivami Standard namreč zajema potencialne izgube tudi iz naslova operativnihtveganj ne glede na interne ali zunanje dejavnike Osredotočen je na objavopotencialnih izgub za vse poslovne linije organizacije po določeni strukturi poročanjaglede kapitalske ustreznostiKo pogledamo v bančni sektor je osnovni namen obvladovanja inupravljanja s tveganji v bankah zagotavljanje njene plačilnesposobnosti Med različnimi načini za uresničevanje tega cilja je naprvem mestu institut minimalnega kapitala in zagotavljanje potrebnekapitalske ustreznosti banke o katerem govori Basel IIDelež kapitala v celotni bilančni vsoti je pri bankah mnogo manjši kot pri drugihorganizacijah in podjetjih Tudi njegova funkcija je drugačna Kot najpomembnejšafunkcija bančnega kapitala se ponavadi navaja zaščita vlagateljev Bančni kapitalpoleg tega omogoča nadzornim institucijam omejevati obseg tveganih dejavnosti bankin hkrati omogoča banki financiranje njenih osnovnih sredstev Ker so upniki bankmnožice posameznikov ki imajo pri teh bankah praviloma vloge na vpogled alikratkoročno vezane vloge in ker je takrat ko banka postane nelikvidna ponavadi žeprepozno saj je takrat banka praviloma že nesolventna je velikost bančnega kapitalajavna zadeva
Filozofija današnje bančne regulative je dopustiti zdravo konkurenco med bankami inhkrati zagotoviti njihovo disciplino prek predpisovanja minimalnih kapitalskih zahtevBaselski standardi so vplivali na oblikovanje evropskih smernic za banke Polegstandardizirane metodologije za računanje potrebnega kapitala za pokrivanjeomenjenih tveganj so navedeni potrebni pogoji za uporabo internih modelov bank zamerjenje tveganj med njimi operativno tveganje (uporabniki IT in IT organizacij)
Obseg in narava tveganj s katerima se srečujejo banke sta odvisni od narave njihovihposlov Pri tradicionalnih bančnih poslih (dajanje posojil iz prejetih depozitov) se kotglavna tveganja pojavljajo kreditno tveganje (tveganje dolžnikove nezmožnosti alinepripravljenosti izpolniti obveznosti iz naslova kreditne pogodbe) tržnolikvidnostno tveganje (tveganje da banka v določenem trenutku ne more poravnativseh svojih dospelih plačilnih obveznosti) tveganje spremembe obrestne mere(tveganje da bo postala pogodbeno določena obrestna mera drugačna od tržne in dabo banka utrpela izgubo iz tega naslova) ter operacijsko tveganje (tveganje ki mu jebanka izpostavljena zaradi možnih človeških napak torej internih procesov napaktehnologije in zunanjih dejavnikov (gre tudi za prevare poneverbe pranje denarjaoperativne izgube pravne ter druge stroške ki jih banka nosi v primeru njihoveganastanka)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 28
Napredno vzdrževanje strojne opreme Učno gradivo
Z bankami so povezani poslovni subjekti in vsi morajo zagotavljati varno poslovanjeTveganja so precejšnja saj vsi PS ne morejo zagotavljati enako učinkovitihprotiukrepov in varnostnih mer Pogljablja se tudi STP e-poslovanje nastajajo eskupnostiIS-mi se pogovarjajo med seboj brezžične komunikacije nujno jeprivzemanje standardov in različice XML protokola vse različne storitve potrebujejoUT-IT Področje je v razmahu in lastniki ter nadzorni sveti bodo moralikontrolirati operativne izgube in učinkovitost IS NS bodo imeli vlogo potrditvestrategij UT-IT uprave oz vodstva pa bodo morali dokazati skladnost s standardi inmetodami
Primerov storitev ki jih lahko obsega napredno vzdrževanje strojne opreme v UT-IT
spremljanje tehnoloških novosti povezanih z vzdrževano opremo ter priprava predlogov in ukrepov za nemoteno delovanje oz izboljšanje njenega delovanja
zamenjava delov strojne opreme
namestitev varnostnih popravkov na strežniško infrastrukturo
namestitev varnostnih popravkov na delovne postaje in prenosnike
periodično preventivno vzdrževanje strojne opreme
dokumentiranje storitev vzdrževanja
popravilo in odstranitev vseh pomanjkljivosti odkritih med preventivnim pregledom
pomoč sistemskim administratorjem in uporabnikom odgovori na vprašanja in svetovanje glede uporabe vzdrževane infrastrukturne opreme na lokaciji naročnika oz uporabnika
izredni kontrolni nadzor nad delovanjem infrastrukturne opreme po dogovoru z naročnikom
nadgradnja strežnikov delovnih postaj in prenosnih računalnikov
nadgradnja komunikacijske opreme
daljinska pomoč preko telefona elektronske pošte faksa ali daljinskega dostopa pri reševanju problemov uporabnikov odgovori na vprašanja in svetovanje glede uporabe vzdrževane strojne opreme
Osnovno popraviloStrokovnjak bo preveril delovanje računalnika opredelil napako in jo odpravil V to storitev se uvršča odprava manjših napak na računalniku
Storitev vsebuje diagnostiko težave in njeno odpravo v primeru da gre za manjšo napako Med manjše napake sodi ponovna namestitev gonilnikov popravilo napačnih nastavitev v programski opremi ponovna namestitev programov itd
V primeru da sestavljamo ob nakupu nov računalnik z dodatno opremo moramo poskrbeti da bomo da za nakup dobili najboljšo ponudbo računalnika ali računalniške opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 29
Napredno vzdrževanje strojne opreme Učno gradivo
Pri sestavi sistema bomo upoštevali vaše potrebe ter dosegli najboljše razmerje med ceno in zmogljivostjo Poudarek je na individualnem svetovanju katerega namen je kar najbolje poskrbeti za želje uporabnika V ta sklop sodi poleg svetovanja za nakup računalnika tudi svetovanje o ostalih perifernih napravah (tiskalniki usmerjevalniki itd)
Pristop k osnovanju UT-IT
Težko je odgovoriti ali se odzvati na vsa tveganja brez ustreznega znanja Splošnoznano je tudi da se iz podatkov procesirajo informacije in iz njih znanje ki ga jesmiselno takoj uporabiti Gre za znanje poslovnega subjekta v celoti in nekateraspecialna znanja za katera je potrebno zagotoviti da so v pravilnem kontekstu in napravem mestu Upravljanje znanj (UZ) ima lahko odločilno vlogo pri strategiji zavpeljavo področja upravljanja tveganj IT v vsakodnevnem poslovanju UZ zmanjšaraquokorporacijskolaquo izpostavljenost tveganjem Zato je pametno zbrati vse ustrezneinformacije strukturirati znanje v kontekst ali okvir v katerega bodo vnesene vsebinepotrebne za UT-IT Kreiranje portala in repositorija za upravljanje tveganjopredeljujemo kot podporno infrastrukturo področju V repositoriju sopredefinirane strukture Zaposlenim so na voljo v obliki zemljevidov raquomaplaquo kikažejo na vsebine in povezave med njimi ter omogočajo polnjenje vsebin Pridoločanju vsebin lahko sodelujejo vsi želeno je da se v organizaciji na področjutveganj in varnosti ustvarja intelektualni potencialUpravljanje
Tveganj IT5Varnost
Metoda je opredeljena kot množica korakov (algoritem ali navodilo) uporabljenih zaizvršitev naloge (dela posla) Metodologija je nekako širši pojem in predstavljamnožico orodij lahko raziskovalne metode ali razlago teorije vodenja v vodstvenoprakso Torej metodologija organizira teorijo v nekaj razumljivega Ker je na voljo večpristopov metodologij in metod pri upravljanju tveganj bi torej metodologijopredstavljalo orodje za podporo odločitvenim sistemom iz področja UT-IT Tehnik inmetod je dejansko več katere bomo uporabili za različna področja in položaje toterja tehtni premislek
Slika 4 Zunanji disk WD Passport (klikni na sliko
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 30
Napredno vzdrževanje strojne opreme Učno gradivo
V glavnem so osnovane na točkovnih in statističnih metodah kvalitativni inkvantitativni tehniki Znana je enačba tveganj ALE (letnih pričakovanih izgub)Smiselno pa je privzeti metodo standarda BS7799 [10] ali ISO17799 za informacijskovarnost Smiselno je da bi vse industrije prevzele standard PSIST7799 (prevod) kivelja v državi od 13 6 2000 za bančni sektor (z dopolnitvami)Poslovni subjekti lahko uporabljajo lastno razvite tehnike in tehnologije zaidentifikacijo in analizo tveganj Za različne poslovne procese kot so vodenjesprememb združevanja in prevzemi raquocorporate governancelaquo strateško planiranje invrednotenje lahko privzete kvalitativne ali kvantitativne identifikacije tveganj inanalitske tehnike dodajo značilno vrednost za različne poslovne položaje in področjaUveljavljajo se metode analize scenarijev in raquoscorecardslaquo ter druge statistične metoderazne simulacije (Monte Carlo) itdTipično je da se simulacijski modeli uporabljajo za odločitve o sestavi realnihsistemov in za odločitve o politiki in postopkih ki jih uporabljamo pri delovanjurealnih sistemov Simulacija pomaga pri določanju sestave politike in postopkov vnegotovih torej tveganih pogojih okolja sistema Manager poskuša z modelom kotnadomestkom za realni sistem z uporabo različnih vhodnih podatkov in postopkovdoseči na osnovi dobljenih rezultatov pri simulaciji lažje odločanje pri vodenjurealnega sistema Vendar mora biti pri tem pazljiv in rezultatov dobljenih ssimulacijo ne more kratkomalo prenašati v realni svet Model in simulacija lahkopomagata bolje spoznati delovanje realnega sistema ne moreta pa zagotoviti raquopraveizbirelaquo za realni sistem Pri upravljanju tveganj IT lahko preveč subjektivne ocenepovzročajo nova tveganja predvsem na področju zunanjih virov (outsourcinga) invodenja pogodbZa UT-IT je na voljo dovolj modelov orodij programov in vzorcev ki jih lahkouporabimo v svojem poslovnem okolju Priporoljivo je da vsak poslovni subjektkreira sebi ustrezen model glede na specifiko vendar mora izvajati ovrednotenje da jeskladen s standardi in regulativo Standardi so uveljavljeni in nudijo dovolj velik okvirza njihovo privzemanje in funkcijo uporabe
Pregledni model UT-ITV podporo modelu UT-IT je že potreben omenjeni portal kot rezultat procesov priupravljanju znanj in repositorij kjer se shranjujejo potrebne vsebine in nastaja bazaznanja o dogodkih in tveganjih ter obrambnih mehanizmih Portal služi tudi zaizobraževanje Vsebine predstavljajo sezname in infostrukture od standardov doobrazcev ki se uporabljajo v posameznih fazah ali procesih analize in v obravnavanjutveganj Zbrani so tudi vsi principi zakonodaja politike procedure metrika procesiin tokovi informacij kakor tudi vnos v register tveganj zajem nevarnosti popis vsehkontrol varnostni mehanizmi in seznam protiukrepov vse to za dogodke in scenarijeki se lahko ali so se že zgodiliZa področje UT-IT se kreirajo smernice za posamezne entitete ali subjekte ki sovključeni kot participatorji ter navodila kako se izvajajo aktivnosti Učinkovitost sedoseže s poprej določenimi infostrukturami standardizacijo in povezavami medpodročji ter odnosi med entitetami ali objekti ki tvorijo sistem upravljanja tveganj IT
Kreiranje konteksta ali takšnega okvira je možno ker so v glavnem poznane vsestrukture in gradniki UT-IT in želenega sistema varnosti Dovolj predlog je že naInternetu zato je smiselno področje pregledati in izbrati želene infostrukture Posebnerazlage niso potrebne UT-IT se odvija po projektnih principih s skupinami ki so
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 31
Napredno vzdrževanje strojne opreme Učno gradivo
strokovne na svojih področjih Prav tako se v skupinah (samovodljivo) ocenjujejotveganja in definirajo strategije rešitev za identificirana tveganjaPodročje UT-IT je lahko služba ki je neodvisna in samostojna organizacijska enota v vrhu vodstva organizacijeIZVAJANJEOKVIRKaj kako s 1048830i
- Komunikacijski krogi
Bistven gradnik UT-IT predstavljajo komunikacijski krogi (KK) med področji inodgovornimi ali delegiranimi sodelavci po poslovnih linijah Le-ti predstavljajo raquokomunikatorje tveganjalaquo ki so povezani prek sistema zgodnjega opozarjanja inizvajajo vnos dogodkov ter podatkov za analize tveganj in ocenjevanje vpliva naposlovanje Izkušena skupina določi tudi ustrezne protiukrepe in varnostne mere ter jihposreduje lastnikom tveganj Ti s strokovnjaki za posamezna področja pripravijostrategijo rešitve in jo predstavijo (kot zagovor) odgovornim za področja da se posoglasju lahko izvedejo Področje UT-IT spremlja in spet ocenjuje učinke terrezidualna tveganja Zaradi narave tveganj in inherentnih tveganj IT so tovsakodnevne aktivnosti upravljanje tveganj in varnosti pa je vodstvena funkcijaObstaja še pomembna lastnost in specifika da področja varnosti in tveganj pripadajovsem zaposlenem v organizaciji zato so komunikacijski krogi in pravočasnoinformiranje nujniZa operacijsko kvaliteto v organizaciji je potrebno definirati oz določiti dimenzijo vkateri se meri kvaliteta Značilne so tri dimenzije (kriteriji)
- primernost in funkcionalnost- varnost in zanesljivost- razpoložljivost in dostopnost
- Metrike
-Tveganje je objektivizirane negotovosti glede na možnost pojavitve nezaželenegadogodka merjenje negotovosti in negotovosti izgube Negotovost nastane zaradipomanjkanja informacij o nekdanjih sedanjosti in prihodnjih dogodkih vrednostih inpogojih Ne glede na različne stopnje negotovosti je osnova koncepta negotovosti vpomanjkanju informacij o delih sistema ki ga obravnavamo ali opazujemo Zmanjšanje tveganj mora biti motiv za organizacijo Zmanjšanjestopnje negotovosti je korak k opredelitvi kaj je lahko narejeno zazmanjšanje izpostavljanju tveganj Kakšno metriko uporabimo jeodvisno od tega kaj želimo meriti obravnavati spremljati izboljšatiitdOceniti tveganje pomeni ovrednotiti koliko lahko prenesemo oz izgubimo če seneljubi dogodek zgodi in pri tem izgubimo npr kar posedujemo Ali predstavlja to zanas vrednost in kako pogosto se ti dogodki pojavljajo so začetna razmišljanja ko greza tveganja in reakcije na njihLahko trdimo da je tveganje vedno ocenjeno z analizo scenarijev kar pomenivrednotiti možne izgube in frekvenco verjetnosti možne škode Toda v kakšnemobsegu in po katerih predvidevanjih Vsekakor je pri ocenjevanju tveganj medkvalitativno in kvantitativno analizo razlika Smiselno je obravnavanje analizetveganj Še tako dobro zastavljena varnostna politika brez izvajanja in kontrole ne
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 32
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
Diski in na njem zaupni podatki strojna oprema ponarejanje in zamenjava s slabšimi produkti dolgoročne ne vodi računalnikarja tako do osebnega kot tudi poslovnega uspeha Res je da je mnogo različno kakovostnih produktov strojne opreme na trgu vendar tudi zloraba pri naprednem servisiranju in vzdrževanju prinašata posledice
Računalnikar se bo na terenu srečeval z identitetami računalnikov podjetij organizacij ki so po svoji naravi različna
Kot primer navajam uporabniške skupine strojne opreme ki so privrženci za Apple ter uporabniki oz privrženci za IBM Vsi bodo hvalili in zagotavljali boljšo kvaliteto in kakovost svoje strojne opreme
Zatorej vedno v tehničnem poročilu navedemo stanje strojne opreme pred našim prihodom in po tem ko smo jo le-to vzdrževali
Tako se profesionalno in komunikacijsko obnašamo s stranko kot pravi računalnikar z veliko odgovornostjo
Napredno svetovanje in pomoč uporabnikom strojne opreme
Pri pomembnosti komunikacije s s stranko moramo torej uporabljati pravila profesionalnega vedenja do stranke
Analizirati učinkovitost obstoječe strojne opreme Svetovati napredne matične plošče procesorje vodila Upoštevati različne strojne zahteve glede na namembnost osebnega računalnika Upoštevamo pomembnost shranjevanja dokumentacije vsaj 4 leta
S stranko je važno da vedno komuniciramo prijazno spoštljivo in umirjeno Kot svetovalec oz napredni računalnikar si lahko informacije o strojni opremi izmenjujemo preko strokovnih forumov novičarskih fan-tehničnih skupin (Apple HP Microsoftipd) ali pa smo povezani preko help-desk podpore na lokalnem zaščitenem omrežju kjer odpravljamo napake na terenu takoj
Zelo pomembna je tudi hitra odzivnost hitro in natančno odpravljanje napak poštenost do stranke ter na koncu primerna cena napredne strojne opreme vzdrževanja
Vprašanja za ponavljanje
Kaj je to komplet čipov
Kaj je osveževanje podpisana pogodbe o strojni opremi
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 24
Napredno vzdrževanje strojne opreme Učno gradivo
Kaj je to etičnost in morala pravočasne namestitve napredne strojne opreme
4 Tveganje pri upravljanju napredne strojne opreme
Ko izrečemo ali preberemo besedi raquotveganje upravljanja napredne strojne opremelaquo se ne zavedamo da je tveganje skrito že kar v prvi besedi raquoupravljanjelaquo Tisti ki so odgovorni za upravljanje se tega namreč premalo ali sploh ne zavedajo Tveganja ki se v pri strojni opremi ter poslovnih subjektih na tem nivoju kažejo so
- nikoli dovolj resursov- cilji so nejasni- ni definirane politike standardov- število tveganj je preveliko ne ve se katera strojna oprema je najbolj pomembna- ni kulture
Sicer pa prevladuje prepričanje da se verjetno ne bo nič zgodilo Opisano ni zgled vodstvaZato moramo v svojo organizacijo sistematično s celostnim pristopom vpeljatiupravljanje tveganj Za drugo besedo raquotveganjelaquo se lahko vprašamo na kajnajprej pomislimo v vsakodnevnem življenju ko jo slišimo Najbrž pomislimo dalahko nekaj z določeno verjetnostjo izgubimo Preprosto sklepamo kaj in koliko lahko izgubimo ob neljubem dogodku to opredelimo z raquoresnostjolaquo verjetnost da izgubimo paobičajno opredelimo kot raquofrekvencalaquo pojavljanjaTo da se zgodi tisto česar v bistvu ne želimo je naša raquoranljivostlaquo če se ustreznoodzovemo ali reagiramo na tak dogodek pomeni da smo v aktivnostih privzelidoločene raquoobrambnelaquo mehanizme in zmanjšali raquoizpostavljenostlaquo tveganjemPri obravnavanju tveganj se izvajajo procesi analize ocene in rešitve kar lahkoopredelimo kot raquoupravljanjelaquo Resnost se meri z vrednostmi ovrednotimo jo finančnotorej določimo znesek Verjetnost pa merimo oz ocenimo s številom dogodkov včasovnem obdobju največkrat na leto Seveda bomo pozorni in dogodke spremljali dotiste varnosti in zaščite ki sta primerni sprejemljivi in hkrati skladni z našimivrednotami standardi in ekonomskimi zmožnostmi V bistvu so stvari boljkompleksne vsekakor je pomembna hitrost v odzivnosti Če želimo obravnavati inprimerjati tveganja moramo primerjati razsežnosti tveganj Ni rečeno da so tveganjanizka po vrednosti in visoka po frekvenci z enakim učinkom itd Zanimivo je da so vZDA in anglosaksonskem svetu upravljanje s tveganji vzeli kot tekmovalno prednostmedtem ko je v EU to bolj posledica regulative
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 25
Napredno vzdrževanje strojne opreme Učno gradivo
41 Spremembe pri strojni opremi
Spremembe so silovite Hitro se razvijajoča informacijska in telekomunikacijskatehnologija zahteva nove poslovne modele Gonilniki sprememb vplivajo na poslovnesubjekte ki morajo biti prilagodljivi hitri in hkrati varni Vse to med drugim prinašanegotovost znotraj poslovnega sistema pa tudi v zunanjem okolju Obvladovanjesprememb zahteva izjemne intelektualne napore saj so pritiski na poslovne subjekteveliki Prihajajo s strani zahtev regulative zakonodaje varnosti standardov nadzorakontrol konkurence itd Odražajo se v vrednostnih pogajalcih za PS kot soohranjanje rasti stroški in učinkovitost načrtna razdelitev kapitala in prioritetno sejim pridružuje upravljanje s tveganji torej investiranje v varnost Ključna tveganja vteh transformacijah so tako strateška kot procesna Sem sodijo informacijski sistemi(IS) infrastruktura tehnologija stranke partnerji konkurenca in intelektualni kapital -človeški viri itd Vsako od omenjenih tveganj je sicer možno omiliti ali odpravitivendar je potreben holistični pristop standardizacija privzemanje kulture tveganjpotrebno je kreirati program upravljanja tveganj program varnosti vpeljatiupravljanje znanj integralna orodja za tveganja orodja za analize scenarijev insimulacij uvesti nove discipline in metrike ter dobro prakso In kakšna je potem cenavarnosti Ni univerzalnih navodil ni garancij za uspeh ker v globalnem svetunenehno nastajajo nova tveganja V mreži poslovnih verig so medsebojno odvisna Vnadaljevanju je nakazano strukturno razumevanje oziroma pristop k upravljanjutveganj informacijske tehnologije (IT) kot podpore IS-mu in procesom v poslovnihsistemih ne glede na to kateri industriji poslovni subjekt pripada
V področje upravljanja s tveganji IT (UT-IT) vsekakor spadajo informacijski sistemi[1] IT viri procesi projekti in druge danosti ter kategorije povezane z IT Področjezajema vsa operativna tveganja kot posledice Človeških in tehnoloških napak Jeizjemno široko kompleksno interdisciplinarne narave s poudarkom na ustreznemrazumevanju konceptov z več področij (varnost tveganja nadzor (revizije)neprekinjeno poslovanje) Izhodišče so informacije ki jih podpira IS kateregaomogoča informacijska tehnologija v vsaki organizaciji Informacije potrebujejoanalizo tako domene IS kot poslovne domene Informacije so vitalen vir vsakeposlovne enote zato so tudi tarča napadov z različnimi motivi in vplivi na poslovanjeUT-IT tako zajema uporabnike IT organizacijo IT in njeno dejavnost kot storitevkončnim uporabnikom
IT organizacija mora biti ustrezno organizirana da zagotavljaposlanstvo varnosti učinkovitosti IS in dostavo storitev Zato imavarnost v organizacijah več oblik Odvisne so ena od druge inpredstavljalo celotno varnost (fizičnondashtehnično varnost in upravljalnisistem informacijske varnosti)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 26
Napredno vzdrževanje strojne opreme Učno gradivo
Pogled na strukturo IT organizacije je priporočljiv z več vidikov in dimenzijPredstava v prostoru je znana IT raquokockalaquo Med IT vire pa na splošno opredeljujemo
- ljudi- aplikacije- tehnologijo- podatke- Podporo-
Taka struktura je pomembna za odpravljanje tveganj v IT organizacijah namrečzajema tako procese kot več disciplin in upravljanje dejavnosti IT organizacije S temdemonstriramo funkcionalnost ki zagotavlja kvalitetno storitev IT Taka strukturaomogoča boljšo dostavljivost IT rešitev kar pomeni učinkovitost IS in zmanjšanjedoločenih tveganj med njimi tudi usklajevanje poslovnih ciljev najvišjega vodstva zIT
Ker izhajamo iz informacije poglejmo njene lastnosti Glavni kriteriji za ocenjevanjeso zaupnost integriteta in razpoložljivost Metoda UT-IT pa je skupni imenovalec zaanalizo neprekinjenemu poslovanju [4] projektnemu vodenju [5] drugim disciplinamin revizijam ter informacijskim varnostnim tveganjem Tveganja iz naslovainformacijske varnosti lahko do določene stopnje primerjamo s kontrolami [6] S tegavidika kontrole zmanjšujejo tveganja in so povezane z revizijami (notranjimi inzunanjimi) Pri tem se opirajo na preglede v katerih se ugotavljajo primernost inskladnost varnostne arhitekture ter učinkovitosti izvajanja upravljanja tveganjTudi odločitve običajno temeljijo na informacijah če so informacije mehke pride doizraza večja negotovost in odločitve ki se sprejemajo lahko pripeljejo do usodnihdogodkov v katerih se tveganja uresničijo in nastajajo izgube v poslovanjuDefinicij informacije je precej Velja da je to vir vsakega poslovnega subjekta Takopridemo do vrednosti informacije kot vseh drugih vitalnih vrednih virov v poslovnemsistemu Prav neustrezno ravnanje z informacijami povzroča velika tveganja ininformacijsko nestabilnost Dejstvo je da se mora v digitalni ekonomiji in globalnemsvetu poleg socialne finančne in ekonomske stabilnosti upoštevati tudi informacijska
Pri poslovanju so vsekakor pomembni procesi ki so predmet obravnave na področjuupravljanja tveganj IT Tako UT-IT opredeljuje in zajema tudi operativna tveganja Izpraktičnega vidika je v poslovnem sistemu veliko procesov ki se nadalje delijo napodprocese in aktivnosti temeljni in podporni Toda vsi morajo biti raquooptimalnilaquovodeni in nadzorovani Precej kompleksnosti naraste v informacijskem sistemu ki gapodpirata informacijska in telekomunikacijska tehnologija Zato je za področje UT-ITsmiselno uporabiti okvir COBIT Ta standard se lahko uspešno privzame tudi pri samiorganiziranosti in definiciji procesov v organizacijah ITUT-IT je prav tako proces v katerem se proučuje in obravnava IS-me Sem spadajotudi nevarnosti ki pretijo poslovnemu sitemu IS-mu IT organizaciji njeni storitveni
dejavnosti torej vsem virom v sistemu kakor tudi drugim poslovnim subjektom vposlovni verigi V njej so tehnološke razdalje med subjekti izjemno ranljive saj nasvoji poti informacije doživljajo spremembe procesi v katerih se to dogaja pa so semorali razširiti izven okolja posamezne organizacije ali PS Pot je posejana z
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 27
Napredno vzdrževanje strojne opreme Učno gradivo
nevarnostmi različnih izvorov tako da se tudi tveganja in njihovi vplivi na poslovanjeodražajo z različnimi učinki Poglablja se tveganje e-poslovanja gre za takoimenovana e-tveganja Biti brez varnosti v realnem času in hitre odzivne funkcije natveganja ter nepredvidene dogodke je lahko za poslovanje silno usodno Zatoobstajajo različne strategije orodja in načini za zdravljenje tveganj ki skupajpredstavljajo obrambne mehanizme organizacije Pri tem je pomembno zavedanje inizobraževanje ter neprestano usposabljanje strokovnjakov na teh področjihOperativna tveganja so izrazito povezana z internimi procesi in jih posamezneindustrije že obravnavajo vsekakor pa jih bo morala vpeljati finančna industrija zlastiban1048830ni sektor ki bo moral biti skladen z Baselskim II standardom in EU (CAD)direktivami Standard namreč zajema potencialne izgube tudi iz naslova operativnihtveganj ne glede na interne ali zunanje dejavnike Osredotočen je na objavopotencialnih izgub za vse poslovne linije organizacije po določeni strukturi poročanjaglede kapitalske ustreznostiKo pogledamo v bančni sektor je osnovni namen obvladovanja inupravljanja s tveganji v bankah zagotavljanje njene plačilnesposobnosti Med različnimi načini za uresničevanje tega cilja je naprvem mestu institut minimalnega kapitala in zagotavljanje potrebnekapitalske ustreznosti banke o katerem govori Basel IIDelež kapitala v celotni bilančni vsoti je pri bankah mnogo manjši kot pri drugihorganizacijah in podjetjih Tudi njegova funkcija je drugačna Kot najpomembnejšafunkcija bančnega kapitala se ponavadi navaja zaščita vlagateljev Bančni kapitalpoleg tega omogoča nadzornim institucijam omejevati obseg tveganih dejavnosti bankin hkrati omogoča banki financiranje njenih osnovnih sredstev Ker so upniki bankmnožice posameznikov ki imajo pri teh bankah praviloma vloge na vpogled alikratkoročno vezane vloge in ker je takrat ko banka postane nelikvidna ponavadi žeprepozno saj je takrat banka praviloma že nesolventna je velikost bančnega kapitalajavna zadeva
Filozofija današnje bančne regulative je dopustiti zdravo konkurenco med bankami inhkrati zagotoviti njihovo disciplino prek predpisovanja minimalnih kapitalskih zahtevBaselski standardi so vplivali na oblikovanje evropskih smernic za banke Polegstandardizirane metodologije za računanje potrebnega kapitala za pokrivanjeomenjenih tveganj so navedeni potrebni pogoji za uporabo internih modelov bank zamerjenje tveganj med njimi operativno tveganje (uporabniki IT in IT organizacij)
Obseg in narava tveganj s katerima se srečujejo banke sta odvisni od narave njihovihposlov Pri tradicionalnih bančnih poslih (dajanje posojil iz prejetih depozitov) se kotglavna tveganja pojavljajo kreditno tveganje (tveganje dolžnikove nezmožnosti alinepripravljenosti izpolniti obveznosti iz naslova kreditne pogodbe) tržnolikvidnostno tveganje (tveganje da banka v določenem trenutku ne more poravnativseh svojih dospelih plačilnih obveznosti) tveganje spremembe obrestne mere(tveganje da bo postala pogodbeno določena obrestna mera drugačna od tržne in dabo banka utrpela izgubo iz tega naslova) ter operacijsko tveganje (tveganje ki mu jebanka izpostavljena zaradi možnih človeških napak torej internih procesov napaktehnologije in zunanjih dejavnikov (gre tudi za prevare poneverbe pranje denarjaoperativne izgube pravne ter druge stroške ki jih banka nosi v primeru njihoveganastanka)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 28
Napredno vzdrževanje strojne opreme Učno gradivo
Z bankami so povezani poslovni subjekti in vsi morajo zagotavljati varno poslovanjeTveganja so precejšnja saj vsi PS ne morejo zagotavljati enako učinkovitihprotiukrepov in varnostnih mer Pogljablja se tudi STP e-poslovanje nastajajo eskupnostiIS-mi se pogovarjajo med seboj brezžične komunikacije nujno jeprivzemanje standardov in različice XML protokola vse različne storitve potrebujejoUT-IT Področje je v razmahu in lastniki ter nadzorni sveti bodo moralikontrolirati operativne izgube in učinkovitost IS NS bodo imeli vlogo potrditvestrategij UT-IT uprave oz vodstva pa bodo morali dokazati skladnost s standardi inmetodami
Primerov storitev ki jih lahko obsega napredno vzdrževanje strojne opreme v UT-IT
spremljanje tehnoloških novosti povezanih z vzdrževano opremo ter priprava predlogov in ukrepov za nemoteno delovanje oz izboljšanje njenega delovanja
zamenjava delov strojne opreme
namestitev varnostnih popravkov na strežniško infrastrukturo
namestitev varnostnih popravkov na delovne postaje in prenosnike
periodično preventivno vzdrževanje strojne opreme
dokumentiranje storitev vzdrževanja
popravilo in odstranitev vseh pomanjkljivosti odkritih med preventivnim pregledom
pomoč sistemskim administratorjem in uporabnikom odgovori na vprašanja in svetovanje glede uporabe vzdrževane infrastrukturne opreme na lokaciji naročnika oz uporabnika
izredni kontrolni nadzor nad delovanjem infrastrukturne opreme po dogovoru z naročnikom
nadgradnja strežnikov delovnih postaj in prenosnih računalnikov
nadgradnja komunikacijske opreme
daljinska pomoč preko telefona elektronske pošte faksa ali daljinskega dostopa pri reševanju problemov uporabnikov odgovori na vprašanja in svetovanje glede uporabe vzdrževane strojne opreme
Osnovno popraviloStrokovnjak bo preveril delovanje računalnika opredelil napako in jo odpravil V to storitev se uvršča odprava manjših napak na računalniku
Storitev vsebuje diagnostiko težave in njeno odpravo v primeru da gre za manjšo napako Med manjše napake sodi ponovna namestitev gonilnikov popravilo napačnih nastavitev v programski opremi ponovna namestitev programov itd
V primeru da sestavljamo ob nakupu nov računalnik z dodatno opremo moramo poskrbeti da bomo da za nakup dobili najboljšo ponudbo računalnika ali računalniške opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 29
Napredno vzdrževanje strojne opreme Učno gradivo
Pri sestavi sistema bomo upoštevali vaše potrebe ter dosegli najboljše razmerje med ceno in zmogljivostjo Poudarek je na individualnem svetovanju katerega namen je kar najbolje poskrbeti za želje uporabnika V ta sklop sodi poleg svetovanja za nakup računalnika tudi svetovanje o ostalih perifernih napravah (tiskalniki usmerjevalniki itd)
Pristop k osnovanju UT-IT
Težko je odgovoriti ali se odzvati na vsa tveganja brez ustreznega znanja Splošnoznano je tudi da se iz podatkov procesirajo informacije in iz njih znanje ki ga jesmiselno takoj uporabiti Gre za znanje poslovnega subjekta v celoti in nekateraspecialna znanja za katera je potrebno zagotoviti da so v pravilnem kontekstu in napravem mestu Upravljanje znanj (UZ) ima lahko odločilno vlogo pri strategiji zavpeljavo področja upravljanja tveganj IT v vsakodnevnem poslovanju UZ zmanjšaraquokorporacijskolaquo izpostavljenost tveganjem Zato je pametno zbrati vse ustrezneinformacije strukturirati znanje v kontekst ali okvir v katerega bodo vnesene vsebinepotrebne za UT-IT Kreiranje portala in repositorija za upravljanje tveganjopredeljujemo kot podporno infrastrukturo področju V repositoriju sopredefinirane strukture Zaposlenim so na voljo v obliki zemljevidov raquomaplaquo kikažejo na vsebine in povezave med njimi ter omogočajo polnjenje vsebin Pridoločanju vsebin lahko sodelujejo vsi želeno je da se v organizaciji na področjutveganj in varnosti ustvarja intelektualni potencialUpravljanje
Tveganj IT5Varnost
Metoda je opredeljena kot množica korakov (algoritem ali navodilo) uporabljenih zaizvršitev naloge (dela posla) Metodologija je nekako širši pojem in predstavljamnožico orodij lahko raziskovalne metode ali razlago teorije vodenja v vodstvenoprakso Torej metodologija organizira teorijo v nekaj razumljivega Ker je na voljo večpristopov metodologij in metod pri upravljanju tveganj bi torej metodologijopredstavljalo orodje za podporo odločitvenim sistemom iz področja UT-IT Tehnik inmetod je dejansko več katere bomo uporabili za različna področja in položaje toterja tehtni premislek
Slika 4 Zunanji disk WD Passport (klikni na sliko
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 30
Napredno vzdrževanje strojne opreme Učno gradivo
V glavnem so osnovane na točkovnih in statističnih metodah kvalitativni inkvantitativni tehniki Znana je enačba tveganj ALE (letnih pričakovanih izgub)Smiselno pa je privzeti metodo standarda BS7799 [10] ali ISO17799 za informacijskovarnost Smiselno je da bi vse industrije prevzele standard PSIST7799 (prevod) kivelja v državi od 13 6 2000 za bančni sektor (z dopolnitvami)Poslovni subjekti lahko uporabljajo lastno razvite tehnike in tehnologije zaidentifikacijo in analizo tveganj Za različne poslovne procese kot so vodenjesprememb združevanja in prevzemi raquocorporate governancelaquo strateško planiranje invrednotenje lahko privzete kvalitativne ali kvantitativne identifikacije tveganj inanalitske tehnike dodajo značilno vrednost za različne poslovne položaje in področjaUveljavljajo se metode analize scenarijev in raquoscorecardslaquo ter druge statistične metoderazne simulacije (Monte Carlo) itdTipično je da se simulacijski modeli uporabljajo za odločitve o sestavi realnihsistemov in za odločitve o politiki in postopkih ki jih uporabljamo pri delovanjurealnih sistemov Simulacija pomaga pri določanju sestave politike in postopkov vnegotovih torej tveganih pogojih okolja sistema Manager poskuša z modelom kotnadomestkom za realni sistem z uporabo različnih vhodnih podatkov in postopkovdoseči na osnovi dobljenih rezultatov pri simulaciji lažje odločanje pri vodenjurealnega sistema Vendar mora biti pri tem pazljiv in rezultatov dobljenih ssimulacijo ne more kratkomalo prenašati v realni svet Model in simulacija lahkopomagata bolje spoznati delovanje realnega sistema ne moreta pa zagotoviti raquopraveizbirelaquo za realni sistem Pri upravljanju tveganj IT lahko preveč subjektivne ocenepovzročajo nova tveganja predvsem na področju zunanjih virov (outsourcinga) invodenja pogodbZa UT-IT je na voljo dovolj modelov orodij programov in vzorcev ki jih lahkouporabimo v svojem poslovnem okolju Priporoljivo je da vsak poslovni subjektkreira sebi ustrezen model glede na specifiko vendar mora izvajati ovrednotenje da jeskladen s standardi in regulativo Standardi so uveljavljeni in nudijo dovolj velik okvirza njihovo privzemanje in funkcijo uporabe
Pregledni model UT-ITV podporo modelu UT-IT je že potreben omenjeni portal kot rezultat procesov priupravljanju znanj in repositorij kjer se shranjujejo potrebne vsebine in nastaja bazaznanja o dogodkih in tveganjih ter obrambnih mehanizmih Portal služi tudi zaizobraževanje Vsebine predstavljajo sezname in infostrukture od standardov doobrazcev ki se uporabljajo v posameznih fazah ali procesih analize in v obravnavanjutveganj Zbrani so tudi vsi principi zakonodaja politike procedure metrika procesiin tokovi informacij kakor tudi vnos v register tveganj zajem nevarnosti popis vsehkontrol varnostni mehanizmi in seznam protiukrepov vse to za dogodke in scenarijeki se lahko ali so se že zgodiliZa področje UT-IT se kreirajo smernice za posamezne entitete ali subjekte ki sovključeni kot participatorji ter navodila kako se izvajajo aktivnosti Učinkovitost sedoseže s poprej določenimi infostrukturami standardizacijo in povezavami medpodročji ter odnosi med entitetami ali objekti ki tvorijo sistem upravljanja tveganj IT
Kreiranje konteksta ali takšnega okvira je možno ker so v glavnem poznane vsestrukture in gradniki UT-IT in želenega sistema varnosti Dovolj predlog je že naInternetu zato je smiselno področje pregledati in izbrati želene infostrukture Posebnerazlage niso potrebne UT-IT se odvija po projektnih principih s skupinami ki so
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 31
Napredno vzdrževanje strojne opreme Učno gradivo
strokovne na svojih področjih Prav tako se v skupinah (samovodljivo) ocenjujejotveganja in definirajo strategije rešitev za identificirana tveganjaPodročje UT-IT je lahko služba ki je neodvisna in samostojna organizacijska enota v vrhu vodstva organizacijeIZVAJANJEOKVIRKaj kako s 1048830i
- Komunikacijski krogi
Bistven gradnik UT-IT predstavljajo komunikacijski krogi (KK) med področji inodgovornimi ali delegiranimi sodelavci po poslovnih linijah Le-ti predstavljajo raquokomunikatorje tveganjalaquo ki so povezani prek sistema zgodnjega opozarjanja inizvajajo vnos dogodkov ter podatkov za analize tveganj in ocenjevanje vpliva naposlovanje Izkušena skupina določi tudi ustrezne protiukrepe in varnostne mere ter jihposreduje lastnikom tveganj Ti s strokovnjaki za posamezna področja pripravijostrategijo rešitve in jo predstavijo (kot zagovor) odgovornim za področja da se posoglasju lahko izvedejo Področje UT-IT spremlja in spet ocenjuje učinke terrezidualna tveganja Zaradi narave tveganj in inherentnih tveganj IT so tovsakodnevne aktivnosti upravljanje tveganj in varnosti pa je vodstvena funkcijaObstaja še pomembna lastnost in specifika da področja varnosti in tveganj pripadajovsem zaposlenem v organizaciji zato so komunikacijski krogi in pravočasnoinformiranje nujniZa operacijsko kvaliteto v organizaciji je potrebno definirati oz določiti dimenzijo vkateri se meri kvaliteta Značilne so tri dimenzije (kriteriji)
- primernost in funkcionalnost- varnost in zanesljivost- razpoložljivost in dostopnost
- Metrike
-Tveganje je objektivizirane negotovosti glede na možnost pojavitve nezaželenegadogodka merjenje negotovosti in negotovosti izgube Negotovost nastane zaradipomanjkanja informacij o nekdanjih sedanjosti in prihodnjih dogodkih vrednostih inpogojih Ne glede na različne stopnje negotovosti je osnova koncepta negotovosti vpomanjkanju informacij o delih sistema ki ga obravnavamo ali opazujemo Zmanjšanje tveganj mora biti motiv za organizacijo Zmanjšanjestopnje negotovosti je korak k opredelitvi kaj je lahko narejeno zazmanjšanje izpostavljanju tveganj Kakšno metriko uporabimo jeodvisno od tega kaj želimo meriti obravnavati spremljati izboljšatiitdOceniti tveganje pomeni ovrednotiti koliko lahko prenesemo oz izgubimo če seneljubi dogodek zgodi in pri tem izgubimo npr kar posedujemo Ali predstavlja to zanas vrednost in kako pogosto se ti dogodki pojavljajo so začetna razmišljanja ko greza tveganja in reakcije na njihLahko trdimo da je tveganje vedno ocenjeno z analizo scenarijev kar pomenivrednotiti možne izgube in frekvenco verjetnosti možne škode Toda v kakšnemobsegu in po katerih predvidevanjih Vsekakor je pri ocenjevanju tveganj medkvalitativno in kvantitativno analizo razlika Smiselno je obravnavanje analizetveganj Še tako dobro zastavljena varnostna politika brez izvajanja in kontrole ne
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 32
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
Kaj je to etičnost in morala pravočasne namestitve napredne strojne opreme
4 Tveganje pri upravljanju napredne strojne opreme
Ko izrečemo ali preberemo besedi raquotveganje upravljanja napredne strojne opremelaquo se ne zavedamo da je tveganje skrito že kar v prvi besedi raquoupravljanjelaquo Tisti ki so odgovorni za upravljanje se tega namreč premalo ali sploh ne zavedajo Tveganja ki se v pri strojni opremi ter poslovnih subjektih na tem nivoju kažejo so
- nikoli dovolj resursov- cilji so nejasni- ni definirane politike standardov- število tveganj je preveliko ne ve se katera strojna oprema je najbolj pomembna- ni kulture
Sicer pa prevladuje prepričanje da se verjetno ne bo nič zgodilo Opisano ni zgled vodstvaZato moramo v svojo organizacijo sistematično s celostnim pristopom vpeljatiupravljanje tveganj Za drugo besedo raquotveganjelaquo se lahko vprašamo na kajnajprej pomislimo v vsakodnevnem življenju ko jo slišimo Najbrž pomislimo dalahko nekaj z določeno verjetnostjo izgubimo Preprosto sklepamo kaj in koliko lahko izgubimo ob neljubem dogodku to opredelimo z raquoresnostjolaquo verjetnost da izgubimo paobičajno opredelimo kot raquofrekvencalaquo pojavljanjaTo da se zgodi tisto česar v bistvu ne želimo je naša raquoranljivostlaquo če se ustreznoodzovemo ali reagiramo na tak dogodek pomeni da smo v aktivnostih privzelidoločene raquoobrambnelaquo mehanizme in zmanjšali raquoizpostavljenostlaquo tveganjemPri obravnavanju tveganj se izvajajo procesi analize ocene in rešitve kar lahkoopredelimo kot raquoupravljanjelaquo Resnost se meri z vrednostmi ovrednotimo jo finančnotorej določimo znesek Verjetnost pa merimo oz ocenimo s številom dogodkov včasovnem obdobju največkrat na leto Seveda bomo pozorni in dogodke spremljali dotiste varnosti in zaščite ki sta primerni sprejemljivi in hkrati skladni z našimivrednotami standardi in ekonomskimi zmožnostmi V bistvu so stvari boljkompleksne vsekakor je pomembna hitrost v odzivnosti Če želimo obravnavati inprimerjati tveganja moramo primerjati razsežnosti tveganj Ni rečeno da so tveganjanizka po vrednosti in visoka po frekvenci z enakim učinkom itd Zanimivo je da so vZDA in anglosaksonskem svetu upravljanje s tveganji vzeli kot tekmovalno prednostmedtem ko je v EU to bolj posledica regulative
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 25
Napredno vzdrževanje strojne opreme Učno gradivo
41 Spremembe pri strojni opremi
Spremembe so silovite Hitro se razvijajoča informacijska in telekomunikacijskatehnologija zahteva nove poslovne modele Gonilniki sprememb vplivajo na poslovnesubjekte ki morajo biti prilagodljivi hitri in hkrati varni Vse to med drugim prinašanegotovost znotraj poslovnega sistema pa tudi v zunanjem okolju Obvladovanjesprememb zahteva izjemne intelektualne napore saj so pritiski na poslovne subjekteveliki Prihajajo s strani zahtev regulative zakonodaje varnosti standardov nadzorakontrol konkurence itd Odražajo se v vrednostnih pogajalcih za PS kot soohranjanje rasti stroški in učinkovitost načrtna razdelitev kapitala in prioritetno sejim pridružuje upravljanje s tveganji torej investiranje v varnost Ključna tveganja vteh transformacijah so tako strateška kot procesna Sem sodijo informacijski sistemi(IS) infrastruktura tehnologija stranke partnerji konkurenca in intelektualni kapital -človeški viri itd Vsako od omenjenih tveganj je sicer možno omiliti ali odpravitivendar je potreben holistični pristop standardizacija privzemanje kulture tveganjpotrebno je kreirati program upravljanja tveganj program varnosti vpeljatiupravljanje znanj integralna orodja za tveganja orodja za analize scenarijev insimulacij uvesti nove discipline in metrike ter dobro prakso In kakšna je potem cenavarnosti Ni univerzalnih navodil ni garancij za uspeh ker v globalnem svetunenehno nastajajo nova tveganja V mreži poslovnih verig so medsebojno odvisna Vnadaljevanju je nakazano strukturno razumevanje oziroma pristop k upravljanjutveganj informacijske tehnologije (IT) kot podpore IS-mu in procesom v poslovnihsistemih ne glede na to kateri industriji poslovni subjekt pripada
V področje upravljanja s tveganji IT (UT-IT) vsekakor spadajo informacijski sistemi[1] IT viri procesi projekti in druge danosti ter kategorije povezane z IT Področjezajema vsa operativna tveganja kot posledice Človeških in tehnoloških napak Jeizjemno široko kompleksno interdisciplinarne narave s poudarkom na ustreznemrazumevanju konceptov z več področij (varnost tveganja nadzor (revizije)neprekinjeno poslovanje) Izhodišče so informacije ki jih podpira IS kateregaomogoča informacijska tehnologija v vsaki organizaciji Informacije potrebujejoanalizo tako domene IS kot poslovne domene Informacije so vitalen vir vsakeposlovne enote zato so tudi tarča napadov z različnimi motivi in vplivi na poslovanjeUT-IT tako zajema uporabnike IT organizacijo IT in njeno dejavnost kot storitevkončnim uporabnikom
IT organizacija mora biti ustrezno organizirana da zagotavljaposlanstvo varnosti učinkovitosti IS in dostavo storitev Zato imavarnost v organizacijah več oblik Odvisne so ena od druge inpredstavljalo celotno varnost (fizičnondashtehnično varnost in upravljalnisistem informacijske varnosti)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 26
Napredno vzdrževanje strojne opreme Učno gradivo
Pogled na strukturo IT organizacije je priporočljiv z več vidikov in dimenzijPredstava v prostoru je znana IT raquokockalaquo Med IT vire pa na splošno opredeljujemo
- ljudi- aplikacije- tehnologijo- podatke- Podporo-
Taka struktura je pomembna za odpravljanje tveganj v IT organizacijah namrečzajema tako procese kot več disciplin in upravljanje dejavnosti IT organizacije S temdemonstriramo funkcionalnost ki zagotavlja kvalitetno storitev IT Taka strukturaomogoča boljšo dostavljivost IT rešitev kar pomeni učinkovitost IS in zmanjšanjedoločenih tveganj med njimi tudi usklajevanje poslovnih ciljev najvišjega vodstva zIT
Ker izhajamo iz informacije poglejmo njene lastnosti Glavni kriteriji za ocenjevanjeso zaupnost integriteta in razpoložljivost Metoda UT-IT pa je skupni imenovalec zaanalizo neprekinjenemu poslovanju [4] projektnemu vodenju [5] drugim disciplinamin revizijam ter informacijskim varnostnim tveganjem Tveganja iz naslovainformacijske varnosti lahko do določene stopnje primerjamo s kontrolami [6] S tegavidika kontrole zmanjšujejo tveganja in so povezane z revizijami (notranjimi inzunanjimi) Pri tem se opirajo na preglede v katerih se ugotavljajo primernost inskladnost varnostne arhitekture ter učinkovitosti izvajanja upravljanja tveganjTudi odločitve običajno temeljijo na informacijah če so informacije mehke pride doizraza večja negotovost in odločitve ki se sprejemajo lahko pripeljejo do usodnihdogodkov v katerih se tveganja uresničijo in nastajajo izgube v poslovanjuDefinicij informacije je precej Velja da je to vir vsakega poslovnega subjekta Takopridemo do vrednosti informacije kot vseh drugih vitalnih vrednih virov v poslovnemsistemu Prav neustrezno ravnanje z informacijami povzroča velika tveganja ininformacijsko nestabilnost Dejstvo je da se mora v digitalni ekonomiji in globalnemsvetu poleg socialne finančne in ekonomske stabilnosti upoštevati tudi informacijska
Pri poslovanju so vsekakor pomembni procesi ki so predmet obravnave na področjuupravljanja tveganj IT Tako UT-IT opredeljuje in zajema tudi operativna tveganja Izpraktičnega vidika je v poslovnem sistemu veliko procesov ki se nadalje delijo napodprocese in aktivnosti temeljni in podporni Toda vsi morajo biti raquooptimalnilaquovodeni in nadzorovani Precej kompleksnosti naraste v informacijskem sistemu ki gapodpirata informacijska in telekomunikacijska tehnologija Zato je za področje UT-ITsmiselno uporabiti okvir COBIT Ta standard se lahko uspešno privzame tudi pri samiorganiziranosti in definiciji procesov v organizacijah ITUT-IT je prav tako proces v katerem se proučuje in obravnava IS-me Sem spadajotudi nevarnosti ki pretijo poslovnemu sitemu IS-mu IT organizaciji njeni storitveni
dejavnosti torej vsem virom v sistemu kakor tudi drugim poslovnim subjektom vposlovni verigi V njej so tehnološke razdalje med subjekti izjemno ranljive saj nasvoji poti informacije doživljajo spremembe procesi v katerih se to dogaja pa so semorali razširiti izven okolja posamezne organizacije ali PS Pot je posejana z
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 27
Napredno vzdrževanje strojne opreme Učno gradivo
nevarnostmi različnih izvorov tako da se tudi tveganja in njihovi vplivi na poslovanjeodražajo z različnimi učinki Poglablja se tveganje e-poslovanja gre za takoimenovana e-tveganja Biti brez varnosti v realnem času in hitre odzivne funkcije natveganja ter nepredvidene dogodke je lahko za poslovanje silno usodno Zatoobstajajo različne strategije orodja in načini za zdravljenje tveganj ki skupajpredstavljajo obrambne mehanizme organizacije Pri tem je pomembno zavedanje inizobraževanje ter neprestano usposabljanje strokovnjakov na teh področjihOperativna tveganja so izrazito povezana z internimi procesi in jih posamezneindustrije že obravnavajo vsekakor pa jih bo morala vpeljati finančna industrija zlastiban1048830ni sektor ki bo moral biti skladen z Baselskim II standardom in EU (CAD)direktivami Standard namreč zajema potencialne izgube tudi iz naslova operativnihtveganj ne glede na interne ali zunanje dejavnike Osredotočen je na objavopotencialnih izgub za vse poslovne linije organizacije po določeni strukturi poročanjaglede kapitalske ustreznostiKo pogledamo v bančni sektor je osnovni namen obvladovanja inupravljanja s tveganji v bankah zagotavljanje njene plačilnesposobnosti Med različnimi načini za uresničevanje tega cilja je naprvem mestu institut minimalnega kapitala in zagotavljanje potrebnekapitalske ustreznosti banke o katerem govori Basel IIDelež kapitala v celotni bilančni vsoti je pri bankah mnogo manjši kot pri drugihorganizacijah in podjetjih Tudi njegova funkcija je drugačna Kot najpomembnejšafunkcija bančnega kapitala se ponavadi navaja zaščita vlagateljev Bančni kapitalpoleg tega omogoča nadzornim institucijam omejevati obseg tveganih dejavnosti bankin hkrati omogoča banki financiranje njenih osnovnih sredstev Ker so upniki bankmnožice posameznikov ki imajo pri teh bankah praviloma vloge na vpogled alikratkoročno vezane vloge in ker je takrat ko banka postane nelikvidna ponavadi žeprepozno saj je takrat banka praviloma že nesolventna je velikost bančnega kapitalajavna zadeva
Filozofija današnje bančne regulative je dopustiti zdravo konkurenco med bankami inhkrati zagotoviti njihovo disciplino prek predpisovanja minimalnih kapitalskih zahtevBaselski standardi so vplivali na oblikovanje evropskih smernic za banke Polegstandardizirane metodologije za računanje potrebnega kapitala za pokrivanjeomenjenih tveganj so navedeni potrebni pogoji za uporabo internih modelov bank zamerjenje tveganj med njimi operativno tveganje (uporabniki IT in IT organizacij)
Obseg in narava tveganj s katerima se srečujejo banke sta odvisni od narave njihovihposlov Pri tradicionalnih bančnih poslih (dajanje posojil iz prejetih depozitov) se kotglavna tveganja pojavljajo kreditno tveganje (tveganje dolžnikove nezmožnosti alinepripravljenosti izpolniti obveznosti iz naslova kreditne pogodbe) tržnolikvidnostno tveganje (tveganje da banka v določenem trenutku ne more poravnativseh svojih dospelih plačilnih obveznosti) tveganje spremembe obrestne mere(tveganje da bo postala pogodbeno določena obrestna mera drugačna od tržne in dabo banka utrpela izgubo iz tega naslova) ter operacijsko tveganje (tveganje ki mu jebanka izpostavljena zaradi možnih človeških napak torej internih procesov napaktehnologije in zunanjih dejavnikov (gre tudi za prevare poneverbe pranje denarjaoperativne izgube pravne ter druge stroške ki jih banka nosi v primeru njihoveganastanka)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 28
Napredno vzdrževanje strojne opreme Učno gradivo
Z bankami so povezani poslovni subjekti in vsi morajo zagotavljati varno poslovanjeTveganja so precejšnja saj vsi PS ne morejo zagotavljati enako učinkovitihprotiukrepov in varnostnih mer Pogljablja se tudi STP e-poslovanje nastajajo eskupnostiIS-mi se pogovarjajo med seboj brezžične komunikacije nujno jeprivzemanje standardov in različice XML protokola vse različne storitve potrebujejoUT-IT Področje je v razmahu in lastniki ter nadzorni sveti bodo moralikontrolirati operativne izgube in učinkovitost IS NS bodo imeli vlogo potrditvestrategij UT-IT uprave oz vodstva pa bodo morali dokazati skladnost s standardi inmetodami
Primerov storitev ki jih lahko obsega napredno vzdrževanje strojne opreme v UT-IT
spremljanje tehnoloških novosti povezanih z vzdrževano opremo ter priprava predlogov in ukrepov za nemoteno delovanje oz izboljšanje njenega delovanja
zamenjava delov strojne opreme
namestitev varnostnih popravkov na strežniško infrastrukturo
namestitev varnostnih popravkov na delovne postaje in prenosnike
periodično preventivno vzdrževanje strojne opreme
dokumentiranje storitev vzdrževanja
popravilo in odstranitev vseh pomanjkljivosti odkritih med preventivnim pregledom
pomoč sistemskim administratorjem in uporabnikom odgovori na vprašanja in svetovanje glede uporabe vzdrževane infrastrukturne opreme na lokaciji naročnika oz uporabnika
izredni kontrolni nadzor nad delovanjem infrastrukturne opreme po dogovoru z naročnikom
nadgradnja strežnikov delovnih postaj in prenosnih računalnikov
nadgradnja komunikacijske opreme
daljinska pomoč preko telefona elektronske pošte faksa ali daljinskega dostopa pri reševanju problemov uporabnikov odgovori na vprašanja in svetovanje glede uporabe vzdrževane strojne opreme
Osnovno popraviloStrokovnjak bo preveril delovanje računalnika opredelil napako in jo odpravil V to storitev se uvršča odprava manjših napak na računalniku
Storitev vsebuje diagnostiko težave in njeno odpravo v primeru da gre za manjšo napako Med manjše napake sodi ponovna namestitev gonilnikov popravilo napačnih nastavitev v programski opremi ponovna namestitev programov itd
V primeru da sestavljamo ob nakupu nov računalnik z dodatno opremo moramo poskrbeti da bomo da za nakup dobili najboljšo ponudbo računalnika ali računalniške opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 29
Napredno vzdrževanje strojne opreme Učno gradivo
Pri sestavi sistema bomo upoštevali vaše potrebe ter dosegli najboljše razmerje med ceno in zmogljivostjo Poudarek je na individualnem svetovanju katerega namen je kar najbolje poskrbeti za želje uporabnika V ta sklop sodi poleg svetovanja za nakup računalnika tudi svetovanje o ostalih perifernih napravah (tiskalniki usmerjevalniki itd)
Pristop k osnovanju UT-IT
Težko je odgovoriti ali se odzvati na vsa tveganja brez ustreznega znanja Splošnoznano je tudi da se iz podatkov procesirajo informacije in iz njih znanje ki ga jesmiselno takoj uporabiti Gre za znanje poslovnega subjekta v celoti in nekateraspecialna znanja za katera je potrebno zagotoviti da so v pravilnem kontekstu in napravem mestu Upravljanje znanj (UZ) ima lahko odločilno vlogo pri strategiji zavpeljavo področja upravljanja tveganj IT v vsakodnevnem poslovanju UZ zmanjšaraquokorporacijskolaquo izpostavljenost tveganjem Zato je pametno zbrati vse ustrezneinformacije strukturirati znanje v kontekst ali okvir v katerega bodo vnesene vsebinepotrebne za UT-IT Kreiranje portala in repositorija za upravljanje tveganjopredeljujemo kot podporno infrastrukturo področju V repositoriju sopredefinirane strukture Zaposlenim so na voljo v obliki zemljevidov raquomaplaquo kikažejo na vsebine in povezave med njimi ter omogočajo polnjenje vsebin Pridoločanju vsebin lahko sodelujejo vsi želeno je da se v organizaciji na področjutveganj in varnosti ustvarja intelektualni potencialUpravljanje
Tveganj IT5Varnost
Metoda je opredeljena kot množica korakov (algoritem ali navodilo) uporabljenih zaizvršitev naloge (dela posla) Metodologija je nekako širši pojem in predstavljamnožico orodij lahko raziskovalne metode ali razlago teorije vodenja v vodstvenoprakso Torej metodologija organizira teorijo v nekaj razumljivega Ker je na voljo večpristopov metodologij in metod pri upravljanju tveganj bi torej metodologijopredstavljalo orodje za podporo odločitvenim sistemom iz področja UT-IT Tehnik inmetod je dejansko več katere bomo uporabili za različna področja in položaje toterja tehtni premislek
Slika 4 Zunanji disk WD Passport (klikni na sliko
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 30
Napredno vzdrževanje strojne opreme Učno gradivo
V glavnem so osnovane na točkovnih in statističnih metodah kvalitativni inkvantitativni tehniki Znana je enačba tveganj ALE (letnih pričakovanih izgub)Smiselno pa je privzeti metodo standarda BS7799 [10] ali ISO17799 za informacijskovarnost Smiselno je da bi vse industrije prevzele standard PSIST7799 (prevod) kivelja v državi od 13 6 2000 za bančni sektor (z dopolnitvami)Poslovni subjekti lahko uporabljajo lastno razvite tehnike in tehnologije zaidentifikacijo in analizo tveganj Za različne poslovne procese kot so vodenjesprememb združevanja in prevzemi raquocorporate governancelaquo strateško planiranje invrednotenje lahko privzete kvalitativne ali kvantitativne identifikacije tveganj inanalitske tehnike dodajo značilno vrednost za različne poslovne položaje in področjaUveljavljajo se metode analize scenarijev in raquoscorecardslaquo ter druge statistične metoderazne simulacije (Monte Carlo) itdTipično je da se simulacijski modeli uporabljajo za odločitve o sestavi realnihsistemov in za odločitve o politiki in postopkih ki jih uporabljamo pri delovanjurealnih sistemov Simulacija pomaga pri določanju sestave politike in postopkov vnegotovih torej tveganih pogojih okolja sistema Manager poskuša z modelom kotnadomestkom za realni sistem z uporabo različnih vhodnih podatkov in postopkovdoseči na osnovi dobljenih rezultatov pri simulaciji lažje odločanje pri vodenjurealnega sistema Vendar mora biti pri tem pazljiv in rezultatov dobljenih ssimulacijo ne more kratkomalo prenašati v realni svet Model in simulacija lahkopomagata bolje spoznati delovanje realnega sistema ne moreta pa zagotoviti raquopraveizbirelaquo za realni sistem Pri upravljanju tveganj IT lahko preveč subjektivne ocenepovzročajo nova tveganja predvsem na področju zunanjih virov (outsourcinga) invodenja pogodbZa UT-IT je na voljo dovolj modelov orodij programov in vzorcev ki jih lahkouporabimo v svojem poslovnem okolju Priporoljivo je da vsak poslovni subjektkreira sebi ustrezen model glede na specifiko vendar mora izvajati ovrednotenje da jeskladen s standardi in regulativo Standardi so uveljavljeni in nudijo dovolj velik okvirza njihovo privzemanje in funkcijo uporabe
Pregledni model UT-ITV podporo modelu UT-IT je že potreben omenjeni portal kot rezultat procesov priupravljanju znanj in repositorij kjer se shranjujejo potrebne vsebine in nastaja bazaznanja o dogodkih in tveganjih ter obrambnih mehanizmih Portal služi tudi zaizobraževanje Vsebine predstavljajo sezname in infostrukture od standardov doobrazcev ki se uporabljajo v posameznih fazah ali procesih analize in v obravnavanjutveganj Zbrani so tudi vsi principi zakonodaja politike procedure metrika procesiin tokovi informacij kakor tudi vnos v register tveganj zajem nevarnosti popis vsehkontrol varnostni mehanizmi in seznam protiukrepov vse to za dogodke in scenarijeki se lahko ali so se že zgodiliZa področje UT-IT se kreirajo smernice za posamezne entitete ali subjekte ki sovključeni kot participatorji ter navodila kako se izvajajo aktivnosti Učinkovitost sedoseže s poprej določenimi infostrukturami standardizacijo in povezavami medpodročji ter odnosi med entitetami ali objekti ki tvorijo sistem upravljanja tveganj IT
Kreiranje konteksta ali takšnega okvira je možno ker so v glavnem poznane vsestrukture in gradniki UT-IT in želenega sistema varnosti Dovolj predlog je že naInternetu zato je smiselno področje pregledati in izbrati želene infostrukture Posebnerazlage niso potrebne UT-IT se odvija po projektnih principih s skupinami ki so
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 31
Napredno vzdrževanje strojne opreme Učno gradivo
strokovne na svojih področjih Prav tako se v skupinah (samovodljivo) ocenjujejotveganja in definirajo strategije rešitev za identificirana tveganjaPodročje UT-IT je lahko služba ki je neodvisna in samostojna organizacijska enota v vrhu vodstva organizacijeIZVAJANJEOKVIRKaj kako s 1048830i
- Komunikacijski krogi
Bistven gradnik UT-IT predstavljajo komunikacijski krogi (KK) med področji inodgovornimi ali delegiranimi sodelavci po poslovnih linijah Le-ti predstavljajo raquokomunikatorje tveganjalaquo ki so povezani prek sistema zgodnjega opozarjanja inizvajajo vnos dogodkov ter podatkov za analize tveganj in ocenjevanje vpliva naposlovanje Izkušena skupina določi tudi ustrezne protiukrepe in varnostne mere ter jihposreduje lastnikom tveganj Ti s strokovnjaki za posamezna področja pripravijostrategijo rešitve in jo predstavijo (kot zagovor) odgovornim za področja da se posoglasju lahko izvedejo Področje UT-IT spremlja in spet ocenjuje učinke terrezidualna tveganja Zaradi narave tveganj in inherentnih tveganj IT so tovsakodnevne aktivnosti upravljanje tveganj in varnosti pa je vodstvena funkcijaObstaja še pomembna lastnost in specifika da področja varnosti in tveganj pripadajovsem zaposlenem v organizaciji zato so komunikacijski krogi in pravočasnoinformiranje nujniZa operacijsko kvaliteto v organizaciji je potrebno definirati oz določiti dimenzijo vkateri se meri kvaliteta Značilne so tri dimenzije (kriteriji)
- primernost in funkcionalnost- varnost in zanesljivost- razpoložljivost in dostopnost
- Metrike
-Tveganje je objektivizirane negotovosti glede na možnost pojavitve nezaželenegadogodka merjenje negotovosti in negotovosti izgube Negotovost nastane zaradipomanjkanja informacij o nekdanjih sedanjosti in prihodnjih dogodkih vrednostih inpogojih Ne glede na različne stopnje negotovosti je osnova koncepta negotovosti vpomanjkanju informacij o delih sistema ki ga obravnavamo ali opazujemo Zmanjšanje tveganj mora biti motiv za organizacijo Zmanjšanjestopnje negotovosti je korak k opredelitvi kaj je lahko narejeno zazmanjšanje izpostavljanju tveganj Kakšno metriko uporabimo jeodvisno od tega kaj želimo meriti obravnavati spremljati izboljšatiitdOceniti tveganje pomeni ovrednotiti koliko lahko prenesemo oz izgubimo če seneljubi dogodek zgodi in pri tem izgubimo npr kar posedujemo Ali predstavlja to zanas vrednost in kako pogosto se ti dogodki pojavljajo so začetna razmišljanja ko greza tveganja in reakcije na njihLahko trdimo da je tveganje vedno ocenjeno z analizo scenarijev kar pomenivrednotiti možne izgube in frekvenco verjetnosti možne škode Toda v kakšnemobsegu in po katerih predvidevanjih Vsekakor je pri ocenjevanju tveganj medkvalitativno in kvantitativno analizo razlika Smiselno je obravnavanje analizetveganj Še tako dobro zastavljena varnostna politika brez izvajanja in kontrole ne
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 32
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
41 Spremembe pri strojni opremi
Spremembe so silovite Hitro se razvijajoča informacijska in telekomunikacijskatehnologija zahteva nove poslovne modele Gonilniki sprememb vplivajo na poslovnesubjekte ki morajo biti prilagodljivi hitri in hkrati varni Vse to med drugim prinašanegotovost znotraj poslovnega sistema pa tudi v zunanjem okolju Obvladovanjesprememb zahteva izjemne intelektualne napore saj so pritiski na poslovne subjekteveliki Prihajajo s strani zahtev regulative zakonodaje varnosti standardov nadzorakontrol konkurence itd Odražajo se v vrednostnih pogajalcih za PS kot soohranjanje rasti stroški in učinkovitost načrtna razdelitev kapitala in prioritetno sejim pridružuje upravljanje s tveganji torej investiranje v varnost Ključna tveganja vteh transformacijah so tako strateška kot procesna Sem sodijo informacijski sistemi(IS) infrastruktura tehnologija stranke partnerji konkurenca in intelektualni kapital -človeški viri itd Vsako od omenjenih tveganj je sicer možno omiliti ali odpravitivendar je potreben holistični pristop standardizacija privzemanje kulture tveganjpotrebno je kreirati program upravljanja tveganj program varnosti vpeljatiupravljanje znanj integralna orodja za tveganja orodja za analize scenarijev insimulacij uvesti nove discipline in metrike ter dobro prakso In kakšna je potem cenavarnosti Ni univerzalnih navodil ni garancij za uspeh ker v globalnem svetunenehno nastajajo nova tveganja V mreži poslovnih verig so medsebojno odvisna Vnadaljevanju je nakazano strukturno razumevanje oziroma pristop k upravljanjutveganj informacijske tehnologije (IT) kot podpore IS-mu in procesom v poslovnihsistemih ne glede na to kateri industriji poslovni subjekt pripada
V področje upravljanja s tveganji IT (UT-IT) vsekakor spadajo informacijski sistemi[1] IT viri procesi projekti in druge danosti ter kategorije povezane z IT Področjezajema vsa operativna tveganja kot posledice Človeških in tehnoloških napak Jeizjemno široko kompleksno interdisciplinarne narave s poudarkom na ustreznemrazumevanju konceptov z več področij (varnost tveganja nadzor (revizije)neprekinjeno poslovanje) Izhodišče so informacije ki jih podpira IS kateregaomogoča informacijska tehnologija v vsaki organizaciji Informacije potrebujejoanalizo tako domene IS kot poslovne domene Informacije so vitalen vir vsakeposlovne enote zato so tudi tarča napadov z različnimi motivi in vplivi na poslovanjeUT-IT tako zajema uporabnike IT organizacijo IT in njeno dejavnost kot storitevkončnim uporabnikom
IT organizacija mora biti ustrezno organizirana da zagotavljaposlanstvo varnosti učinkovitosti IS in dostavo storitev Zato imavarnost v organizacijah več oblik Odvisne so ena od druge inpredstavljalo celotno varnost (fizičnondashtehnično varnost in upravljalnisistem informacijske varnosti)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 26
Napredno vzdrževanje strojne opreme Učno gradivo
Pogled na strukturo IT organizacije je priporočljiv z več vidikov in dimenzijPredstava v prostoru je znana IT raquokockalaquo Med IT vire pa na splošno opredeljujemo
- ljudi- aplikacije- tehnologijo- podatke- Podporo-
Taka struktura je pomembna za odpravljanje tveganj v IT organizacijah namrečzajema tako procese kot več disciplin in upravljanje dejavnosti IT organizacije S temdemonstriramo funkcionalnost ki zagotavlja kvalitetno storitev IT Taka strukturaomogoča boljšo dostavljivost IT rešitev kar pomeni učinkovitost IS in zmanjšanjedoločenih tveganj med njimi tudi usklajevanje poslovnih ciljev najvišjega vodstva zIT
Ker izhajamo iz informacije poglejmo njene lastnosti Glavni kriteriji za ocenjevanjeso zaupnost integriteta in razpoložljivost Metoda UT-IT pa je skupni imenovalec zaanalizo neprekinjenemu poslovanju [4] projektnemu vodenju [5] drugim disciplinamin revizijam ter informacijskim varnostnim tveganjem Tveganja iz naslovainformacijske varnosti lahko do določene stopnje primerjamo s kontrolami [6] S tegavidika kontrole zmanjšujejo tveganja in so povezane z revizijami (notranjimi inzunanjimi) Pri tem se opirajo na preglede v katerih se ugotavljajo primernost inskladnost varnostne arhitekture ter učinkovitosti izvajanja upravljanja tveganjTudi odločitve običajno temeljijo na informacijah če so informacije mehke pride doizraza večja negotovost in odločitve ki se sprejemajo lahko pripeljejo do usodnihdogodkov v katerih se tveganja uresničijo in nastajajo izgube v poslovanjuDefinicij informacije je precej Velja da je to vir vsakega poslovnega subjekta Takopridemo do vrednosti informacije kot vseh drugih vitalnih vrednih virov v poslovnemsistemu Prav neustrezno ravnanje z informacijami povzroča velika tveganja ininformacijsko nestabilnost Dejstvo je da se mora v digitalni ekonomiji in globalnemsvetu poleg socialne finančne in ekonomske stabilnosti upoštevati tudi informacijska
Pri poslovanju so vsekakor pomembni procesi ki so predmet obravnave na področjuupravljanja tveganj IT Tako UT-IT opredeljuje in zajema tudi operativna tveganja Izpraktičnega vidika je v poslovnem sistemu veliko procesov ki se nadalje delijo napodprocese in aktivnosti temeljni in podporni Toda vsi morajo biti raquooptimalnilaquovodeni in nadzorovani Precej kompleksnosti naraste v informacijskem sistemu ki gapodpirata informacijska in telekomunikacijska tehnologija Zato je za področje UT-ITsmiselno uporabiti okvir COBIT Ta standard se lahko uspešno privzame tudi pri samiorganiziranosti in definiciji procesov v organizacijah ITUT-IT je prav tako proces v katerem se proučuje in obravnava IS-me Sem spadajotudi nevarnosti ki pretijo poslovnemu sitemu IS-mu IT organizaciji njeni storitveni
dejavnosti torej vsem virom v sistemu kakor tudi drugim poslovnim subjektom vposlovni verigi V njej so tehnološke razdalje med subjekti izjemno ranljive saj nasvoji poti informacije doživljajo spremembe procesi v katerih se to dogaja pa so semorali razširiti izven okolja posamezne organizacije ali PS Pot je posejana z
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 27
Napredno vzdrževanje strojne opreme Učno gradivo
nevarnostmi različnih izvorov tako da se tudi tveganja in njihovi vplivi na poslovanjeodražajo z različnimi učinki Poglablja se tveganje e-poslovanja gre za takoimenovana e-tveganja Biti brez varnosti v realnem času in hitre odzivne funkcije natveganja ter nepredvidene dogodke je lahko za poslovanje silno usodno Zatoobstajajo različne strategije orodja in načini za zdravljenje tveganj ki skupajpredstavljajo obrambne mehanizme organizacije Pri tem je pomembno zavedanje inizobraževanje ter neprestano usposabljanje strokovnjakov na teh področjihOperativna tveganja so izrazito povezana z internimi procesi in jih posamezneindustrije že obravnavajo vsekakor pa jih bo morala vpeljati finančna industrija zlastiban1048830ni sektor ki bo moral biti skladen z Baselskim II standardom in EU (CAD)direktivami Standard namreč zajema potencialne izgube tudi iz naslova operativnihtveganj ne glede na interne ali zunanje dejavnike Osredotočen je na objavopotencialnih izgub za vse poslovne linije organizacije po določeni strukturi poročanjaglede kapitalske ustreznostiKo pogledamo v bančni sektor je osnovni namen obvladovanja inupravljanja s tveganji v bankah zagotavljanje njene plačilnesposobnosti Med različnimi načini za uresničevanje tega cilja je naprvem mestu institut minimalnega kapitala in zagotavljanje potrebnekapitalske ustreznosti banke o katerem govori Basel IIDelež kapitala v celotni bilančni vsoti je pri bankah mnogo manjši kot pri drugihorganizacijah in podjetjih Tudi njegova funkcija je drugačna Kot najpomembnejšafunkcija bančnega kapitala se ponavadi navaja zaščita vlagateljev Bančni kapitalpoleg tega omogoča nadzornim institucijam omejevati obseg tveganih dejavnosti bankin hkrati omogoča banki financiranje njenih osnovnih sredstev Ker so upniki bankmnožice posameznikov ki imajo pri teh bankah praviloma vloge na vpogled alikratkoročno vezane vloge in ker je takrat ko banka postane nelikvidna ponavadi žeprepozno saj je takrat banka praviloma že nesolventna je velikost bančnega kapitalajavna zadeva
Filozofija današnje bančne regulative je dopustiti zdravo konkurenco med bankami inhkrati zagotoviti njihovo disciplino prek predpisovanja minimalnih kapitalskih zahtevBaselski standardi so vplivali na oblikovanje evropskih smernic za banke Polegstandardizirane metodologije za računanje potrebnega kapitala za pokrivanjeomenjenih tveganj so navedeni potrebni pogoji za uporabo internih modelov bank zamerjenje tveganj med njimi operativno tveganje (uporabniki IT in IT organizacij)
Obseg in narava tveganj s katerima se srečujejo banke sta odvisni od narave njihovihposlov Pri tradicionalnih bančnih poslih (dajanje posojil iz prejetih depozitov) se kotglavna tveganja pojavljajo kreditno tveganje (tveganje dolžnikove nezmožnosti alinepripravljenosti izpolniti obveznosti iz naslova kreditne pogodbe) tržnolikvidnostno tveganje (tveganje da banka v določenem trenutku ne more poravnativseh svojih dospelih plačilnih obveznosti) tveganje spremembe obrestne mere(tveganje da bo postala pogodbeno določena obrestna mera drugačna od tržne in dabo banka utrpela izgubo iz tega naslova) ter operacijsko tveganje (tveganje ki mu jebanka izpostavljena zaradi možnih človeških napak torej internih procesov napaktehnologije in zunanjih dejavnikov (gre tudi za prevare poneverbe pranje denarjaoperativne izgube pravne ter druge stroške ki jih banka nosi v primeru njihoveganastanka)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 28
Napredno vzdrževanje strojne opreme Učno gradivo
Z bankami so povezani poslovni subjekti in vsi morajo zagotavljati varno poslovanjeTveganja so precejšnja saj vsi PS ne morejo zagotavljati enako učinkovitihprotiukrepov in varnostnih mer Pogljablja se tudi STP e-poslovanje nastajajo eskupnostiIS-mi se pogovarjajo med seboj brezžične komunikacije nujno jeprivzemanje standardov in različice XML protokola vse različne storitve potrebujejoUT-IT Področje je v razmahu in lastniki ter nadzorni sveti bodo moralikontrolirati operativne izgube in učinkovitost IS NS bodo imeli vlogo potrditvestrategij UT-IT uprave oz vodstva pa bodo morali dokazati skladnost s standardi inmetodami
Primerov storitev ki jih lahko obsega napredno vzdrževanje strojne opreme v UT-IT
spremljanje tehnoloških novosti povezanih z vzdrževano opremo ter priprava predlogov in ukrepov za nemoteno delovanje oz izboljšanje njenega delovanja
zamenjava delov strojne opreme
namestitev varnostnih popravkov na strežniško infrastrukturo
namestitev varnostnih popravkov na delovne postaje in prenosnike
periodično preventivno vzdrževanje strojne opreme
dokumentiranje storitev vzdrževanja
popravilo in odstranitev vseh pomanjkljivosti odkritih med preventivnim pregledom
pomoč sistemskim administratorjem in uporabnikom odgovori na vprašanja in svetovanje glede uporabe vzdrževane infrastrukturne opreme na lokaciji naročnika oz uporabnika
izredni kontrolni nadzor nad delovanjem infrastrukturne opreme po dogovoru z naročnikom
nadgradnja strežnikov delovnih postaj in prenosnih računalnikov
nadgradnja komunikacijske opreme
daljinska pomoč preko telefona elektronske pošte faksa ali daljinskega dostopa pri reševanju problemov uporabnikov odgovori na vprašanja in svetovanje glede uporabe vzdrževane strojne opreme
Osnovno popraviloStrokovnjak bo preveril delovanje računalnika opredelil napako in jo odpravil V to storitev se uvršča odprava manjših napak na računalniku
Storitev vsebuje diagnostiko težave in njeno odpravo v primeru da gre za manjšo napako Med manjše napake sodi ponovna namestitev gonilnikov popravilo napačnih nastavitev v programski opremi ponovna namestitev programov itd
V primeru da sestavljamo ob nakupu nov računalnik z dodatno opremo moramo poskrbeti da bomo da za nakup dobili najboljšo ponudbo računalnika ali računalniške opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 29
Napredno vzdrževanje strojne opreme Učno gradivo
Pri sestavi sistema bomo upoštevali vaše potrebe ter dosegli najboljše razmerje med ceno in zmogljivostjo Poudarek je na individualnem svetovanju katerega namen je kar najbolje poskrbeti za želje uporabnika V ta sklop sodi poleg svetovanja za nakup računalnika tudi svetovanje o ostalih perifernih napravah (tiskalniki usmerjevalniki itd)
Pristop k osnovanju UT-IT
Težko je odgovoriti ali se odzvati na vsa tveganja brez ustreznega znanja Splošnoznano je tudi da se iz podatkov procesirajo informacije in iz njih znanje ki ga jesmiselno takoj uporabiti Gre za znanje poslovnega subjekta v celoti in nekateraspecialna znanja za katera je potrebno zagotoviti da so v pravilnem kontekstu in napravem mestu Upravljanje znanj (UZ) ima lahko odločilno vlogo pri strategiji zavpeljavo področja upravljanja tveganj IT v vsakodnevnem poslovanju UZ zmanjšaraquokorporacijskolaquo izpostavljenost tveganjem Zato je pametno zbrati vse ustrezneinformacije strukturirati znanje v kontekst ali okvir v katerega bodo vnesene vsebinepotrebne za UT-IT Kreiranje portala in repositorija za upravljanje tveganjopredeljujemo kot podporno infrastrukturo področju V repositoriju sopredefinirane strukture Zaposlenim so na voljo v obliki zemljevidov raquomaplaquo kikažejo na vsebine in povezave med njimi ter omogočajo polnjenje vsebin Pridoločanju vsebin lahko sodelujejo vsi želeno je da se v organizaciji na področjutveganj in varnosti ustvarja intelektualni potencialUpravljanje
Tveganj IT5Varnost
Metoda je opredeljena kot množica korakov (algoritem ali navodilo) uporabljenih zaizvršitev naloge (dela posla) Metodologija je nekako širši pojem in predstavljamnožico orodij lahko raziskovalne metode ali razlago teorije vodenja v vodstvenoprakso Torej metodologija organizira teorijo v nekaj razumljivega Ker je na voljo večpristopov metodologij in metod pri upravljanju tveganj bi torej metodologijopredstavljalo orodje za podporo odločitvenim sistemom iz področja UT-IT Tehnik inmetod je dejansko več katere bomo uporabili za različna področja in položaje toterja tehtni premislek
Slika 4 Zunanji disk WD Passport (klikni na sliko
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 30
Napredno vzdrževanje strojne opreme Učno gradivo
V glavnem so osnovane na točkovnih in statističnih metodah kvalitativni inkvantitativni tehniki Znana je enačba tveganj ALE (letnih pričakovanih izgub)Smiselno pa je privzeti metodo standarda BS7799 [10] ali ISO17799 za informacijskovarnost Smiselno je da bi vse industrije prevzele standard PSIST7799 (prevod) kivelja v državi od 13 6 2000 za bančni sektor (z dopolnitvami)Poslovni subjekti lahko uporabljajo lastno razvite tehnike in tehnologije zaidentifikacijo in analizo tveganj Za različne poslovne procese kot so vodenjesprememb združevanja in prevzemi raquocorporate governancelaquo strateško planiranje invrednotenje lahko privzete kvalitativne ali kvantitativne identifikacije tveganj inanalitske tehnike dodajo značilno vrednost za različne poslovne položaje in področjaUveljavljajo se metode analize scenarijev in raquoscorecardslaquo ter druge statistične metoderazne simulacije (Monte Carlo) itdTipično je da se simulacijski modeli uporabljajo za odločitve o sestavi realnihsistemov in za odločitve o politiki in postopkih ki jih uporabljamo pri delovanjurealnih sistemov Simulacija pomaga pri določanju sestave politike in postopkov vnegotovih torej tveganih pogojih okolja sistema Manager poskuša z modelom kotnadomestkom za realni sistem z uporabo različnih vhodnih podatkov in postopkovdoseči na osnovi dobljenih rezultatov pri simulaciji lažje odločanje pri vodenjurealnega sistema Vendar mora biti pri tem pazljiv in rezultatov dobljenih ssimulacijo ne more kratkomalo prenašati v realni svet Model in simulacija lahkopomagata bolje spoznati delovanje realnega sistema ne moreta pa zagotoviti raquopraveizbirelaquo za realni sistem Pri upravljanju tveganj IT lahko preveč subjektivne ocenepovzročajo nova tveganja predvsem na področju zunanjih virov (outsourcinga) invodenja pogodbZa UT-IT je na voljo dovolj modelov orodij programov in vzorcev ki jih lahkouporabimo v svojem poslovnem okolju Priporoljivo je da vsak poslovni subjektkreira sebi ustrezen model glede na specifiko vendar mora izvajati ovrednotenje da jeskladen s standardi in regulativo Standardi so uveljavljeni in nudijo dovolj velik okvirza njihovo privzemanje in funkcijo uporabe
Pregledni model UT-ITV podporo modelu UT-IT je že potreben omenjeni portal kot rezultat procesov priupravljanju znanj in repositorij kjer se shranjujejo potrebne vsebine in nastaja bazaznanja o dogodkih in tveganjih ter obrambnih mehanizmih Portal služi tudi zaizobraževanje Vsebine predstavljajo sezname in infostrukture od standardov doobrazcev ki se uporabljajo v posameznih fazah ali procesih analize in v obravnavanjutveganj Zbrani so tudi vsi principi zakonodaja politike procedure metrika procesiin tokovi informacij kakor tudi vnos v register tveganj zajem nevarnosti popis vsehkontrol varnostni mehanizmi in seznam protiukrepov vse to za dogodke in scenarijeki se lahko ali so se že zgodiliZa področje UT-IT se kreirajo smernice za posamezne entitete ali subjekte ki sovključeni kot participatorji ter navodila kako se izvajajo aktivnosti Učinkovitost sedoseže s poprej določenimi infostrukturami standardizacijo in povezavami medpodročji ter odnosi med entitetami ali objekti ki tvorijo sistem upravljanja tveganj IT
Kreiranje konteksta ali takšnega okvira je možno ker so v glavnem poznane vsestrukture in gradniki UT-IT in želenega sistema varnosti Dovolj predlog je že naInternetu zato je smiselno področje pregledati in izbrati želene infostrukture Posebnerazlage niso potrebne UT-IT se odvija po projektnih principih s skupinami ki so
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 31
Napredno vzdrževanje strojne opreme Učno gradivo
strokovne na svojih področjih Prav tako se v skupinah (samovodljivo) ocenjujejotveganja in definirajo strategije rešitev za identificirana tveganjaPodročje UT-IT je lahko služba ki je neodvisna in samostojna organizacijska enota v vrhu vodstva organizacijeIZVAJANJEOKVIRKaj kako s 1048830i
- Komunikacijski krogi
Bistven gradnik UT-IT predstavljajo komunikacijski krogi (KK) med področji inodgovornimi ali delegiranimi sodelavci po poslovnih linijah Le-ti predstavljajo raquokomunikatorje tveganjalaquo ki so povezani prek sistema zgodnjega opozarjanja inizvajajo vnos dogodkov ter podatkov za analize tveganj in ocenjevanje vpliva naposlovanje Izkušena skupina določi tudi ustrezne protiukrepe in varnostne mere ter jihposreduje lastnikom tveganj Ti s strokovnjaki za posamezna področja pripravijostrategijo rešitve in jo predstavijo (kot zagovor) odgovornim za področja da se posoglasju lahko izvedejo Področje UT-IT spremlja in spet ocenjuje učinke terrezidualna tveganja Zaradi narave tveganj in inherentnih tveganj IT so tovsakodnevne aktivnosti upravljanje tveganj in varnosti pa je vodstvena funkcijaObstaja še pomembna lastnost in specifika da področja varnosti in tveganj pripadajovsem zaposlenem v organizaciji zato so komunikacijski krogi in pravočasnoinformiranje nujniZa operacijsko kvaliteto v organizaciji je potrebno definirati oz določiti dimenzijo vkateri se meri kvaliteta Značilne so tri dimenzije (kriteriji)
- primernost in funkcionalnost- varnost in zanesljivost- razpoložljivost in dostopnost
- Metrike
-Tveganje je objektivizirane negotovosti glede na možnost pojavitve nezaželenegadogodka merjenje negotovosti in negotovosti izgube Negotovost nastane zaradipomanjkanja informacij o nekdanjih sedanjosti in prihodnjih dogodkih vrednostih inpogojih Ne glede na različne stopnje negotovosti je osnova koncepta negotovosti vpomanjkanju informacij o delih sistema ki ga obravnavamo ali opazujemo Zmanjšanje tveganj mora biti motiv za organizacijo Zmanjšanjestopnje negotovosti je korak k opredelitvi kaj je lahko narejeno zazmanjšanje izpostavljanju tveganj Kakšno metriko uporabimo jeodvisno od tega kaj želimo meriti obravnavati spremljati izboljšatiitdOceniti tveganje pomeni ovrednotiti koliko lahko prenesemo oz izgubimo če seneljubi dogodek zgodi in pri tem izgubimo npr kar posedujemo Ali predstavlja to zanas vrednost in kako pogosto se ti dogodki pojavljajo so začetna razmišljanja ko greza tveganja in reakcije na njihLahko trdimo da je tveganje vedno ocenjeno z analizo scenarijev kar pomenivrednotiti možne izgube in frekvenco verjetnosti možne škode Toda v kakšnemobsegu in po katerih predvidevanjih Vsekakor je pri ocenjevanju tveganj medkvalitativno in kvantitativno analizo razlika Smiselno je obravnavanje analizetveganj Še tako dobro zastavljena varnostna politika brez izvajanja in kontrole ne
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 32
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
Pogled na strukturo IT organizacije je priporočljiv z več vidikov in dimenzijPredstava v prostoru je znana IT raquokockalaquo Med IT vire pa na splošno opredeljujemo
- ljudi- aplikacije- tehnologijo- podatke- Podporo-
Taka struktura je pomembna za odpravljanje tveganj v IT organizacijah namrečzajema tako procese kot več disciplin in upravljanje dejavnosti IT organizacije S temdemonstriramo funkcionalnost ki zagotavlja kvalitetno storitev IT Taka strukturaomogoča boljšo dostavljivost IT rešitev kar pomeni učinkovitost IS in zmanjšanjedoločenih tveganj med njimi tudi usklajevanje poslovnih ciljev najvišjega vodstva zIT
Ker izhajamo iz informacije poglejmo njene lastnosti Glavni kriteriji za ocenjevanjeso zaupnost integriteta in razpoložljivost Metoda UT-IT pa je skupni imenovalec zaanalizo neprekinjenemu poslovanju [4] projektnemu vodenju [5] drugim disciplinamin revizijam ter informacijskim varnostnim tveganjem Tveganja iz naslovainformacijske varnosti lahko do določene stopnje primerjamo s kontrolami [6] S tegavidika kontrole zmanjšujejo tveganja in so povezane z revizijami (notranjimi inzunanjimi) Pri tem se opirajo na preglede v katerih se ugotavljajo primernost inskladnost varnostne arhitekture ter učinkovitosti izvajanja upravljanja tveganjTudi odločitve običajno temeljijo na informacijah če so informacije mehke pride doizraza večja negotovost in odločitve ki se sprejemajo lahko pripeljejo do usodnihdogodkov v katerih se tveganja uresničijo in nastajajo izgube v poslovanjuDefinicij informacije je precej Velja da je to vir vsakega poslovnega subjekta Takopridemo do vrednosti informacije kot vseh drugih vitalnih vrednih virov v poslovnemsistemu Prav neustrezno ravnanje z informacijami povzroča velika tveganja ininformacijsko nestabilnost Dejstvo je da se mora v digitalni ekonomiji in globalnemsvetu poleg socialne finančne in ekonomske stabilnosti upoštevati tudi informacijska
Pri poslovanju so vsekakor pomembni procesi ki so predmet obravnave na področjuupravljanja tveganj IT Tako UT-IT opredeljuje in zajema tudi operativna tveganja Izpraktičnega vidika je v poslovnem sistemu veliko procesov ki se nadalje delijo napodprocese in aktivnosti temeljni in podporni Toda vsi morajo biti raquooptimalnilaquovodeni in nadzorovani Precej kompleksnosti naraste v informacijskem sistemu ki gapodpirata informacijska in telekomunikacijska tehnologija Zato je za področje UT-ITsmiselno uporabiti okvir COBIT Ta standard se lahko uspešno privzame tudi pri samiorganiziranosti in definiciji procesov v organizacijah ITUT-IT je prav tako proces v katerem se proučuje in obravnava IS-me Sem spadajotudi nevarnosti ki pretijo poslovnemu sitemu IS-mu IT organizaciji njeni storitveni
dejavnosti torej vsem virom v sistemu kakor tudi drugim poslovnim subjektom vposlovni verigi V njej so tehnološke razdalje med subjekti izjemno ranljive saj nasvoji poti informacije doživljajo spremembe procesi v katerih se to dogaja pa so semorali razširiti izven okolja posamezne organizacije ali PS Pot je posejana z
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 27
Napredno vzdrževanje strojne opreme Učno gradivo
nevarnostmi različnih izvorov tako da se tudi tveganja in njihovi vplivi na poslovanjeodražajo z različnimi učinki Poglablja se tveganje e-poslovanja gre za takoimenovana e-tveganja Biti brez varnosti v realnem času in hitre odzivne funkcije natveganja ter nepredvidene dogodke je lahko za poslovanje silno usodno Zatoobstajajo različne strategije orodja in načini za zdravljenje tveganj ki skupajpredstavljajo obrambne mehanizme organizacije Pri tem je pomembno zavedanje inizobraževanje ter neprestano usposabljanje strokovnjakov na teh področjihOperativna tveganja so izrazito povezana z internimi procesi in jih posamezneindustrije že obravnavajo vsekakor pa jih bo morala vpeljati finančna industrija zlastiban1048830ni sektor ki bo moral biti skladen z Baselskim II standardom in EU (CAD)direktivami Standard namreč zajema potencialne izgube tudi iz naslova operativnihtveganj ne glede na interne ali zunanje dejavnike Osredotočen je na objavopotencialnih izgub za vse poslovne linije organizacije po določeni strukturi poročanjaglede kapitalske ustreznostiKo pogledamo v bančni sektor je osnovni namen obvladovanja inupravljanja s tveganji v bankah zagotavljanje njene plačilnesposobnosti Med različnimi načini za uresničevanje tega cilja je naprvem mestu institut minimalnega kapitala in zagotavljanje potrebnekapitalske ustreznosti banke o katerem govori Basel IIDelež kapitala v celotni bilančni vsoti je pri bankah mnogo manjši kot pri drugihorganizacijah in podjetjih Tudi njegova funkcija je drugačna Kot najpomembnejšafunkcija bančnega kapitala se ponavadi navaja zaščita vlagateljev Bančni kapitalpoleg tega omogoča nadzornim institucijam omejevati obseg tveganih dejavnosti bankin hkrati omogoča banki financiranje njenih osnovnih sredstev Ker so upniki bankmnožice posameznikov ki imajo pri teh bankah praviloma vloge na vpogled alikratkoročno vezane vloge in ker je takrat ko banka postane nelikvidna ponavadi žeprepozno saj je takrat banka praviloma že nesolventna je velikost bančnega kapitalajavna zadeva
Filozofija današnje bančne regulative je dopustiti zdravo konkurenco med bankami inhkrati zagotoviti njihovo disciplino prek predpisovanja minimalnih kapitalskih zahtevBaselski standardi so vplivali na oblikovanje evropskih smernic za banke Polegstandardizirane metodologije za računanje potrebnega kapitala za pokrivanjeomenjenih tveganj so navedeni potrebni pogoji za uporabo internih modelov bank zamerjenje tveganj med njimi operativno tveganje (uporabniki IT in IT organizacij)
Obseg in narava tveganj s katerima se srečujejo banke sta odvisni od narave njihovihposlov Pri tradicionalnih bančnih poslih (dajanje posojil iz prejetih depozitov) se kotglavna tveganja pojavljajo kreditno tveganje (tveganje dolžnikove nezmožnosti alinepripravljenosti izpolniti obveznosti iz naslova kreditne pogodbe) tržnolikvidnostno tveganje (tveganje da banka v določenem trenutku ne more poravnativseh svojih dospelih plačilnih obveznosti) tveganje spremembe obrestne mere(tveganje da bo postala pogodbeno določena obrestna mera drugačna od tržne in dabo banka utrpela izgubo iz tega naslova) ter operacijsko tveganje (tveganje ki mu jebanka izpostavljena zaradi možnih človeških napak torej internih procesov napaktehnologije in zunanjih dejavnikov (gre tudi za prevare poneverbe pranje denarjaoperativne izgube pravne ter druge stroške ki jih banka nosi v primeru njihoveganastanka)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 28
Napredno vzdrževanje strojne opreme Učno gradivo
Z bankami so povezani poslovni subjekti in vsi morajo zagotavljati varno poslovanjeTveganja so precejšnja saj vsi PS ne morejo zagotavljati enako učinkovitihprotiukrepov in varnostnih mer Pogljablja se tudi STP e-poslovanje nastajajo eskupnostiIS-mi se pogovarjajo med seboj brezžične komunikacije nujno jeprivzemanje standardov in različice XML protokola vse različne storitve potrebujejoUT-IT Področje je v razmahu in lastniki ter nadzorni sveti bodo moralikontrolirati operativne izgube in učinkovitost IS NS bodo imeli vlogo potrditvestrategij UT-IT uprave oz vodstva pa bodo morali dokazati skladnost s standardi inmetodami
Primerov storitev ki jih lahko obsega napredno vzdrževanje strojne opreme v UT-IT
spremljanje tehnoloških novosti povezanih z vzdrževano opremo ter priprava predlogov in ukrepov za nemoteno delovanje oz izboljšanje njenega delovanja
zamenjava delov strojne opreme
namestitev varnostnih popravkov na strežniško infrastrukturo
namestitev varnostnih popravkov na delovne postaje in prenosnike
periodično preventivno vzdrževanje strojne opreme
dokumentiranje storitev vzdrževanja
popravilo in odstranitev vseh pomanjkljivosti odkritih med preventivnim pregledom
pomoč sistemskim administratorjem in uporabnikom odgovori na vprašanja in svetovanje glede uporabe vzdrževane infrastrukturne opreme na lokaciji naročnika oz uporabnika
izredni kontrolni nadzor nad delovanjem infrastrukturne opreme po dogovoru z naročnikom
nadgradnja strežnikov delovnih postaj in prenosnih računalnikov
nadgradnja komunikacijske opreme
daljinska pomoč preko telefona elektronske pošte faksa ali daljinskega dostopa pri reševanju problemov uporabnikov odgovori na vprašanja in svetovanje glede uporabe vzdrževane strojne opreme
Osnovno popraviloStrokovnjak bo preveril delovanje računalnika opredelil napako in jo odpravil V to storitev se uvršča odprava manjših napak na računalniku
Storitev vsebuje diagnostiko težave in njeno odpravo v primeru da gre za manjšo napako Med manjše napake sodi ponovna namestitev gonilnikov popravilo napačnih nastavitev v programski opremi ponovna namestitev programov itd
V primeru da sestavljamo ob nakupu nov računalnik z dodatno opremo moramo poskrbeti da bomo da za nakup dobili najboljšo ponudbo računalnika ali računalniške opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 29
Napredno vzdrževanje strojne opreme Učno gradivo
Pri sestavi sistema bomo upoštevali vaše potrebe ter dosegli najboljše razmerje med ceno in zmogljivostjo Poudarek je na individualnem svetovanju katerega namen je kar najbolje poskrbeti za želje uporabnika V ta sklop sodi poleg svetovanja za nakup računalnika tudi svetovanje o ostalih perifernih napravah (tiskalniki usmerjevalniki itd)
Pristop k osnovanju UT-IT
Težko je odgovoriti ali se odzvati na vsa tveganja brez ustreznega znanja Splošnoznano je tudi da se iz podatkov procesirajo informacije in iz njih znanje ki ga jesmiselno takoj uporabiti Gre za znanje poslovnega subjekta v celoti in nekateraspecialna znanja za katera je potrebno zagotoviti da so v pravilnem kontekstu in napravem mestu Upravljanje znanj (UZ) ima lahko odločilno vlogo pri strategiji zavpeljavo področja upravljanja tveganj IT v vsakodnevnem poslovanju UZ zmanjšaraquokorporacijskolaquo izpostavljenost tveganjem Zato je pametno zbrati vse ustrezneinformacije strukturirati znanje v kontekst ali okvir v katerega bodo vnesene vsebinepotrebne za UT-IT Kreiranje portala in repositorija za upravljanje tveganjopredeljujemo kot podporno infrastrukturo področju V repositoriju sopredefinirane strukture Zaposlenim so na voljo v obliki zemljevidov raquomaplaquo kikažejo na vsebine in povezave med njimi ter omogočajo polnjenje vsebin Pridoločanju vsebin lahko sodelujejo vsi želeno je da se v organizaciji na področjutveganj in varnosti ustvarja intelektualni potencialUpravljanje
Tveganj IT5Varnost
Metoda je opredeljena kot množica korakov (algoritem ali navodilo) uporabljenih zaizvršitev naloge (dela posla) Metodologija je nekako širši pojem in predstavljamnožico orodij lahko raziskovalne metode ali razlago teorije vodenja v vodstvenoprakso Torej metodologija organizira teorijo v nekaj razumljivega Ker je na voljo večpristopov metodologij in metod pri upravljanju tveganj bi torej metodologijopredstavljalo orodje za podporo odločitvenim sistemom iz področja UT-IT Tehnik inmetod je dejansko več katere bomo uporabili za različna področja in položaje toterja tehtni premislek
Slika 4 Zunanji disk WD Passport (klikni na sliko
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 30
Napredno vzdrževanje strojne opreme Učno gradivo
V glavnem so osnovane na točkovnih in statističnih metodah kvalitativni inkvantitativni tehniki Znana je enačba tveganj ALE (letnih pričakovanih izgub)Smiselno pa je privzeti metodo standarda BS7799 [10] ali ISO17799 za informacijskovarnost Smiselno je da bi vse industrije prevzele standard PSIST7799 (prevod) kivelja v državi od 13 6 2000 za bančni sektor (z dopolnitvami)Poslovni subjekti lahko uporabljajo lastno razvite tehnike in tehnologije zaidentifikacijo in analizo tveganj Za različne poslovne procese kot so vodenjesprememb združevanja in prevzemi raquocorporate governancelaquo strateško planiranje invrednotenje lahko privzete kvalitativne ali kvantitativne identifikacije tveganj inanalitske tehnike dodajo značilno vrednost za različne poslovne položaje in področjaUveljavljajo se metode analize scenarijev in raquoscorecardslaquo ter druge statistične metoderazne simulacije (Monte Carlo) itdTipično je da se simulacijski modeli uporabljajo za odločitve o sestavi realnihsistemov in za odločitve o politiki in postopkih ki jih uporabljamo pri delovanjurealnih sistemov Simulacija pomaga pri določanju sestave politike in postopkov vnegotovih torej tveganih pogojih okolja sistema Manager poskuša z modelom kotnadomestkom za realni sistem z uporabo različnih vhodnih podatkov in postopkovdoseči na osnovi dobljenih rezultatov pri simulaciji lažje odločanje pri vodenjurealnega sistema Vendar mora biti pri tem pazljiv in rezultatov dobljenih ssimulacijo ne more kratkomalo prenašati v realni svet Model in simulacija lahkopomagata bolje spoznati delovanje realnega sistema ne moreta pa zagotoviti raquopraveizbirelaquo za realni sistem Pri upravljanju tveganj IT lahko preveč subjektivne ocenepovzročajo nova tveganja predvsem na področju zunanjih virov (outsourcinga) invodenja pogodbZa UT-IT je na voljo dovolj modelov orodij programov in vzorcev ki jih lahkouporabimo v svojem poslovnem okolju Priporoljivo je da vsak poslovni subjektkreira sebi ustrezen model glede na specifiko vendar mora izvajati ovrednotenje da jeskladen s standardi in regulativo Standardi so uveljavljeni in nudijo dovolj velik okvirza njihovo privzemanje in funkcijo uporabe
Pregledni model UT-ITV podporo modelu UT-IT je že potreben omenjeni portal kot rezultat procesov priupravljanju znanj in repositorij kjer se shranjujejo potrebne vsebine in nastaja bazaznanja o dogodkih in tveganjih ter obrambnih mehanizmih Portal služi tudi zaizobraževanje Vsebine predstavljajo sezname in infostrukture od standardov doobrazcev ki se uporabljajo v posameznih fazah ali procesih analize in v obravnavanjutveganj Zbrani so tudi vsi principi zakonodaja politike procedure metrika procesiin tokovi informacij kakor tudi vnos v register tveganj zajem nevarnosti popis vsehkontrol varnostni mehanizmi in seznam protiukrepov vse to za dogodke in scenarijeki se lahko ali so se že zgodiliZa področje UT-IT se kreirajo smernice za posamezne entitete ali subjekte ki sovključeni kot participatorji ter navodila kako se izvajajo aktivnosti Učinkovitost sedoseže s poprej določenimi infostrukturami standardizacijo in povezavami medpodročji ter odnosi med entitetami ali objekti ki tvorijo sistem upravljanja tveganj IT
Kreiranje konteksta ali takšnega okvira je možno ker so v glavnem poznane vsestrukture in gradniki UT-IT in želenega sistema varnosti Dovolj predlog je že naInternetu zato je smiselno področje pregledati in izbrati želene infostrukture Posebnerazlage niso potrebne UT-IT se odvija po projektnih principih s skupinami ki so
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 31
Napredno vzdrževanje strojne opreme Učno gradivo
strokovne na svojih področjih Prav tako se v skupinah (samovodljivo) ocenjujejotveganja in definirajo strategije rešitev za identificirana tveganjaPodročje UT-IT je lahko služba ki je neodvisna in samostojna organizacijska enota v vrhu vodstva organizacijeIZVAJANJEOKVIRKaj kako s 1048830i
- Komunikacijski krogi
Bistven gradnik UT-IT predstavljajo komunikacijski krogi (KK) med področji inodgovornimi ali delegiranimi sodelavci po poslovnih linijah Le-ti predstavljajo raquokomunikatorje tveganjalaquo ki so povezani prek sistema zgodnjega opozarjanja inizvajajo vnos dogodkov ter podatkov za analize tveganj in ocenjevanje vpliva naposlovanje Izkušena skupina določi tudi ustrezne protiukrepe in varnostne mere ter jihposreduje lastnikom tveganj Ti s strokovnjaki za posamezna področja pripravijostrategijo rešitve in jo predstavijo (kot zagovor) odgovornim za področja da se posoglasju lahko izvedejo Področje UT-IT spremlja in spet ocenjuje učinke terrezidualna tveganja Zaradi narave tveganj in inherentnih tveganj IT so tovsakodnevne aktivnosti upravljanje tveganj in varnosti pa je vodstvena funkcijaObstaja še pomembna lastnost in specifika da področja varnosti in tveganj pripadajovsem zaposlenem v organizaciji zato so komunikacijski krogi in pravočasnoinformiranje nujniZa operacijsko kvaliteto v organizaciji je potrebno definirati oz določiti dimenzijo vkateri se meri kvaliteta Značilne so tri dimenzije (kriteriji)
- primernost in funkcionalnost- varnost in zanesljivost- razpoložljivost in dostopnost
- Metrike
-Tveganje je objektivizirane negotovosti glede na možnost pojavitve nezaželenegadogodka merjenje negotovosti in negotovosti izgube Negotovost nastane zaradipomanjkanja informacij o nekdanjih sedanjosti in prihodnjih dogodkih vrednostih inpogojih Ne glede na različne stopnje negotovosti je osnova koncepta negotovosti vpomanjkanju informacij o delih sistema ki ga obravnavamo ali opazujemo Zmanjšanje tveganj mora biti motiv za organizacijo Zmanjšanjestopnje negotovosti je korak k opredelitvi kaj je lahko narejeno zazmanjšanje izpostavljanju tveganj Kakšno metriko uporabimo jeodvisno od tega kaj želimo meriti obravnavati spremljati izboljšatiitdOceniti tveganje pomeni ovrednotiti koliko lahko prenesemo oz izgubimo če seneljubi dogodek zgodi in pri tem izgubimo npr kar posedujemo Ali predstavlja to zanas vrednost in kako pogosto se ti dogodki pojavljajo so začetna razmišljanja ko greza tveganja in reakcije na njihLahko trdimo da je tveganje vedno ocenjeno z analizo scenarijev kar pomenivrednotiti možne izgube in frekvenco verjetnosti možne škode Toda v kakšnemobsegu in po katerih predvidevanjih Vsekakor je pri ocenjevanju tveganj medkvalitativno in kvantitativno analizo razlika Smiselno je obravnavanje analizetveganj Še tako dobro zastavljena varnostna politika brez izvajanja in kontrole ne
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 32
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
nevarnostmi različnih izvorov tako da se tudi tveganja in njihovi vplivi na poslovanjeodražajo z različnimi učinki Poglablja se tveganje e-poslovanja gre za takoimenovana e-tveganja Biti brez varnosti v realnem času in hitre odzivne funkcije natveganja ter nepredvidene dogodke je lahko za poslovanje silno usodno Zatoobstajajo različne strategije orodja in načini za zdravljenje tveganj ki skupajpredstavljajo obrambne mehanizme organizacije Pri tem je pomembno zavedanje inizobraževanje ter neprestano usposabljanje strokovnjakov na teh področjihOperativna tveganja so izrazito povezana z internimi procesi in jih posamezneindustrije že obravnavajo vsekakor pa jih bo morala vpeljati finančna industrija zlastiban1048830ni sektor ki bo moral biti skladen z Baselskim II standardom in EU (CAD)direktivami Standard namreč zajema potencialne izgube tudi iz naslova operativnihtveganj ne glede na interne ali zunanje dejavnike Osredotočen je na objavopotencialnih izgub za vse poslovne linije organizacije po določeni strukturi poročanjaglede kapitalske ustreznostiKo pogledamo v bančni sektor je osnovni namen obvladovanja inupravljanja s tveganji v bankah zagotavljanje njene plačilnesposobnosti Med različnimi načini za uresničevanje tega cilja je naprvem mestu institut minimalnega kapitala in zagotavljanje potrebnekapitalske ustreznosti banke o katerem govori Basel IIDelež kapitala v celotni bilančni vsoti je pri bankah mnogo manjši kot pri drugihorganizacijah in podjetjih Tudi njegova funkcija je drugačna Kot najpomembnejšafunkcija bančnega kapitala se ponavadi navaja zaščita vlagateljev Bančni kapitalpoleg tega omogoča nadzornim institucijam omejevati obseg tveganih dejavnosti bankin hkrati omogoča banki financiranje njenih osnovnih sredstev Ker so upniki bankmnožice posameznikov ki imajo pri teh bankah praviloma vloge na vpogled alikratkoročno vezane vloge in ker je takrat ko banka postane nelikvidna ponavadi žeprepozno saj je takrat banka praviloma že nesolventna je velikost bančnega kapitalajavna zadeva
Filozofija današnje bančne regulative je dopustiti zdravo konkurenco med bankami inhkrati zagotoviti njihovo disciplino prek predpisovanja minimalnih kapitalskih zahtevBaselski standardi so vplivali na oblikovanje evropskih smernic za banke Polegstandardizirane metodologije za računanje potrebnega kapitala za pokrivanjeomenjenih tveganj so navedeni potrebni pogoji za uporabo internih modelov bank zamerjenje tveganj med njimi operativno tveganje (uporabniki IT in IT organizacij)
Obseg in narava tveganj s katerima se srečujejo banke sta odvisni od narave njihovihposlov Pri tradicionalnih bančnih poslih (dajanje posojil iz prejetih depozitov) se kotglavna tveganja pojavljajo kreditno tveganje (tveganje dolžnikove nezmožnosti alinepripravljenosti izpolniti obveznosti iz naslova kreditne pogodbe) tržnolikvidnostno tveganje (tveganje da banka v določenem trenutku ne more poravnativseh svojih dospelih plačilnih obveznosti) tveganje spremembe obrestne mere(tveganje da bo postala pogodbeno določena obrestna mera drugačna od tržne in dabo banka utrpela izgubo iz tega naslova) ter operacijsko tveganje (tveganje ki mu jebanka izpostavljena zaradi možnih človeških napak torej internih procesov napaktehnologije in zunanjih dejavnikov (gre tudi za prevare poneverbe pranje denarjaoperativne izgube pravne ter druge stroške ki jih banka nosi v primeru njihoveganastanka)
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 28
Napredno vzdrževanje strojne opreme Učno gradivo
Z bankami so povezani poslovni subjekti in vsi morajo zagotavljati varno poslovanjeTveganja so precejšnja saj vsi PS ne morejo zagotavljati enako učinkovitihprotiukrepov in varnostnih mer Pogljablja se tudi STP e-poslovanje nastajajo eskupnostiIS-mi se pogovarjajo med seboj brezžične komunikacije nujno jeprivzemanje standardov in različice XML protokola vse različne storitve potrebujejoUT-IT Področje je v razmahu in lastniki ter nadzorni sveti bodo moralikontrolirati operativne izgube in učinkovitost IS NS bodo imeli vlogo potrditvestrategij UT-IT uprave oz vodstva pa bodo morali dokazati skladnost s standardi inmetodami
Primerov storitev ki jih lahko obsega napredno vzdrževanje strojne opreme v UT-IT
spremljanje tehnoloških novosti povezanih z vzdrževano opremo ter priprava predlogov in ukrepov za nemoteno delovanje oz izboljšanje njenega delovanja
zamenjava delov strojne opreme
namestitev varnostnih popravkov na strežniško infrastrukturo
namestitev varnostnih popravkov na delovne postaje in prenosnike
periodično preventivno vzdrževanje strojne opreme
dokumentiranje storitev vzdrževanja
popravilo in odstranitev vseh pomanjkljivosti odkritih med preventivnim pregledom
pomoč sistemskim administratorjem in uporabnikom odgovori na vprašanja in svetovanje glede uporabe vzdrževane infrastrukturne opreme na lokaciji naročnika oz uporabnika
izredni kontrolni nadzor nad delovanjem infrastrukturne opreme po dogovoru z naročnikom
nadgradnja strežnikov delovnih postaj in prenosnih računalnikov
nadgradnja komunikacijske opreme
daljinska pomoč preko telefona elektronske pošte faksa ali daljinskega dostopa pri reševanju problemov uporabnikov odgovori na vprašanja in svetovanje glede uporabe vzdrževane strojne opreme
Osnovno popraviloStrokovnjak bo preveril delovanje računalnika opredelil napako in jo odpravil V to storitev se uvršča odprava manjših napak na računalniku
Storitev vsebuje diagnostiko težave in njeno odpravo v primeru da gre za manjšo napako Med manjše napake sodi ponovna namestitev gonilnikov popravilo napačnih nastavitev v programski opremi ponovna namestitev programov itd
V primeru da sestavljamo ob nakupu nov računalnik z dodatno opremo moramo poskrbeti da bomo da za nakup dobili najboljšo ponudbo računalnika ali računalniške opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 29
Napredno vzdrževanje strojne opreme Učno gradivo
Pri sestavi sistema bomo upoštevali vaše potrebe ter dosegli najboljše razmerje med ceno in zmogljivostjo Poudarek je na individualnem svetovanju katerega namen je kar najbolje poskrbeti za želje uporabnika V ta sklop sodi poleg svetovanja za nakup računalnika tudi svetovanje o ostalih perifernih napravah (tiskalniki usmerjevalniki itd)
Pristop k osnovanju UT-IT
Težko je odgovoriti ali se odzvati na vsa tveganja brez ustreznega znanja Splošnoznano je tudi da se iz podatkov procesirajo informacije in iz njih znanje ki ga jesmiselno takoj uporabiti Gre za znanje poslovnega subjekta v celoti in nekateraspecialna znanja za katera je potrebno zagotoviti da so v pravilnem kontekstu in napravem mestu Upravljanje znanj (UZ) ima lahko odločilno vlogo pri strategiji zavpeljavo področja upravljanja tveganj IT v vsakodnevnem poslovanju UZ zmanjšaraquokorporacijskolaquo izpostavljenost tveganjem Zato je pametno zbrati vse ustrezneinformacije strukturirati znanje v kontekst ali okvir v katerega bodo vnesene vsebinepotrebne za UT-IT Kreiranje portala in repositorija za upravljanje tveganjopredeljujemo kot podporno infrastrukturo področju V repositoriju sopredefinirane strukture Zaposlenim so na voljo v obliki zemljevidov raquomaplaquo kikažejo na vsebine in povezave med njimi ter omogočajo polnjenje vsebin Pridoločanju vsebin lahko sodelujejo vsi želeno je da se v organizaciji na področjutveganj in varnosti ustvarja intelektualni potencialUpravljanje
Tveganj IT5Varnost
Metoda je opredeljena kot množica korakov (algoritem ali navodilo) uporabljenih zaizvršitev naloge (dela posla) Metodologija je nekako širši pojem in predstavljamnožico orodij lahko raziskovalne metode ali razlago teorije vodenja v vodstvenoprakso Torej metodologija organizira teorijo v nekaj razumljivega Ker je na voljo večpristopov metodologij in metod pri upravljanju tveganj bi torej metodologijopredstavljalo orodje za podporo odločitvenim sistemom iz področja UT-IT Tehnik inmetod je dejansko več katere bomo uporabili za različna področja in položaje toterja tehtni premislek
Slika 4 Zunanji disk WD Passport (klikni na sliko
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 30
Napredno vzdrževanje strojne opreme Učno gradivo
V glavnem so osnovane na točkovnih in statističnih metodah kvalitativni inkvantitativni tehniki Znana je enačba tveganj ALE (letnih pričakovanih izgub)Smiselno pa je privzeti metodo standarda BS7799 [10] ali ISO17799 za informacijskovarnost Smiselno je da bi vse industrije prevzele standard PSIST7799 (prevod) kivelja v državi od 13 6 2000 za bančni sektor (z dopolnitvami)Poslovni subjekti lahko uporabljajo lastno razvite tehnike in tehnologije zaidentifikacijo in analizo tveganj Za različne poslovne procese kot so vodenjesprememb združevanja in prevzemi raquocorporate governancelaquo strateško planiranje invrednotenje lahko privzete kvalitativne ali kvantitativne identifikacije tveganj inanalitske tehnike dodajo značilno vrednost za različne poslovne položaje in področjaUveljavljajo se metode analize scenarijev in raquoscorecardslaquo ter druge statistične metoderazne simulacije (Monte Carlo) itdTipično je da se simulacijski modeli uporabljajo za odločitve o sestavi realnihsistemov in za odločitve o politiki in postopkih ki jih uporabljamo pri delovanjurealnih sistemov Simulacija pomaga pri določanju sestave politike in postopkov vnegotovih torej tveganih pogojih okolja sistema Manager poskuša z modelom kotnadomestkom za realni sistem z uporabo različnih vhodnih podatkov in postopkovdoseči na osnovi dobljenih rezultatov pri simulaciji lažje odločanje pri vodenjurealnega sistema Vendar mora biti pri tem pazljiv in rezultatov dobljenih ssimulacijo ne more kratkomalo prenašati v realni svet Model in simulacija lahkopomagata bolje spoznati delovanje realnega sistema ne moreta pa zagotoviti raquopraveizbirelaquo za realni sistem Pri upravljanju tveganj IT lahko preveč subjektivne ocenepovzročajo nova tveganja predvsem na področju zunanjih virov (outsourcinga) invodenja pogodbZa UT-IT je na voljo dovolj modelov orodij programov in vzorcev ki jih lahkouporabimo v svojem poslovnem okolju Priporoljivo je da vsak poslovni subjektkreira sebi ustrezen model glede na specifiko vendar mora izvajati ovrednotenje da jeskladen s standardi in regulativo Standardi so uveljavljeni in nudijo dovolj velik okvirza njihovo privzemanje in funkcijo uporabe
Pregledni model UT-ITV podporo modelu UT-IT je že potreben omenjeni portal kot rezultat procesov priupravljanju znanj in repositorij kjer se shranjujejo potrebne vsebine in nastaja bazaznanja o dogodkih in tveganjih ter obrambnih mehanizmih Portal služi tudi zaizobraževanje Vsebine predstavljajo sezname in infostrukture od standardov doobrazcev ki se uporabljajo v posameznih fazah ali procesih analize in v obravnavanjutveganj Zbrani so tudi vsi principi zakonodaja politike procedure metrika procesiin tokovi informacij kakor tudi vnos v register tveganj zajem nevarnosti popis vsehkontrol varnostni mehanizmi in seznam protiukrepov vse to za dogodke in scenarijeki se lahko ali so se že zgodiliZa področje UT-IT se kreirajo smernice za posamezne entitete ali subjekte ki sovključeni kot participatorji ter navodila kako se izvajajo aktivnosti Učinkovitost sedoseže s poprej določenimi infostrukturami standardizacijo in povezavami medpodročji ter odnosi med entitetami ali objekti ki tvorijo sistem upravljanja tveganj IT
Kreiranje konteksta ali takšnega okvira je možno ker so v glavnem poznane vsestrukture in gradniki UT-IT in želenega sistema varnosti Dovolj predlog je že naInternetu zato je smiselno področje pregledati in izbrati želene infostrukture Posebnerazlage niso potrebne UT-IT se odvija po projektnih principih s skupinami ki so
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 31
Napredno vzdrževanje strojne opreme Učno gradivo
strokovne na svojih področjih Prav tako se v skupinah (samovodljivo) ocenjujejotveganja in definirajo strategije rešitev za identificirana tveganjaPodročje UT-IT je lahko služba ki je neodvisna in samostojna organizacijska enota v vrhu vodstva organizacijeIZVAJANJEOKVIRKaj kako s 1048830i
- Komunikacijski krogi
Bistven gradnik UT-IT predstavljajo komunikacijski krogi (KK) med področji inodgovornimi ali delegiranimi sodelavci po poslovnih linijah Le-ti predstavljajo raquokomunikatorje tveganjalaquo ki so povezani prek sistema zgodnjega opozarjanja inizvajajo vnos dogodkov ter podatkov za analize tveganj in ocenjevanje vpliva naposlovanje Izkušena skupina določi tudi ustrezne protiukrepe in varnostne mere ter jihposreduje lastnikom tveganj Ti s strokovnjaki za posamezna področja pripravijostrategijo rešitve in jo predstavijo (kot zagovor) odgovornim za področja da se posoglasju lahko izvedejo Področje UT-IT spremlja in spet ocenjuje učinke terrezidualna tveganja Zaradi narave tveganj in inherentnih tveganj IT so tovsakodnevne aktivnosti upravljanje tveganj in varnosti pa je vodstvena funkcijaObstaja še pomembna lastnost in specifika da področja varnosti in tveganj pripadajovsem zaposlenem v organizaciji zato so komunikacijski krogi in pravočasnoinformiranje nujniZa operacijsko kvaliteto v organizaciji je potrebno definirati oz določiti dimenzijo vkateri se meri kvaliteta Značilne so tri dimenzije (kriteriji)
- primernost in funkcionalnost- varnost in zanesljivost- razpoložljivost in dostopnost
- Metrike
-Tveganje je objektivizirane negotovosti glede na možnost pojavitve nezaželenegadogodka merjenje negotovosti in negotovosti izgube Negotovost nastane zaradipomanjkanja informacij o nekdanjih sedanjosti in prihodnjih dogodkih vrednostih inpogojih Ne glede na različne stopnje negotovosti je osnova koncepta negotovosti vpomanjkanju informacij o delih sistema ki ga obravnavamo ali opazujemo Zmanjšanje tveganj mora biti motiv za organizacijo Zmanjšanjestopnje negotovosti je korak k opredelitvi kaj je lahko narejeno zazmanjšanje izpostavljanju tveganj Kakšno metriko uporabimo jeodvisno od tega kaj želimo meriti obravnavati spremljati izboljšatiitdOceniti tveganje pomeni ovrednotiti koliko lahko prenesemo oz izgubimo če seneljubi dogodek zgodi in pri tem izgubimo npr kar posedujemo Ali predstavlja to zanas vrednost in kako pogosto se ti dogodki pojavljajo so začetna razmišljanja ko greza tveganja in reakcije na njihLahko trdimo da je tveganje vedno ocenjeno z analizo scenarijev kar pomenivrednotiti možne izgube in frekvenco verjetnosti možne škode Toda v kakšnemobsegu in po katerih predvidevanjih Vsekakor je pri ocenjevanju tveganj medkvalitativno in kvantitativno analizo razlika Smiselno je obravnavanje analizetveganj Še tako dobro zastavljena varnostna politika brez izvajanja in kontrole ne
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 32
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
Z bankami so povezani poslovni subjekti in vsi morajo zagotavljati varno poslovanjeTveganja so precejšnja saj vsi PS ne morejo zagotavljati enako učinkovitihprotiukrepov in varnostnih mer Pogljablja se tudi STP e-poslovanje nastajajo eskupnostiIS-mi se pogovarjajo med seboj brezžične komunikacije nujno jeprivzemanje standardov in različice XML protokola vse različne storitve potrebujejoUT-IT Področje je v razmahu in lastniki ter nadzorni sveti bodo moralikontrolirati operativne izgube in učinkovitost IS NS bodo imeli vlogo potrditvestrategij UT-IT uprave oz vodstva pa bodo morali dokazati skladnost s standardi inmetodami
Primerov storitev ki jih lahko obsega napredno vzdrževanje strojne opreme v UT-IT
spremljanje tehnoloških novosti povezanih z vzdrževano opremo ter priprava predlogov in ukrepov za nemoteno delovanje oz izboljšanje njenega delovanja
zamenjava delov strojne opreme
namestitev varnostnih popravkov na strežniško infrastrukturo
namestitev varnostnih popravkov na delovne postaje in prenosnike
periodično preventivno vzdrževanje strojne opreme
dokumentiranje storitev vzdrževanja
popravilo in odstranitev vseh pomanjkljivosti odkritih med preventivnim pregledom
pomoč sistemskim administratorjem in uporabnikom odgovori na vprašanja in svetovanje glede uporabe vzdrževane infrastrukturne opreme na lokaciji naročnika oz uporabnika
izredni kontrolni nadzor nad delovanjem infrastrukturne opreme po dogovoru z naročnikom
nadgradnja strežnikov delovnih postaj in prenosnih računalnikov
nadgradnja komunikacijske opreme
daljinska pomoč preko telefona elektronske pošte faksa ali daljinskega dostopa pri reševanju problemov uporabnikov odgovori na vprašanja in svetovanje glede uporabe vzdrževane strojne opreme
Osnovno popraviloStrokovnjak bo preveril delovanje računalnika opredelil napako in jo odpravil V to storitev se uvršča odprava manjših napak na računalniku
Storitev vsebuje diagnostiko težave in njeno odpravo v primeru da gre za manjšo napako Med manjše napake sodi ponovna namestitev gonilnikov popravilo napačnih nastavitev v programski opremi ponovna namestitev programov itd
V primeru da sestavljamo ob nakupu nov računalnik z dodatno opremo moramo poskrbeti da bomo da za nakup dobili najboljšo ponudbo računalnika ali računalniške opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 29
Napredno vzdrževanje strojne opreme Učno gradivo
Pri sestavi sistema bomo upoštevali vaše potrebe ter dosegli najboljše razmerje med ceno in zmogljivostjo Poudarek je na individualnem svetovanju katerega namen je kar najbolje poskrbeti za želje uporabnika V ta sklop sodi poleg svetovanja za nakup računalnika tudi svetovanje o ostalih perifernih napravah (tiskalniki usmerjevalniki itd)
Pristop k osnovanju UT-IT
Težko je odgovoriti ali se odzvati na vsa tveganja brez ustreznega znanja Splošnoznano je tudi da se iz podatkov procesirajo informacije in iz njih znanje ki ga jesmiselno takoj uporabiti Gre za znanje poslovnega subjekta v celoti in nekateraspecialna znanja za katera je potrebno zagotoviti da so v pravilnem kontekstu in napravem mestu Upravljanje znanj (UZ) ima lahko odločilno vlogo pri strategiji zavpeljavo področja upravljanja tveganj IT v vsakodnevnem poslovanju UZ zmanjšaraquokorporacijskolaquo izpostavljenost tveganjem Zato je pametno zbrati vse ustrezneinformacije strukturirati znanje v kontekst ali okvir v katerega bodo vnesene vsebinepotrebne za UT-IT Kreiranje portala in repositorija za upravljanje tveganjopredeljujemo kot podporno infrastrukturo področju V repositoriju sopredefinirane strukture Zaposlenim so na voljo v obliki zemljevidov raquomaplaquo kikažejo na vsebine in povezave med njimi ter omogočajo polnjenje vsebin Pridoločanju vsebin lahko sodelujejo vsi želeno je da se v organizaciji na področjutveganj in varnosti ustvarja intelektualni potencialUpravljanje
Tveganj IT5Varnost
Metoda je opredeljena kot množica korakov (algoritem ali navodilo) uporabljenih zaizvršitev naloge (dela posla) Metodologija je nekako širši pojem in predstavljamnožico orodij lahko raziskovalne metode ali razlago teorije vodenja v vodstvenoprakso Torej metodologija organizira teorijo v nekaj razumljivega Ker je na voljo večpristopov metodologij in metod pri upravljanju tveganj bi torej metodologijopredstavljalo orodje za podporo odločitvenim sistemom iz področja UT-IT Tehnik inmetod je dejansko več katere bomo uporabili za različna področja in položaje toterja tehtni premislek
Slika 4 Zunanji disk WD Passport (klikni na sliko
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 30
Napredno vzdrževanje strojne opreme Učno gradivo
V glavnem so osnovane na točkovnih in statističnih metodah kvalitativni inkvantitativni tehniki Znana je enačba tveganj ALE (letnih pričakovanih izgub)Smiselno pa je privzeti metodo standarda BS7799 [10] ali ISO17799 za informacijskovarnost Smiselno je da bi vse industrije prevzele standard PSIST7799 (prevod) kivelja v državi od 13 6 2000 za bančni sektor (z dopolnitvami)Poslovni subjekti lahko uporabljajo lastno razvite tehnike in tehnologije zaidentifikacijo in analizo tveganj Za različne poslovne procese kot so vodenjesprememb združevanja in prevzemi raquocorporate governancelaquo strateško planiranje invrednotenje lahko privzete kvalitativne ali kvantitativne identifikacije tveganj inanalitske tehnike dodajo značilno vrednost za različne poslovne položaje in področjaUveljavljajo se metode analize scenarijev in raquoscorecardslaquo ter druge statistične metoderazne simulacije (Monte Carlo) itdTipično je da se simulacijski modeli uporabljajo za odločitve o sestavi realnihsistemov in za odločitve o politiki in postopkih ki jih uporabljamo pri delovanjurealnih sistemov Simulacija pomaga pri določanju sestave politike in postopkov vnegotovih torej tveganih pogojih okolja sistema Manager poskuša z modelom kotnadomestkom za realni sistem z uporabo različnih vhodnih podatkov in postopkovdoseči na osnovi dobljenih rezultatov pri simulaciji lažje odločanje pri vodenjurealnega sistema Vendar mora biti pri tem pazljiv in rezultatov dobljenih ssimulacijo ne more kratkomalo prenašati v realni svet Model in simulacija lahkopomagata bolje spoznati delovanje realnega sistema ne moreta pa zagotoviti raquopraveizbirelaquo za realni sistem Pri upravljanju tveganj IT lahko preveč subjektivne ocenepovzročajo nova tveganja predvsem na področju zunanjih virov (outsourcinga) invodenja pogodbZa UT-IT je na voljo dovolj modelov orodij programov in vzorcev ki jih lahkouporabimo v svojem poslovnem okolju Priporoljivo je da vsak poslovni subjektkreira sebi ustrezen model glede na specifiko vendar mora izvajati ovrednotenje da jeskladen s standardi in regulativo Standardi so uveljavljeni in nudijo dovolj velik okvirza njihovo privzemanje in funkcijo uporabe
Pregledni model UT-ITV podporo modelu UT-IT je že potreben omenjeni portal kot rezultat procesov priupravljanju znanj in repositorij kjer se shranjujejo potrebne vsebine in nastaja bazaznanja o dogodkih in tveganjih ter obrambnih mehanizmih Portal služi tudi zaizobraževanje Vsebine predstavljajo sezname in infostrukture od standardov doobrazcev ki se uporabljajo v posameznih fazah ali procesih analize in v obravnavanjutveganj Zbrani so tudi vsi principi zakonodaja politike procedure metrika procesiin tokovi informacij kakor tudi vnos v register tveganj zajem nevarnosti popis vsehkontrol varnostni mehanizmi in seznam protiukrepov vse to za dogodke in scenarijeki se lahko ali so se že zgodiliZa področje UT-IT se kreirajo smernice za posamezne entitete ali subjekte ki sovključeni kot participatorji ter navodila kako se izvajajo aktivnosti Učinkovitost sedoseže s poprej določenimi infostrukturami standardizacijo in povezavami medpodročji ter odnosi med entitetami ali objekti ki tvorijo sistem upravljanja tveganj IT
Kreiranje konteksta ali takšnega okvira je možno ker so v glavnem poznane vsestrukture in gradniki UT-IT in želenega sistema varnosti Dovolj predlog je že naInternetu zato je smiselno področje pregledati in izbrati želene infostrukture Posebnerazlage niso potrebne UT-IT se odvija po projektnih principih s skupinami ki so
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 31
Napredno vzdrževanje strojne opreme Učno gradivo
strokovne na svojih področjih Prav tako se v skupinah (samovodljivo) ocenjujejotveganja in definirajo strategije rešitev za identificirana tveganjaPodročje UT-IT je lahko služba ki je neodvisna in samostojna organizacijska enota v vrhu vodstva organizacijeIZVAJANJEOKVIRKaj kako s 1048830i
- Komunikacijski krogi
Bistven gradnik UT-IT predstavljajo komunikacijski krogi (KK) med področji inodgovornimi ali delegiranimi sodelavci po poslovnih linijah Le-ti predstavljajo raquokomunikatorje tveganjalaquo ki so povezani prek sistema zgodnjega opozarjanja inizvajajo vnos dogodkov ter podatkov za analize tveganj in ocenjevanje vpliva naposlovanje Izkušena skupina določi tudi ustrezne protiukrepe in varnostne mere ter jihposreduje lastnikom tveganj Ti s strokovnjaki za posamezna področja pripravijostrategijo rešitve in jo predstavijo (kot zagovor) odgovornim za področja da se posoglasju lahko izvedejo Področje UT-IT spremlja in spet ocenjuje učinke terrezidualna tveganja Zaradi narave tveganj in inherentnih tveganj IT so tovsakodnevne aktivnosti upravljanje tveganj in varnosti pa je vodstvena funkcijaObstaja še pomembna lastnost in specifika da področja varnosti in tveganj pripadajovsem zaposlenem v organizaciji zato so komunikacijski krogi in pravočasnoinformiranje nujniZa operacijsko kvaliteto v organizaciji je potrebno definirati oz določiti dimenzijo vkateri se meri kvaliteta Značilne so tri dimenzije (kriteriji)
- primernost in funkcionalnost- varnost in zanesljivost- razpoložljivost in dostopnost
- Metrike
-Tveganje je objektivizirane negotovosti glede na možnost pojavitve nezaželenegadogodka merjenje negotovosti in negotovosti izgube Negotovost nastane zaradipomanjkanja informacij o nekdanjih sedanjosti in prihodnjih dogodkih vrednostih inpogojih Ne glede na različne stopnje negotovosti je osnova koncepta negotovosti vpomanjkanju informacij o delih sistema ki ga obravnavamo ali opazujemo Zmanjšanje tveganj mora biti motiv za organizacijo Zmanjšanjestopnje negotovosti je korak k opredelitvi kaj je lahko narejeno zazmanjšanje izpostavljanju tveganj Kakšno metriko uporabimo jeodvisno od tega kaj želimo meriti obravnavati spremljati izboljšatiitdOceniti tveganje pomeni ovrednotiti koliko lahko prenesemo oz izgubimo če seneljubi dogodek zgodi in pri tem izgubimo npr kar posedujemo Ali predstavlja to zanas vrednost in kako pogosto se ti dogodki pojavljajo so začetna razmišljanja ko greza tveganja in reakcije na njihLahko trdimo da je tveganje vedno ocenjeno z analizo scenarijev kar pomenivrednotiti možne izgube in frekvenco verjetnosti možne škode Toda v kakšnemobsegu in po katerih predvidevanjih Vsekakor je pri ocenjevanju tveganj medkvalitativno in kvantitativno analizo razlika Smiselno je obravnavanje analizetveganj Še tako dobro zastavljena varnostna politika brez izvajanja in kontrole ne
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 32
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
Pri sestavi sistema bomo upoštevali vaše potrebe ter dosegli najboljše razmerje med ceno in zmogljivostjo Poudarek je na individualnem svetovanju katerega namen je kar najbolje poskrbeti za želje uporabnika V ta sklop sodi poleg svetovanja za nakup računalnika tudi svetovanje o ostalih perifernih napravah (tiskalniki usmerjevalniki itd)
Pristop k osnovanju UT-IT
Težko je odgovoriti ali se odzvati na vsa tveganja brez ustreznega znanja Splošnoznano je tudi da se iz podatkov procesirajo informacije in iz njih znanje ki ga jesmiselno takoj uporabiti Gre za znanje poslovnega subjekta v celoti in nekateraspecialna znanja za katera je potrebno zagotoviti da so v pravilnem kontekstu in napravem mestu Upravljanje znanj (UZ) ima lahko odločilno vlogo pri strategiji zavpeljavo področja upravljanja tveganj IT v vsakodnevnem poslovanju UZ zmanjšaraquokorporacijskolaquo izpostavljenost tveganjem Zato je pametno zbrati vse ustrezneinformacije strukturirati znanje v kontekst ali okvir v katerega bodo vnesene vsebinepotrebne za UT-IT Kreiranje portala in repositorija za upravljanje tveganjopredeljujemo kot podporno infrastrukturo področju V repositoriju sopredefinirane strukture Zaposlenim so na voljo v obliki zemljevidov raquomaplaquo kikažejo na vsebine in povezave med njimi ter omogočajo polnjenje vsebin Pridoločanju vsebin lahko sodelujejo vsi želeno je da se v organizaciji na področjutveganj in varnosti ustvarja intelektualni potencialUpravljanje
Tveganj IT5Varnost
Metoda je opredeljena kot množica korakov (algoritem ali navodilo) uporabljenih zaizvršitev naloge (dela posla) Metodologija je nekako širši pojem in predstavljamnožico orodij lahko raziskovalne metode ali razlago teorije vodenja v vodstvenoprakso Torej metodologija organizira teorijo v nekaj razumljivega Ker je na voljo večpristopov metodologij in metod pri upravljanju tveganj bi torej metodologijopredstavljalo orodje za podporo odločitvenim sistemom iz področja UT-IT Tehnik inmetod je dejansko več katere bomo uporabili za različna področja in položaje toterja tehtni premislek
Slika 4 Zunanji disk WD Passport (klikni na sliko
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 30
Napredno vzdrževanje strojne opreme Učno gradivo
V glavnem so osnovane na točkovnih in statističnih metodah kvalitativni inkvantitativni tehniki Znana je enačba tveganj ALE (letnih pričakovanih izgub)Smiselno pa je privzeti metodo standarda BS7799 [10] ali ISO17799 za informacijskovarnost Smiselno je da bi vse industrije prevzele standard PSIST7799 (prevod) kivelja v državi od 13 6 2000 za bančni sektor (z dopolnitvami)Poslovni subjekti lahko uporabljajo lastno razvite tehnike in tehnologije zaidentifikacijo in analizo tveganj Za različne poslovne procese kot so vodenjesprememb združevanja in prevzemi raquocorporate governancelaquo strateško planiranje invrednotenje lahko privzete kvalitativne ali kvantitativne identifikacije tveganj inanalitske tehnike dodajo značilno vrednost za različne poslovne položaje in področjaUveljavljajo se metode analize scenarijev in raquoscorecardslaquo ter druge statistične metoderazne simulacije (Monte Carlo) itdTipično je da se simulacijski modeli uporabljajo za odločitve o sestavi realnihsistemov in za odločitve o politiki in postopkih ki jih uporabljamo pri delovanjurealnih sistemov Simulacija pomaga pri določanju sestave politike in postopkov vnegotovih torej tveganih pogojih okolja sistema Manager poskuša z modelom kotnadomestkom za realni sistem z uporabo različnih vhodnih podatkov in postopkovdoseči na osnovi dobljenih rezultatov pri simulaciji lažje odločanje pri vodenjurealnega sistema Vendar mora biti pri tem pazljiv in rezultatov dobljenih ssimulacijo ne more kratkomalo prenašati v realni svet Model in simulacija lahkopomagata bolje spoznati delovanje realnega sistema ne moreta pa zagotoviti raquopraveizbirelaquo za realni sistem Pri upravljanju tveganj IT lahko preveč subjektivne ocenepovzročajo nova tveganja predvsem na področju zunanjih virov (outsourcinga) invodenja pogodbZa UT-IT je na voljo dovolj modelov orodij programov in vzorcev ki jih lahkouporabimo v svojem poslovnem okolju Priporoljivo je da vsak poslovni subjektkreira sebi ustrezen model glede na specifiko vendar mora izvajati ovrednotenje da jeskladen s standardi in regulativo Standardi so uveljavljeni in nudijo dovolj velik okvirza njihovo privzemanje in funkcijo uporabe
Pregledni model UT-ITV podporo modelu UT-IT je že potreben omenjeni portal kot rezultat procesov priupravljanju znanj in repositorij kjer se shranjujejo potrebne vsebine in nastaja bazaznanja o dogodkih in tveganjih ter obrambnih mehanizmih Portal služi tudi zaizobraževanje Vsebine predstavljajo sezname in infostrukture od standardov doobrazcev ki se uporabljajo v posameznih fazah ali procesih analize in v obravnavanjutveganj Zbrani so tudi vsi principi zakonodaja politike procedure metrika procesiin tokovi informacij kakor tudi vnos v register tveganj zajem nevarnosti popis vsehkontrol varnostni mehanizmi in seznam protiukrepov vse to za dogodke in scenarijeki se lahko ali so se že zgodiliZa področje UT-IT se kreirajo smernice za posamezne entitete ali subjekte ki sovključeni kot participatorji ter navodila kako se izvajajo aktivnosti Učinkovitost sedoseže s poprej določenimi infostrukturami standardizacijo in povezavami medpodročji ter odnosi med entitetami ali objekti ki tvorijo sistem upravljanja tveganj IT
Kreiranje konteksta ali takšnega okvira je možno ker so v glavnem poznane vsestrukture in gradniki UT-IT in želenega sistema varnosti Dovolj predlog je že naInternetu zato je smiselno področje pregledati in izbrati želene infostrukture Posebnerazlage niso potrebne UT-IT se odvija po projektnih principih s skupinami ki so
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 31
Napredno vzdrževanje strojne opreme Učno gradivo
strokovne na svojih področjih Prav tako se v skupinah (samovodljivo) ocenjujejotveganja in definirajo strategije rešitev za identificirana tveganjaPodročje UT-IT je lahko služba ki je neodvisna in samostojna organizacijska enota v vrhu vodstva organizacijeIZVAJANJEOKVIRKaj kako s 1048830i
- Komunikacijski krogi
Bistven gradnik UT-IT predstavljajo komunikacijski krogi (KK) med področji inodgovornimi ali delegiranimi sodelavci po poslovnih linijah Le-ti predstavljajo raquokomunikatorje tveganjalaquo ki so povezani prek sistema zgodnjega opozarjanja inizvajajo vnos dogodkov ter podatkov za analize tveganj in ocenjevanje vpliva naposlovanje Izkušena skupina določi tudi ustrezne protiukrepe in varnostne mere ter jihposreduje lastnikom tveganj Ti s strokovnjaki za posamezna področja pripravijostrategijo rešitve in jo predstavijo (kot zagovor) odgovornim za področja da se posoglasju lahko izvedejo Področje UT-IT spremlja in spet ocenjuje učinke terrezidualna tveganja Zaradi narave tveganj in inherentnih tveganj IT so tovsakodnevne aktivnosti upravljanje tveganj in varnosti pa je vodstvena funkcijaObstaja še pomembna lastnost in specifika da področja varnosti in tveganj pripadajovsem zaposlenem v organizaciji zato so komunikacijski krogi in pravočasnoinformiranje nujniZa operacijsko kvaliteto v organizaciji je potrebno definirati oz določiti dimenzijo vkateri se meri kvaliteta Značilne so tri dimenzije (kriteriji)
- primernost in funkcionalnost- varnost in zanesljivost- razpoložljivost in dostopnost
- Metrike
-Tveganje je objektivizirane negotovosti glede na možnost pojavitve nezaželenegadogodka merjenje negotovosti in negotovosti izgube Negotovost nastane zaradipomanjkanja informacij o nekdanjih sedanjosti in prihodnjih dogodkih vrednostih inpogojih Ne glede na različne stopnje negotovosti je osnova koncepta negotovosti vpomanjkanju informacij o delih sistema ki ga obravnavamo ali opazujemo Zmanjšanje tveganj mora biti motiv za organizacijo Zmanjšanjestopnje negotovosti je korak k opredelitvi kaj je lahko narejeno zazmanjšanje izpostavljanju tveganj Kakšno metriko uporabimo jeodvisno od tega kaj želimo meriti obravnavati spremljati izboljšatiitdOceniti tveganje pomeni ovrednotiti koliko lahko prenesemo oz izgubimo če seneljubi dogodek zgodi in pri tem izgubimo npr kar posedujemo Ali predstavlja to zanas vrednost in kako pogosto se ti dogodki pojavljajo so začetna razmišljanja ko greza tveganja in reakcije na njihLahko trdimo da je tveganje vedno ocenjeno z analizo scenarijev kar pomenivrednotiti možne izgube in frekvenco verjetnosti možne škode Toda v kakšnemobsegu in po katerih predvidevanjih Vsekakor je pri ocenjevanju tveganj medkvalitativno in kvantitativno analizo razlika Smiselno je obravnavanje analizetveganj Še tako dobro zastavljena varnostna politika brez izvajanja in kontrole ne
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 32
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
V glavnem so osnovane na točkovnih in statističnih metodah kvalitativni inkvantitativni tehniki Znana je enačba tveganj ALE (letnih pričakovanih izgub)Smiselno pa je privzeti metodo standarda BS7799 [10] ali ISO17799 za informacijskovarnost Smiselno je da bi vse industrije prevzele standard PSIST7799 (prevod) kivelja v državi od 13 6 2000 za bančni sektor (z dopolnitvami)Poslovni subjekti lahko uporabljajo lastno razvite tehnike in tehnologije zaidentifikacijo in analizo tveganj Za različne poslovne procese kot so vodenjesprememb združevanja in prevzemi raquocorporate governancelaquo strateško planiranje invrednotenje lahko privzete kvalitativne ali kvantitativne identifikacije tveganj inanalitske tehnike dodajo značilno vrednost za različne poslovne položaje in področjaUveljavljajo se metode analize scenarijev in raquoscorecardslaquo ter druge statistične metoderazne simulacije (Monte Carlo) itdTipično je da se simulacijski modeli uporabljajo za odločitve o sestavi realnihsistemov in za odločitve o politiki in postopkih ki jih uporabljamo pri delovanjurealnih sistemov Simulacija pomaga pri določanju sestave politike in postopkov vnegotovih torej tveganih pogojih okolja sistema Manager poskuša z modelom kotnadomestkom za realni sistem z uporabo različnih vhodnih podatkov in postopkovdoseči na osnovi dobljenih rezultatov pri simulaciji lažje odločanje pri vodenjurealnega sistema Vendar mora biti pri tem pazljiv in rezultatov dobljenih ssimulacijo ne more kratkomalo prenašati v realni svet Model in simulacija lahkopomagata bolje spoznati delovanje realnega sistema ne moreta pa zagotoviti raquopraveizbirelaquo za realni sistem Pri upravljanju tveganj IT lahko preveč subjektivne ocenepovzročajo nova tveganja predvsem na področju zunanjih virov (outsourcinga) invodenja pogodbZa UT-IT je na voljo dovolj modelov orodij programov in vzorcev ki jih lahkouporabimo v svojem poslovnem okolju Priporoljivo je da vsak poslovni subjektkreira sebi ustrezen model glede na specifiko vendar mora izvajati ovrednotenje da jeskladen s standardi in regulativo Standardi so uveljavljeni in nudijo dovolj velik okvirza njihovo privzemanje in funkcijo uporabe
Pregledni model UT-ITV podporo modelu UT-IT je že potreben omenjeni portal kot rezultat procesov priupravljanju znanj in repositorij kjer se shranjujejo potrebne vsebine in nastaja bazaznanja o dogodkih in tveganjih ter obrambnih mehanizmih Portal služi tudi zaizobraževanje Vsebine predstavljajo sezname in infostrukture od standardov doobrazcev ki se uporabljajo v posameznih fazah ali procesih analize in v obravnavanjutveganj Zbrani so tudi vsi principi zakonodaja politike procedure metrika procesiin tokovi informacij kakor tudi vnos v register tveganj zajem nevarnosti popis vsehkontrol varnostni mehanizmi in seznam protiukrepov vse to za dogodke in scenarijeki se lahko ali so se že zgodiliZa področje UT-IT se kreirajo smernice za posamezne entitete ali subjekte ki sovključeni kot participatorji ter navodila kako se izvajajo aktivnosti Učinkovitost sedoseže s poprej določenimi infostrukturami standardizacijo in povezavami medpodročji ter odnosi med entitetami ali objekti ki tvorijo sistem upravljanja tveganj IT
Kreiranje konteksta ali takšnega okvira je možno ker so v glavnem poznane vsestrukture in gradniki UT-IT in želenega sistema varnosti Dovolj predlog je že naInternetu zato je smiselno področje pregledati in izbrati želene infostrukture Posebnerazlage niso potrebne UT-IT se odvija po projektnih principih s skupinami ki so
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 31
Napredno vzdrževanje strojne opreme Učno gradivo
strokovne na svojih področjih Prav tako se v skupinah (samovodljivo) ocenjujejotveganja in definirajo strategije rešitev za identificirana tveganjaPodročje UT-IT je lahko služba ki je neodvisna in samostojna organizacijska enota v vrhu vodstva organizacijeIZVAJANJEOKVIRKaj kako s 1048830i
- Komunikacijski krogi
Bistven gradnik UT-IT predstavljajo komunikacijski krogi (KK) med področji inodgovornimi ali delegiranimi sodelavci po poslovnih linijah Le-ti predstavljajo raquokomunikatorje tveganjalaquo ki so povezani prek sistema zgodnjega opozarjanja inizvajajo vnos dogodkov ter podatkov za analize tveganj in ocenjevanje vpliva naposlovanje Izkušena skupina določi tudi ustrezne protiukrepe in varnostne mere ter jihposreduje lastnikom tveganj Ti s strokovnjaki za posamezna področja pripravijostrategijo rešitve in jo predstavijo (kot zagovor) odgovornim za področja da se posoglasju lahko izvedejo Področje UT-IT spremlja in spet ocenjuje učinke terrezidualna tveganja Zaradi narave tveganj in inherentnih tveganj IT so tovsakodnevne aktivnosti upravljanje tveganj in varnosti pa je vodstvena funkcijaObstaja še pomembna lastnost in specifika da področja varnosti in tveganj pripadajovsem zaposlenem v organizaciji zato so komunikacijski krogi in pravočasnoinformiranje nujniZa operacijsko kvaliteto v organizaciji je potrebno definirati oz določiti dimenzijo vkateri se meri kvaliteta Značilne so tri dimenzije (kriteriji)
- primernost in funkcionalnost- varnost in zanesljivost- razpoložljivost in dostopnost
- Metrike
-Tveganje je objektivizirane negotovosti glede na možnost pojavitve nezaželenegadogodka merjenje negotovosti in negotovosti izgube Negotovost nastane zaradipomanjkanja informacij o nekdanjih sedanjosti in prihodnjih dogodkih vrednostih inpogojih Ne glede na različne stopnje negotovosti je osnova koncepta negotovosti vpomanjkanju informacij o delih sistema ki ga obravnavamo ali opazujemo Zmanjšanje tveganj mora biti motiv za organizacijo Zmanjšanjestopnje negotovosti je korak k opredelitvi kaj je lahko narejeno zazmanjšanje izpostavljanju tveganj Kakšno metriko uporabimo jeodvisno od tega kaj želimo meriti obravnavati spremljati izboljšatiitdOceniti tveganje pomeni ovrednotiti koliko lahko prenesemo oz izgubimo če seneljubi dogodek zgodi in pri tem izgubimo npr kar posedujemo Ali predstavlja to zanas vrednost in kako pogosto se ti dogodki pojavljajo so začetna razmišljanja ko greza tveganja in reakcije na njihLahko trdimo da je tveganje vedno ocenjeno z analizo scenarijev kar pomenivrednotiti možne izgube in frekvenco verjetnosti možne škode Toda v kakšnemobsegu in po katerih predvidevanjih Vsekakor je pri ocenjevanju tveganj medkvalitativno in kvantitativno analizo razlika Smiselno je obravnavanje analizetveganj Še tako dobro zastavljena varnostna politika brez izvajanja in kontrole ne
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 32
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
strokovne na svojih področjih Prav tako se v skupinah (samovodljivo) ocenjujejotveganja in definirajo strategije rešitev za identificirana tveganjaPodročje UT-IT je lahko služba ki je neodvisna in samostojna organizacijska enota v vrhu vodstva organizacijeIZVAJANJEOKVIRKaj kako s 1048830i
- Komunikacijski krogi
Bistven gradnik UT-IT predstavljajo komunikacijski krogi (KK) med področji inodgovornimi ali delegiranimi sodelavci po poslovnih linijah Le-ti predstavljajo raquokomunikatorje tveganjalaquo ki so povezani prek sistema zgodnjega opozarjanja inizvajajo vnos dogodkov ter podatkov za analize tveganj in ocenjevanje vpliva naposlovanje Izkušena skupina določi tudi ustrezne protiukrepe in varnostne mere ter jihposreduje lastnikom tveganj Ti s strokovnjaki za posamezna področja pripravijostrategijo rešitve in jo predstavijo (kot zagovor) odgovornim za področja da se posoglasju lahko izvedejo Področje UT-IT spremlja in spet ocenjuje učinke terrezidualna tveganja Zaradi narave tveganj in inherentnih tveganj IT so tovsakodnevne aktivnosti upravljanje tveganj in varnosti pa je vodstvena funkcijaObstaja še pomembna lastnost in specifika da področja varnosti in tveganj pripadajovsem zaposlenem v organizaciji zato so komunikacijski krogi in pravočasnoinformiranje nujniZa operacijsko kvaliteto v organizaciji je potrebno definirati oz določiti dimenzijo vkateri se meri kvaliteta Značilne so tri dimenzije (kriteriji)
- primernost in funkcionalnost- varnost in zanesljivost- razpoložljivost in dostopnost
- Metrike
-Tveganje je objektivizirane negotovosti glede na možnost pojavitve nezaželenegadogodka merjenje negotovosti in negotovosti izgube Negotovost nastane zaradipomanjkanja informacij o nekdanjih sedanjosti in prihodnjih dogodkih vrednostih inpogojih Ne glede na različne stopnje negotovosti je osnova koncepta negotovosti vpomanjkanju informacij o delih sistema ki ga obravnavamo ali opazujemo Zmanjšanje tveganj mora biti motiv za organizacijo Zmanjšanjestopnje negotovosti je korak k opredelitvi kaj je lahko narejeno zazmanjšanje izpostavljanju tveganj Kakšno metriko uporabimo jeodvisno od tega kaj želimo meriti obravnavati spremljati izboljšatiitdOceniti tveganje pomeni ovrednotiti koliko lahko prenesemo oz izgubimo če seneljubi dogodek zgodi in pri tem izgubimo npr kar posedujemo Ali predstavlja to zanas vrednost in kako pogosto se ti dogodki pojavljajo so začetna razmišljanja ko greza tveganja in reakcije na njihLahko trdimo da je tveganje vedno ocenjeno z analizo scenarijev kar pomenivrednotiti možne izgube in frekvenco verjetnosti možne škode Toda v kakšnemobsegu in po katerih predvidevanjih Vsekakor je pri ocenjevanju tveganj medkvalitativno in kvantitativno analizo razlika Smiselno je obravnavanje analizetveganj Še tako dobro zastavljena varnostna politika brez izvajanja in kontrole ne
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 32
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
zmanjšuje kvalitativnih tveganjKvantitativni pristop k analizi tveganj uporablja točkovni sistem za ocenotveganj relativno v dogodku in okolju Kvalitativni pristop k analizi tveganj uporabljafinančne vrednosti za vrednotenje tveganjKvalitativna analiza tveganj je bolj subjektivna in ocenjuje nevarnosti protiukrepe inučinkovitost na principu točkovne tehnike Kvantitativna analiza uporablja formule Enačbe za tveganja in izgube
Pri metriki ali kvantifikaciji tveganj mora biti prisotna velika stopnja določenihkvalitet Kvaliteta pa je v bistvu koncept ki ima več definicij Gre za lastnosti alikarakteristike zmožnosti izraženih za zadovoljitev poslovne potrebe Kvaliteto je močprikazati subjektivno in objektivnoObjektivna kvaliteta so predefinirani kriteriji ki so ključni za vrednost določenegavira Subjektivna kvaliteta je osebno dojemanje vrednosti ki jo poroča oseba s tem viromV poročilih so izražene vrednosti označene z dobro in slabo To zagotovimo tako daprivzamemo metriko v kateri definiramo skalo za odlično dobro slabo skromnorevno pošteno ali pa nizko srednje in visoko tveganjePomembno je ovrednotiti oceniti in kvantificirati dejavnike tveganj (risk faktorje)njihovo kvaliteto (lastnost svojstvo) oz vpliv na poslovanje visok ali majhenvznemirljiv poguben (te kriterije odraža resnostna matrika)Za operativna tveganja ki so razdeljena (klasificirana generalizirana) v kategorijetveganj ima zato vsaka kategorija svojo oceno tveganja ki temelji največkrat naanalizi scenarijev Ocene oz točke so zajete v matriko v dimenziji resnosti (vpliva) inverjetnosti dogodka (frekvence v številu na leto) To informacijo sporočamo najboljprimerno v vizualni oblikiTudi za končno oceno in določitev prioritet obravnavanja tveganj se uporabi matrikaverjetnosti dogodkov in vpliva na poslovanje Verjetnosti so lahko izražene z odstotkiali z vrednostmi med 0 in 1 Tveganje ki se v matriki uvrsti med najbolj kritičnevrednosti je praviloma obravnavano prvo
V operacijskih tveganjih želimo oceniti tveganja izgub ki jih povzročijo napake vposlovnih procesih Razumeti proces pomeni da je proces sestavljen iz množiceaktivnosti ki proizvajajo izložek oz rezultat za dan vhod Meriti je potrebno izložek(njegovo kvaliteto) Zato je potrebno ustvariti procese jih zbrati (narediti seznam) jihgeneralizirati tako da so lahko imenovani objavljeni strukturirani itd Na kateremnivoju (globini) razvrstitve oz razločevanja procesa naj se zajamejo informacije jeodvisno od tegakaj želimo spremljati obravnavati kontrolirati oz meritiSame aktivnosti variirajo za določeno stopnjo v določenem procesu So odvisne inalisoodvisne (na primer tveganje ignoriranja) Odvisnost se odraža z več faktorji(dejavniki)
- tehnologija- infrastruktura- znanje osebja veščine- kontrole za nenamerne in namerne napake- kontrole za neavtorizirane aktivnosti- informacije iz poročanja- zunanje storitve itd-
Tem faktorjem bi lahko rekli faktorji tveganj saj vsebujejo tudi negotovost ki pomenida se bodo izvedli kvalitetno učinkovito v določenem času optimalno itd
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 33
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
Če se aktivnost ni zaključila ali izvedla se proces ni mogel uspešno zaključiti innadaljevati zato je to operacijsko tveganje
Dejavnikom tveganj je potrebno poiskati vzroke oz jih povezati zvzročnimi kategorijami Te so lahko tehnologija osebjeorganiziranost zunanji faktorji itd Napaka opredeljena z dejavnikom tveganja osnovnega procesa kot je IT zastoj lahko povzroči izgubo iz operacijskega tveganja Resnost take izgube hkrati s frekvenco ponavljanja določa in povzroča nivo operativnega tveganja skladno s tem faktorjem Dobra praksa je da ocenjujejo tveganja eksperti s področja oziroma osebje ki pozna procese industrijo IT metode standarde imajo znanje o kontrolah varnosti zgodovini izgub vsekakor pa znanje o indikatorjih tveganj in protiukrepih ali obrambnih mehanizmih Ocene ali vrednotenja se lahko izvajajo v samoocenitvenem procesu Zato potrebujemo seznam (repositorij) procesov v celotni organizaciji (s strukturo imeniitd) Pri tem je tvegano to ker organizacije tega nimajo zajetega v celoti tako nemorejo vgraditi v poslovanje niti kontrolnih točk To je klasičen primer kjer semetrika ne uporablja zato je ranljivost poslovnega sistema toliko večjaV analizi tveganj je potrebna tudi razvojna faza stroškovneučinkovitosti Zajema stroškovni vidik zmanjševanja tveganjNamen tega procesa je pregledati stroške in pripraviti dokumente za več subjektov inodobritev vodstva Lahko se skrči kakšna kontrola zaradi prevelikih stroškov(ekonomske upravičenosti) Priporoča se uravnoteženje s še sprejemljivo varnostjooziroma pomembno je da se ne prekorači tolerantnih tveganj
Model
Strateško upravljanje s tveganji je naloga najvišjega vodstva (NV) NV je tesnopovezano z enoto ali službo za upravljanja s tveganji IT vodstvom poslovnih linijoziroma enot ter zaposlenimi v teh enotah Na drugi strani pa so izvedbena tveganjatista ki jih upravljajo srednje vodstvo in njihovo osebje pri vsakodnevnih aktivnostihin opravilih Njihova sistemska obravnava tveganj je ključnega pomena za uspešnoizvajanje strategije upravljanja s tveganji Tveganje je vsekakor proces in vodstvenafunkcija zato je potrebno ustvariti temu ustrezenPOSLOVNIPROCESISo vsebinsko in tehnično povezani s fazami (procesi) upravljanja tveganj ITInformacije ki jih dobimo iz vsake izmed faz se združijo in vzdržujejo v temnamenjenem portfelju tveganj (register tveganj in baza znanj) Informacije bodo takotakoj na voljo uporabnikom pri upravljanju tveganj oziroma kar se da sprotnoUporabljale se bodo tudi za prihodnje obravnavanje Portfolio mora biti meddelovanjem upravljanja s tveganji vseskozi dopolnjevan Z učinkovitim upravljanjemtveganj se med drugim lahko- zmanjša prekinitev dejavnosti- minimizira stroške ki so povezani s slabimi odločitvami vodstva- prepreči škodo na lastnini in opremi (IT virih in podporne infrastrukture)- zmanjša verjetnost poškodb zaposlenih in drugih- izboljša moralo zadovoljstvo zaposlenih- izboljša procese- zmanjša število operativnih napak- pomaga da se izognemo tožbam
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 34
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
- zmanjša zavarovalne premije itd
Informacije ki smo jih o tveganjih že dobili v preteklosti lahko dobimo iz različnihvirov Ti vsebujejo
- pretekle informacije o tveganjih ki so osnovane na predhodnih slabihdogodkih v organizaciji in kako so le-ti vplivali na poslovanje (cilje)
- izkušnje s tveganji od drugod ki so osnovane na posledicah in pogostnostiznanih dogodkov v drugih dejavnostih na nivoju vodenja v organizacijah inindustriji
Zelo pomembno je da vodilno osebje zadolženo za posamezno dejavnost aktivno širiinformacije o tveganjih s kolegi in z drugimi zaposlenimi v teh dejavnostih (poslovnihlinijah) V modelu UT-IT je obvezno povezati nevarnosti kontrole in protiukrepe alivarnostne mere prek dogodkov in aktivnosti v katerih so nastopale Te kategorije semorajo klasificirati in zajeti v bazo znanja saj so izjemnega pomena za analizespremljanje in certifikacijo Baza znanja služi za ustrezno u1048830inkovito demonstracijosistema UT-IT in dokumentiranostIzpopolnjene IT rešitve so na voljo managerjem za vzdrževanje in gradnjo njihovihportfeljev tveganj Vendar pri tem ne sme zmanjkati dobrih idej in inovativnostiznotraj organizacije
Korak za korakom
Nekatere metode podrobno definirajo več korakov in načinov toda splošno metodo inkorake je možno strniti v naslednje
Identifikacija strojne opreme
Resursov je veliko število vendar analitik tveganj pregleda procese v poslovni liniji inidentificira kateri resursi so pomembni za obravnavani poslovni proces Potrebna jedokumentacija o vseh danostih virih procesih in postane precej nerodno če tedokumentacije ni ali ni popolnih informacij ki so potrebne za ta korak
Določiti vrednost strojne opreme virovDoločiti vrednost IT viru ni tako vsakdanje glede na strojno opremo programjeneotipljive (intelektualne) vire itd Preden določimo vrednost se je dobro vprašati
- Koliko dobička prinaša napredna strojna oprema - Koliko stane vzdrževanje- Koliko bi stala izguba vira- Koliko stane nadomestilo ali ponovno kreiranje- Kaj bi to pomenilo za poslovanje in konkurenco-
Identificiranje nevarnosti in tveganj
Pregleda se različne kategorije tveganj in različne faktorje (dejavnike) ki sepojavljajo Pri tem procesu mora prevladati zdrav razum Torej smiselno in potrebnoje povezati vire in nevarnosti ter oceniti kolikšna bo izguba če se dogodek zgodi ozče ima nevarnost škodljiv učinek na vire (glede na poslovanje) To je na primernekoliko laže storiti pri strojni opremi toda pojavijo se težave pri podatkih ali vitalnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 35
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
informacijah (problem je realen ker se informacije hranijo ne samo na diskih ampaktudi v glavah ali pa primer če pride do namernega razkritja itd)
Ocena stroškov potencialnih izgub nadomestne strojne opreme
Pri oceni je potrebno upoštevati vse dejavnike tudi stroške vzpostavljanja prvotnegastanja (pred dogodkom) ali izgubo produktivnosti ali investicijo v varnostno mero alikontrole ki so nujne za blažitev tveganj
Običajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednjaLPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
Vrednost vira
Pričakovane = TVEGANJEIZGUBECena varnosti(upravljaje tveganj napredne strojne opreme)=
- ranljivost
- nevarnostObičajno se pri oceni uporablja vrednost vira in frekvenca pojavljanja imenovana tudifaktor izpostavljenosti (FI) v odstotkih (pretvorjenih v verjetnost 20 1048830 020)Izračunana vrednost je posamezna pri1048830akovana izguba (PPI) za določen virPPI = vrednost vira FIAnaliza tveganj temelji na izgubah skozi časovni interval največkrat eno leto Letnamera pojavljanja (LMP) je razmerje ocenjene verjetnosti da se bo nevarnost udejanilav obdobju 1 leta Vrednost verjetnosti da se bo dogodek pojavil se giblje med 0 in 1kjer 0 pomeni da do dogodka ne more priti 1 pa pomeni da se bo dogodek zagotovozgodil vendar še ni gotovo s kakšnim učinkom
Določitev letne pričakovane izgubeKo je zbrana vsa množica dejstev in zneskov je najenostavnejša formula za določitevali izračun letne pričakovane izgube (LPI) naslednja
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 36
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
LPI = PPI LMPLetna pričakovana izguba LPI analitiku pove maksimalni znesek ki je lahko porabljenza preprečitev nevarnosti ob dogodku
TVEGANJE pri namestitvi nove strojne opreme
Priporočila obrambe
Z določitvijo LPI organizacija dobi pregled tveganj možnost ali verjetnost neljubihdogodkov in potencialne izgube Če se nevarnosti materializirajo na škodo poslovanjaBistveni korak ali proces pa je raquozdravljenjelaquo tveganj Z drugimi besedami definiratimoramo obrambne mehanizme ki opredeljujejo kontrole varnostne mereprotiukrepe zaščito zavarovanja izboljšave procesov pa tudi izobraževanjeSmiselno je izbrati tiste mehanizme (protiukrepe) ki so najbolj učinkoviti tudistroškovno Ne sme se pa prezreti skladnosti s standardi in regulativoZa izračun vrednosti obrambe se uporabi naslednja enačbaObramba = LPI (brez obrambe) - SV (stroški varnosti) - LPI (z obrambo)Pri obrambi upoštevamo vse stroške na primer nove vire ki jih za zaščito moramonabaviti in predstavljajo stroške varnosti (SV) S takim odzivom ali reakcijo nadogodke (nevarnosti) zmanjšamo verjetnosti udejanjanja ali ranljivost poslovnegasistema V LPI (z obrambo) se tako zmanjša faktor izpostavljenosti (IF) za določenovrednost s tem pa se zmanjšajo tveganja
Spremljanje
Potrebno je spremljanje učinkovitosti obrambe ali protiukrepov ki smo jih vpeljaliPri še tako dobrih protiukrepih lahko namreč ugotovimo da ostaja določeno tveganjeki ga imenujemo rezidualno Zato so potrebne občasni pregledi in spremljanje terspodbujanje vseh zaposlenih k opozarjanju na slabosti nepravilnosti nenormalnaobnašanja Imeti moramo pripravljeno skupino ki deluje kot raquopripravljenostnainteligencalaquo v okviru programa neprekenjenega poslovanja in za primere okrevalnihstrategij (skupina mora biti stestirana)Pomemben je tudi sistem poročanja ki naj poteka prek sistema zgodnjega opozarjanjater vsakodnevne komunikacije z vsemi kompetentnimi in odgovornimi strokovnjakiKo vse opisano povežemo spoznamo da ocenjevanje tveganj poveorganizaciji kakšna so tveganja Potezam vodstva in stroke kakoravnati s tveganji in drugimi kategorijami pravimo upravljanjetveganjČe gre za področje IT so to rešitve zaradi katerim moramo ukrepati Torej je nujnotveganja takoj omiliti prenesti sprejeti ali odpraviti kar je za IT najbolj ustreznoVlaganja v področje UT-IT so raquotoplaquo premiki v svetovnem merilu v svojih okoljih nipriporočljivo zaostajatiZbrane ocene tveganj je najlaže predstavi v matriki Iz primera je razbrati da gre zatočkovno (raquoscoringlaquo) metodo pri oceni IS organizacije
Priporočila
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 37
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
Upravljanje s tveganji je ključno za učinkovito delovanje vsake organizacije Potrebnoga je vpeljati v strateško in operativno vodenje kot zagotovilo da bo narejenaučinkovita ocenitev tveganj Upravljanje s tveganji IT omogoča tudi znižanje stroškovin znižanje izpostavljenosti negativni raquopublicitetilaquo kar je velik motivDa bi bilo upravljanje s tveganji učinkovito ga je potrebno vpeljati v vsakodnevneaktivnosti vseh zaposlenih v organizaciji Zaposleni se morajo zavedati svojihobveznosti in delovati v skladu s strategijo upravljanja tveganj politikami standardiin regulativo Smiselno je takoj kreirati skupno terminologijo da se zmanjšajomožnosti različnih razlag pojmov kategorij formul principov itdTveganje je bolj poslovni proces kot tehnična iniciativa Da ga lahko kontroliramo gamoramo najprej meriti Potreben je celovit pristop Informacije so ključnega pomenaprav tako strategija UT-IT in deljene informacije ter znanje po vsej organizacijiVeliko orodij in tehnik za zagotavljanje uspešnega delovanja upravljanja s tveganji žeobstaja vendar jih je potrebno vpeljevati strukturalno ter združevati znanje oupravljanju s tveganji IT (CRAMM e-RISK Riskanalyzer Pmrisk RM software toolERM ndash Enterprice Risk Manager Risk Radar RISK OR2Q system -httpwwwameliacouk Methodware IBM-Pathfinder iRisk -httpwwwagenacouk forzenična orodja) Vsa so dosegljiva prek spletaAnalize tveganj uporablja več področij od informacijske varnosti UT-IT revizijeneprekinjenosti poslovanja projekti in druga poslovna področja (zlasti v finančniindustriji kjer obstaja cela paleta tveganj) Področje tveganj je vse bolj pomembno zaraquopreživetjelaquoTveganj je več vrst zato jih je najbolje posplošiti in klasificirati v domeno tveganj alikatalog tveganj (zajem tveganj v register tveganj)Pomembna je povezava med nevarnostmi (izvori vrstami) kontrolami v sistemu inobrambnimi mehanizmi (protiukrepi varnostne mere priporočila) Identi teh kategorijso ključi v bazah strukture in transakcije pa služijo za podatkovne raziskave inodvisnosti ter akumulacije znanja prav iz neljubih dogodkov Smiselno je kreiratikatalog dobre prakseUčinkovitost se doseže s portalom in kreiranim repositorijem (informacije ki so vsemna razpolago) bazo znanja sistemom zgodnjega opozarjanja (alarmiranja) in etreningiza področje tveganj oz celotne varnostne arhitekture opredeljene s standardi
Koncept zaupanja napredne strojne opreme
Značilno za področja kot so varnost revizije tveganja je da imajo vsa programeTako mora organizacija oblikovati programe za varnost tveganja in revizij (pač tisteorganizacije ki notranjo revizijo imajo)Smiseln je neodvisni pregled ali certificiranje skladnosti in pridobitev certifikatovVodstva morajo podati vodstvene izjave o primernosti in uporabnosti vpeljanihpodročij ali disciplin Spremljanje trendov na tem področju je vitalnega pomena NaInternetu je število naslovov ki zajemajo obravnavene vsebine z veliko ponudbosvetovanj ter on-line izobraževanji (webcast) da je potrebna že prava selekcijaV domačem okolju se razvijajo sveže organizacije in inštituti ki bodo zapolnilidoločene vrzeli na teh področjih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 38
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
51 INFORMACIJSKE NESREČE VARNOSTNA POLITIKA IN PRAVO
Namen prispevka je osvetliti in podrobneje razložiti povezavo med računalniki ininformacijskimi sistemi na eni strani in pravom na drugi strani s posebnimpoudarkom na varnosti informacijskih sistemovPravo na obvezujo način ureja družbena razmerja na različnih področjih med njimitudi na področju informacijskih sistemov Na prvi pogled se zdi da pravo priinformacijskih sistemih pravzaprav ureja tehnična vprašanja vendar podrobnejšipregled pokaže da gre v resnici za družbena razmerja ki se pletejo okoli uporaberačunalniških tehnologij in infrastruktureZa pravna vprašanja varnosti informacijskih sistemov se je potrebno sklicevati na vsapodročja računalniškega prava (cyberlaw computer law) se pravi prava kakorkolipovezanega z uporabo računalnikov saj bo šele celokupna skupnost pravil v celotiuredila posamezna področja informacijske varnosti Po drugi strani včasih samoračunalniško pravo ne zadošča potrebno je poseči po splošnih pravnih normahpravnega sistema v1048830asih pa tudi po drugih oddelkih tehnološkega prava (npr pravotelekomunikacij itd)Področje varnosti informacijskih sistemov so ukrepi in postopki ponavadi zapisani vobliki varnostne politike s katerimi se preprečuje možnost informacijskih nesreč inmožnost odpravljanja njihovih posledic če te že nastopijo Varnostna politika informacijske nesreče in njihovo preprečevanjeoziroma odpravljanje so temeljni elementi varnosti informacijskihsistemov Poleg očitne tehnične narave imajo vsi tudi pravno naravoVarnostna politika je pravzaprav normativni akt ki vsebuje pravila za zahtevano (alizaželeno) obnašanje njenih naslovljencev oz adresatov in opis okoliščin v katerih sota pravila uporabna S tega vidika je varnostna politika zelo podobna splošnimpravnim aktom ki na splošen način (za nedoločeno število primerov in nedoločenoštevilo adresatov) predpisujejo zahtevano obnašanje teh adresatov in hkratisankcionirajo odklone od takega vedenja Varnostna politika pa ima poleg strukturnepodobnosti tudi čisto neposredno pravno naravo če je vključena v sistem notranjihaktov neke organizacije Ponavadi je to potrebno saj bo edino z njeno postavitvijo kotobveznimi priporočili dosežena njena veljava in spoštovanje prek sankcij za njenonespoštovanje pa tudi praktično zmanjšanje potencialnih in dejanskih informacijskihnesrečZ informacijskimi nesrečami ponavadi razumemo tehnične nesreče in dogodke vračunalniških sistemih (npr viruse izbris podatkov itd) ki tako ali drugače škodujejoorganizaciji ki so se ji pripetile Vendar je to gledanje preozko saj je potrebno zinformacijskimi nesrečami pojmovati vsakršne nesreče (dogodke pripetljaje) ki sezgodijo organizaciji v teku njenega poslovanja v računalniških sistemih kizmanjšujejo njen ugled in premoženje Kot informacijske nesreče zato razumemo tudidogodke ki fizično ne povzročijo škode (npr ne izbrišejo podatkov na disku) lahkopa povzročijo precejšnjo siceršnjo materialno škodo Informacijske nesreče kot soodtekanje zaupnih informacij tožbe zaradi kršenja avtorskih pravic na programskiopremi kazenske ovadbe zaradi izdelovanja pripomočkov za vdiranje v sisteme inpodobno so same po sebi pravne narave in enako škodljive za ugled kredibilnosti inpremoženja organizacij Tako informacijske nesreče razumemo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 39
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
Podobno je s pravom povezano tudi konkretno preprečevanje in odpravljanjeinformacijskih nesreč Po eni strani so s pravom povezana pravila ki na obvezujonačin urejajo tehnične ukrepe ki jih bodo morali zaposleni izvajati oz katerim sebodo morali podrediti da ne bo prihajalo do informacijskih nesreč po drugi strani paimajo čisto pravno naravo tudi ukrepi kot so zavarovanje odškodninske odgovornostiukrepi za vzdržanje kakršnihkoli posegov v tuje avtorske pravice in podobnoPravo ki pride v poštev za obravnavanje informacijskih nesreč je po obsegu široko inse dotika praktično vseh pravnih panog Najbolj očiten primer je zasebno (pogodbenoin odškodninsko) pravo ki pride v poštev pri licenciranju programske opreme najetjutelekomunikacijskih vodov zavarovanju odškodninske odgovornosti itd S tem smo sedotaknili že tudi odškodninskega prava ki pride v poštev pri kršenju licenčnih določilpri nevestnem ravnanju z občutljivimi in zaupnimi podatki pri nevestnemuporabljanju blagovnih in storitvenih znamk in modelov partnerjev itd Druga velikaveja prava ki se dotika računalniških sistemov je kazensko pravo To določa vrstokaznivih dejanj in prekrškov v zvezi z informacijskimi sistemi in nesrečami ki se pritem pripetijo od zlorabe osebnih podatkov vdorov v baze podatkov in računalniškihsistemov do izdelovanja računalniških virusov ipd Pomembno je tudi upravno pravose pravi pravo države in njenih organov V številnih primerih bodo naslovljencipravnih norm v upravnih postopkih zahtevali priznanje določenih pravic aliizpolnjevali svoje dolžnosti (npr dolžnost upraviteljev zbirk osebnih podatkov datake zbirke s spremljajočimi podatki prijavijo ustreznemu ministrstvu ki bo skrbelo zanadzor nad zakonitostjo takih zbirk ali dolžnost inšpektorjev da opravljajoinšpekcijsko nadzorstvo nad izvajanjem zakona Zelo podobno velja tudi za overiteljedigitalnih potrdil) Omeniti je potrebno tudi mednarodno pravo saj računalniškisistemi (še posebej v povezavi s telekomunikacijami) običajno nastopajo vvečnacionalnem prostoru kjer fizične meje in fizična prisotnost mnogokrat ne igrajonobene vloge zato je potrebno z uporabo norm mednarodnega prava določatipristojnost (jurisdikcijo) sodišč in izbiro prava (ali več pravnih sistemov) zaobravnavanje posameznih primerov oz sporov (npr internet) Nenazadnje moramoomeniti tudi ustavno pravo čeprav ga ponavadi ne prištevamo eksplicitno kračunalniškem pravu V ustavi je namrečnekaj zelo pomembnih členov ki se tičejozagotavljanja varstva tajnosti pisem in občil (tudi elektronskih) jamstva za varstvoosebnih podatkov itd
52 Varnostna politika nameščanja strojne opreme in njihova pravna narava
Pomemben del politike varnosti informacijskih sistemov zavzema ureditev pravnihvprašanj Gre za pravno ureditev različnih razmerij tako tistih ki jih ima organizacijanavznoter do svojih delavcev kot tistih ki jih ima navzven do svojih strank inpartnerjev Pravna vprašanja politike varnosti IS se nanašajo na ureditevorganizacijskih tehničnih in varnostnih predpisov pri uporabi in dostopu doprogramske strojne in sistemske opreme uporabi in vzdrževanju informacijskihsistemov dostopu do baz podatkov varstvu osebnih podatkov enkripciji občutljivihpodatkov elektronskem poslovanju in podpisovanju varstvu in zaščiti avtorskihpravic patentov in drugih pravic intelektualne lastnine varstvu zaupnih podatkov itdNajbolj znana standarda ki se ukvarjata z varnostjo informacijskih sistemov staBS7799 in ISO 17799 zato ju politike varnostnih sistemov v veliki meri upoštevajoter implementirajo
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 40
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
S pravnega vidika se postavlja vprašanje kakšno oz kako obvezujočo naravo imapolitika varnosti informacijskih sistemov v sistemu notranjih aktov organizacije inkako je povezana z drugimi notranjimi aktiPolitika varnosti je lahko namreč sprejeta kot priporočilo (ang guideline) zaposlenim vorganizaciji glede zaželenega obnašanja na področju varnosti lahko pa ima naravoobvezujočega pravnega akta ki ga morajo zaposleni brezpogojno upoštevati zanjegovo nespoštovanje pa morajo računati s sankcijamiVsekakor bo najbolj priporočljivo da bo politika varnosti sistemov v internih aktihorganizacije opredeljena kot obvezujoč akt katerega pravna moč izhaja iz statuta indrugih v pravni hierarhiji više postavljenih aktov ter katerega nespoštovanjesankcionirajo ustrezne norme drugih internih aktov S takim aktom bo potem potrebnoseznaniti vse zaposlene oz podrejene in jih tudi pogodbeno (pogodba o zaposlitvipogodba o delu itd) v bilateralnih aktih obvezati k njegovemu spoštovanju Ravnotako bo potrebno v teh pogodbah določiti sankcije za nespoštovanje varnostnihpredpisov od disciplinskih postopkov kazni do prenehanja delovnega razmerja ozprekinitve pogodbenega sodelovanjaKar se tiče podrobnejše pravne vsebine varnostnih politik bomo poglavitne elementepravnega varstva osvetlili v nadaljevanju V izdelano varnostno politikoinformacijskih sistemov spadajo ukrepi ki zagotavljajo spoštovanje kogentnihzakonskih norm in pogodbeno prevzetih obveznosti s tem povezani ukrepi namenjenizmanjšanju možnosti litigacije in kazenskih ovadb ter ukrepi ki zagotavljajoizvajanje priporočil oz navodil same varnostne politike
Ukrepi za spoštovanje zakonskih in pogodbenih določb obsegajo predvsem ukrepe zaspoštovanje varstva osebnih podatkov avtorskih pravic obveznosti iz pogodb olicenciranjunajemu programske in strojne opreme posebnih pravic na zbirkahpodatkov kogentnih predpisov o elektronskem poslovanju itdDa bi se izognili pravnim sporom (tožbam in ovadbam) bodo ukrepi po katerih sebodo morali ravnati zaposleni v organizaciji in ki bodo zmanjševali riziko pravnihsporov s tretjimi osebami Sprejeti bo npr potrebno akte o zaupnih podatkih in zdolžnostjo njihovega varovanja seznaniti podrejene s čimer se bo organizacijaizognila kazenski in civilni odgovornosti za izdajo poslovne skrivnosti Določiti bopotrebno ukrepe namenjene splošnemu preprečevanju oz zmanjševanju priložnosti zara1048830unalniški kriminal (npr zloraba osebnih podatkov poškodovanje računalniškihpodatkov in programov itd) Paziti bo potrebno na kazensko odgovornost pravnih osebza kazniva dejanja predvsem na računalniške delikte iz malomarnosti sajposamezniki pri svojem kaznivem delovanju lahko izrabijo računalniške sistemesvojih delodajalcev kar jih lahko tako kompromitira kot izpostavi kazenski (in civilni)odgovornosti Potrebno bo tudi urediti občutljiva vprašanja v zvezi z nastopanjem natrgu oz interakcijo z drugimi udeleženci trga prek elektronskih medijev (internetoglasne deske itd) in s tem zmanjšati možnost trgovskih klevet in obrekovanjauporabe avtorsko zaščitenih podatkov iz interneta elektronskih in klasičnih medijevter drugih vprašanjPoleg zakonskih obveznosti politika varnosti informacijskih sistemov ponavadipredpisuje še druge potrebne ukrepe namenjene varnosti sistemov ki so obvezni zanjene naslovnike oz izvajalce Med take ukrepe ponavadi sodijo ukrepi za zagotovitevtrajnega hranjenja (arhiviranja) pomembnih podatkov ki vključujejo pravna vprašanjavarstva osebnih podatkov enkripcije podatkov in časovne veljavnosti ključev zanjihovo dekripcijo V sami varnostni politiki se je možno tudi izreči ali naj imajonjena pravila naravo priporočil ali obveznih (kogentnih) internih organizacijskih norm
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 41
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
katerih kršenje za sabo potegne vnaprej določene sankcije (npr izgubo delovnegamesta)Druga pravna vprašanja varnosti informacijskih sistemov ki se jih v tej knjigi nebomo podrobneje dotaknili so npr še vodenje evidence (dnevnika) varnostnihincidentov registracija internetnih domen zavarovanje rizika informacijskih nesrečdopustnost snemanja telefonskih pogovorov itn
Varstvo intelektualne lastnine
Področje civilnega prava ki je zelo pomembno za informacijske sisteme je varstvointelektualne lastnine To obsega pojme kot so avtorske pravice patenti blagovne instoritvene znamke modeli in vzorci varstvo zaupnih podatkov tehnični know-how terdrugo Področje poleg mednarodnih konvencij15 v domačem pravu urejajo Zakon oavtorskih in sorodnih pravicah16 Zakon o industrijski lastnini17 Obligacijskizakonik18 Zakon o gospodarskih družbah in drugi
53 Podatkovne zbirke na diskih strojne opreme
Avtorsko pravo obravnava podatkovne zbirke drugače kot računalniške programeZakon o avtorskih in sorodnih pravicah obravnava podatkovne zbirke kot zbirkeavtorskih del (8 člen) v zadnji noveli20 zakona pa je bila dodana posebna sui generispravica izdelovalcev podatkovnih baz (členi 141a do 141f) Do omenjene novele (kismiselno povzema direktivo EU o bazah podatkov21) je bila avtorska pravica napodatkovnih zbirkah priznana le če je bil pri ustvarjanju take zbirke zadovoljenkriterij intelektualne storitve (kot pri vsakem avtorskem delu glej definicijoavtorskega dela v členu 5) Kot take avtorskopravnega varstva niso uživali zbirke kotso imeniki seznami strank elektronsko kreirani seznami in druge zbirke katerihstvaritev ni zahtevala posebnih intelektualnih naporov Glede na znatne stroške ki soponavadi vloženi v izgrajevanje takih elektronskih zbirk podatkov četudi nisointelektualne stvaritve pa je direktiva EU priznala posebno varstvo do zbirk podatkovneodvisno od siceršnjega morebitnega avtorskega varstva takih zbirk podatkovZakon tako določa da je raquopodatkovna baza zbirka neodvisnih del podatkov alidrugega gradiva v kakršnikoli obliki ki je sistematično ali metodično urejeno inposamično dostopno z elektronskimi ali drugimi sredstvi pri čemer pridobitevpreveritev ali predstavitev njene vsebine zahteva kakovostno ali količinsko znatnonaložbolaquo (141a člen) Kot rečeno je poudarjen kriterij investicije kriterijintelektualne storitve pa izpuščen Tako tudi zakon npr govori o izdelovalcu bazpodatkov in ne o avtorju Prav tako je pomembna določba drugega odstavka tegačlena ki pravi da je raquovarstvo podatkovne baze ali njene vsebine po tem oddelkuneodvisno od njunega varstva z avtorsko pravico ali drugimi pravicamilaquo To pomenida bo na bazi podatkov če bo ta hkrati zadovoljevala tudi kriterij intelektualnestoritve hkrati obstajala tudi avtorska pravica po 8 členu (zbirke) nosilec pravice pabo lahko alternativno izbiral katera pravica mu nudi večje varstvo oz katero pravicolaže uveljavljaPisci varnostnih politik bodo morali poskrbeti za ukrepe namenjene spoštovanju morebitnih avtorskih pravic na bazah podatkov ter ukrepe namenjene spoštovanju posebne pravice izdelovalcev baz podatkov
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 42
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
Zakon tudi podrobneje določa da predmet varstva na posebni avtorski pravici do bazpodatkov obsega celotno vsebino baze podatkov in tudi vsak kakovostno (nprstruktura baze) ali količinsko (npr podatki) znatni del vsebine podatkovne baze hkratipa zakon da bi se izognil nesporazumom izključuje možnost da bi bili po tej posebnipravici na bazah podatkov zaščiteni tudi sami računalniški programi ki so povezani zbazo podatkov (npr DBMS22) Ti so seveda zaščiteni kot običajni računalniškiprogrami
Avtorske pravice (tudi do računalniških programov in baz podatkov če sointelektualne stvaritve) trajajo 70 let po avtorjevi smrti Posebne pravice do bazpodatkov pa po zakonu trajajo 15 let od izdelave baze (141f člen) s tem da vsakakakovostno ali količinsko znatna sprememba vsebine podatkovne baze ki ima zaposledico kakovostno ali količinsko znatno novo naložbo povzroči da začne ta rokteči znova (141f člen)Posebej se pri podatkovnih zbirkah postavi vprašanje pravne zaščitenosti same shemebaze podatkov Shema baze podatkov je strukturni opis podatkovnega modela pokaterem se ravnajo konkretni zapisi v bazi podatkov (pri relacijskih bazah podatkov bovelikokrat podan v obliki ER diagrama23 pri bazah podatkov XML pa v oblikiDTDja24) Ker shema baze podatkov predstavlja kakovostno pomemben del baze (glejdefinicijo predmeta varstva v 141b členu) je shema torej zaobsežena v posebnipravici izdelovalcev podatkovnih baz Kljub temu da pri bazah podatkov ki sointelektualne stvaritve take eksplicitne definicije ni bo verjetno smiselno razlagati dabo shema baze podatkov zaščitena tudi tu Zato se na koncu glede sheme postavi istovprašanje kot pri bazah na splošno če je sama shema plod ustvarjalnega dela in s temintelektualna stvaritev potem bo zaščitena kot del zbirke po 8 členu zakona če paizdelava sheme zadovoljuje kriterij znatne naložbe bo zaščitena po členu 141a kotkakovostno znaten del podatkovne baze
54 Patenti
Patente pri nas ureja Zakon o industrijski lastnini V 10 členu določa da se patentpodeli za izum z različnih področij tehnike ki je nov plod inventivnega dela inindustrijsko uporabljiv Evropska (in angloameriška) zakonodaja dolgo ni priznavalamožnosti patentov za računalniške programe potem pa jih je začela priznavatipredvsem ameriška praksa V to smer se v zadnjem času nagiba tudi evropska praksain Evropski patentni urad Najprej je šla praksa v smer da je bilo možno dobiti patentza računalniški program če je tak program vendarle proizvedel neki tehnični fizičniučinek v zunanjem svetu v zadnjem času pa se predvsem po vzoru ameriške praksedopuščajo tudi čisti patenti za računalniške programe ki ne zahtevajo ve
Database Management System po slovensko SUBP sistem za upravljanje z bazo podatkov S tem je (vsaj v ZDA) preseženo stanje ko je bilomogoče računalniški program patentirati le kot del nekega drugega izuma (proizvodaali procesa) ki je sicer zadovoljeval vse predpisane kriterije za patent Tako je v ZDAvčasih mogoče patentirati tudi algoritme oz poslovne modelePoložaj glede patentnega varstva računalniških programov v Evropije v celoti še vedno precej nejasenPod vplivom ameriške prakse se delno teži k priznanju možnosti za podeljevanjepatentov računalniškim programom kot takim vendar praksa še zdaleč ni enotnaPodobno je v slovenskem pravu Prejšnji Zakon o industrijski lastnini25 je
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 43
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
računalniškim programom per se (glede na podobne rešitve v EU) izrecno odrekelmožnost patentibilnosti 8 člen zakona je namreč določal da se raquoodkritja znanstveneteorije matematične metode računalniški programi in druga pravila načrti metodein postopki za duhovno aktivnost neposredno kot taki ne štejejo za izume po prvemodstavku tega členalaquo Računalniški programi pa so bili lahko patentibilni če so bilidel sicer patentibilne materije (npr patentibilna fizična naprava ki jo krmiliračunalniški program) Novi zakon iz leta 2001 pa o računalniških programih molčioz jih ne navaja več med izjemami iz patentnega varstva26 torej bi lahkoargumentum a contrario sklepali da jih načelno priznava (glede tega glej tudi 117člen Zakona o avtorski in sorodnih pravicah ki glede določb tega zakona oračunalniških programih določa da raquodoločbe tega oddelka ne posegajo na veljavnostdrugih pravnih ureditev o računalniških programih kot npr predpisov o patentublagovni znamki varstvu konkurence poslovni tajnosti varstvu polvodnikov inpogodbenih obveznostihlaquo kar se tudi da interpretirati kot načelna možnost patentnegavarstva računalniških programov) Predvsem od prakse ki bo prevladala v EU boodvisno ali bodo računalniški programi patentibilni tudi po našem pravu Kljubnavidezni privlačnosti take opcije pa obstajajo močni teoretični pomisleki zoper takorešitevPisci varnostnih politik bodo morali predvsem poskrbeti za zagotovitev spoštovanjamorebitnih patentov na računalniških programih oz odvračanja morebitnih patentnihkršitev do katerih bi prihajalo predvsem pri razvijanju lastnih podobnih rešitev ozuporabi rešitev ki kršijo patentno zaščito25 Zakon o industrijski lastnini (ZIL) Uradni list RS 13199226 11 člen zakona kot izjeme od patentnega varstva navaja samo še odkritja znanstvene teorije matematične metode in druga pravila načrte ter metode in postopke za duhovno aktivnost
55 Blagovne in storitvene znamke ter modeli strojne opreme
Računalniške strojne opreme in storitve je mogoče opremiti z blagovnimi in storitvenimiznamkami ki so namenjene razlikovanju blaga in storitev različnih podjetij in jih jemogoče grafično prikazati (besede črke številke znaki itd) Blagovne in storitveneznamke ter modele ureja Zakon o industrijski lastnini v členih 42 do 54 Z modelompa je možno registrirati videz izdelka ki je nov in ima individualno naravo Namenmodela je ravno tako doseči individualizacijo določenega izdelka in ga na trgu ločitiod konkurenčnih proizvodov Model ureja zakon v členih 33 do 41Tudi tu bo naloga piscev varnostnih politik uvedba ukrepov in postopkov ki bodopreprečevali nezakonito rabo znamk in modelov
56 Varstvo zaupnih podatkov na strojni opremi
Varstvo zaupnih podatkov predstavlja pomemben del varstva intelektualne lastnineZa razliko od avtorskih pravic ki po zakonu nastanejo ob ustvaritvi avtorskega dela inš1048830itijo avtorja ter patentov s katerimi prosilec ob ugoditvi vloge pridobi zakonitovarstvo za izum zaupnih podatkov kot takih zakon ne ščiti Pri zaupnih podatkih grepredvsem za pomembne poslovne podatke (npr izvedba poslovnih procesov seznamiposlovnih strank kemijske formule itd) ki sicer kot taki niso zaščiteni ker neustrezajo kriterijem za druge vrste intelektualne lastnine Ne ustrezajo npr nitipogojem za avtorske pravice (nimajo narave posebne intelektualne storitve) niti za
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 44
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
patente (ki imajo omejen rok trajanja) V takem primeru edina možnost njihovegavarovanja izhaja iz obligacijskih dolžnosti ki jih ima ena stranka (prejemnik zaupnihpodatkov) do druge (razkritelj zaupnih podatkov) Pogodba o varstvu zaupnihpodatkov (ang non-disclosure agreement) uredi vsa vprašanja v zvezi z vsebino zaupnihpodatkov namenom razkritja in s tem povezano pravico prejemnika do njihove(omejene) uporabe ter časom trajanja obveze za varovanje zaupnih podatkovKljub temu da pravni red pogodbe o varstvu zaupnih podatkov ne določa posebej pase v nekaj zakonih sklicuje nanjo Zakon o gospodarskih družbah v členih 40 in 41govori o poslovni skrivnosti družb V 39 členu opredeli poslovno skrivnost družbe kotraquopodatke za katere tako določi družba s pisnim sklepomlaquo Bistveno je da se pozakonu za poslovno skrivnost štejejo samo tisti podatki ki so določeni s pisnimsklepom Samo za take podatke tudi nastopijo zakonske posledice njihove zlorabeZakon nadalje določa da raquomorajo biti z omenjenim sklepom seznanjeni družbenikidelavci člani organov in druge osebe ki so dolžne varovati poslovno skrivnostdružbelaquo Poleg te določbe pa obstaja še pavšalna določba v 2 odstavku istega člena kidoloča da raquone glede na to ali so določeni s sklepi iz prejšnjega odstavka tega člena seza poslovno skrivnost štejejo tudi podatki za katere je očitno da bi nastala občutnaškoda če bi zanje izvedela nepooblaš čena osebalaquo V tem primeru nastane dolžnostvarovanja po samem zakonu raquoDružbeniki delavci člani organov družbe in drugeosebe so odgovorni za kršitev če so vedeli ali bi morali vedeti za tak značajpodatkovlaquo Zakon v naslednjem členu določa še da se z omenjenim pisnim sklepom
določi tudi na in varovanja poslovne skrivnosti in odgovornost oseb ki so jo dolžnevarovati Ravno tako zakon varovanja poslovne skrivnosti obvezuje tudi osebe izvendružbe raquoče so vedele ali če bi glede na naravo podatka morale vedeti za to da jepodatek poslovna skrivnostlaquo (2 odstavek 40 člena)Hujše sankcije pa določa Kazenski zakonik RS ki v svojem 241 členu penaliziraizdajo in neupravičeno pridobitev poslovne tajnosti kot kaznivo dejanje
57 Varstvo osebnih podatkov
Z varstvom osebnih podatkov se razume preprečevanje nezakonitih in neupravičenihposegov v zasebnost posameznika pri obdelavi osebnih podatkov varovanju zbirkosebnih podatkov in njihovi uporabi Pri nas ureja to področje Zakon o varstvuosebnih podatkov27 ki je gledano primerjalnopravno precej restriktiven torej nudiposamezniku precejšnje varstvo Na drugi strani pomeni to precejšnje obveznosti zaupravljalce zbirk osebnih podatkov ki potrebujejo natančna zakonska pooblastila zavsakršno obdelavo oz procesiranje osebnih podatkov največkrat pa tudi izrecnoprivolitev subjekta na katerega se osebni podatki nanašajo Ker so sankcije za kršenje zaupnosti osebnih podatkov relativnostroge nalaga omenjeni zakon precejšnje breme piscem varnostnihpolitik informacijskih sistemov saj bodo morali da bi se izogniliinformacijskim nesrečam kot so raquoodtekanjelaquo osebnih podatkov alinjihova napačna uporaba precej strogo zapovedati določeneprotiukrepe
Varstvo osebnih podatkov se odvija v trikotniku med subjektom osebnih podatkovupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov Upravljalecosebnih podatkov ima dolžnosti predvsem do subjekta na katerega se osebni podatkinanašajo ta pa mu lahko dovoli (ali zavrne) določeno obdelavo uporabo oz
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 45
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
posredovanje svojih osebnih podatkov od njega pa lahko tudi zahteva da ga moraobveščati o osebnih podatkih ki jih vodi in se nanašajo nanj ipd Uporabnik osebnihpodatkov je oseba ki iz kakršnegakoli razloga potrebuje osebne podatke drugihPridobi jih pri upravitelju zbirk osebnih podatkov za to pa spet potrebuje alipooblastilo s strani subjekta osebnih podatkov ali posebno zakonsko pooblastilo zavpogled v take podatke Poleg omenjenih oseb so v proces zbiranja shranjevanjaprocesiranja in uporabe osebnih podatkov lahko vpleteni še inšpekcijsko nadzorstvonad izvajanjem zakonov s področja osebnih podatkov (pri nas v okviru ministrstva zapravosodje) tehnične oz informacijske službe ki izvajajo dejansko procesiranjepodatkov ter morebiti tretje države kot vir ali uporabnik takih podatkov Tipičnarazmerja in subjekti zakona so predstavljeni na sliki 38Izmed spodnjih tipičnih razmerij so najpomembnejša tista med upravljalcem zbirkosebnih podatkov in subjektom na katere se osebni podatki nanašajo ter tista medupravljalcem zbirk osebnih podatkov in uporabnikom takih podatkov27 Zakon o varstvu osebnih podatkov (ZVOP) Uradni list RS 591999
58 Podatkovne zbirke na diskih strojne opreme
Kar se tiče uporabnikov zbirk osebnih podatkov zakon za vsako zbirko osebnihpodatkov določa da je potrebno v katalogu podatkov natančno določiti uporabnike zakatere se podatki zbirajo in katerim se bodo posredovali Določene zbirke podatkovpredpisuje sam zakon (npr centralni register prebivalstva evidenca storilcev kaznivihdejanj itd) hkrati pa predpisuje tudi njihove uporabnike Pri drugih zbirkah osebnihpodatkov pa bodo morali upravljalci takih zbirk pridobiti eksplicitna pisna dovoljenja(3 člen) subjektov na katere se podatki nanašajo za zbiranje in posredovanjem takihpodatkov Privolitev bo ravno tako morala vsebovati točno navedbo krogauporabnikov11 člen zakona določa da mora upravljalec ponavadi proti plačilu stroškov osebnepodatke posredovati uporabnikom ki so upravičeni do dostopa za posamezno zbirkopodatkov (glej sliko 38)Z vidika varnosti informacijskih sistemov in preprečevanja informacijskih nesre1048830 sopomembne določbe 13 člena zakona ki govorijo o zavarovanju zbirk osebnihpodatkov Tako so predpisani organizacijski ter logično tehnični postopki in ukrepi skaterimi se varujejo osebni podatki in preprečuje njihovo uničenje sprememboizgubo ali nepooblaščeno obdelavo Predpisano je varovanje prostorov strojneopreme sistemske in aplikativne programske opreme enkripcija podatkov priprenosih po telekomunikacijskem omrežju itn Tudi 4 len npr izrecno predpisuje dase smejo osebni podatki prenašati preko telekomunikacijskega omrežja samo raquo1048830e soposebej zavarovani s kriptografskimi metodami in elektronskim podpisomlaquo Piscivarnostnih politik upravljalcev zbirk osebnih podatkov bodo morali upoštevati tezahteve če se bodo hoteli razbremeniti odgovornosti za morebitne prekrške in kaznivadejanja ki jih podajamo v nadaljevanju
59 Prekrški in kazniva dejanja v zvezi z osebnimi podatki na strojni opremi ndashdiskih
Zakon o varstvu osebnih podatkov je glede varstva osebnih podatkov precej strog sajpredpisuje denarne (in druge) kazni ki lahko doletijo osebe ki zbirajo in shranjujejoosebne podatke brez pooblastila ali ki takih zbirk osebnih podatkov ne prijavijo priustreznih organih ki o njih vodijo evidenco Za najbolj resne primere zlorabe osebnih
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 46
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
podatkov Kazenski zakonik predpisuje tudi posebno kaznivo dejanje zlorabe osebnihpodatkov
5slika Disc Blu-ray(BD)
Zakon predpisuje prekrške v zvezi s pomanjkljivim varstvom oz zlorabo osebnihpodatkov ki se lahko nanašajo na upravljalce zbirk (30 člen) njihove podizvajalce kiza njih opravljajo tehnično upravljanje zbirk (32 člen) ter tudi uporabnike zbirk (31člen) Upravljalci zbirk osebnih podatkov (oz njihovi interni akti in politike) bodotako morali zagotoviti da bodo obdelovali osebne podatke samo na podlagi zakonskedoločbe ali privolitve posameznikov da ne bodo obdelovali podatkov za namene kiniso določeni v zakonu ali pisni privolitvi posameznika da bodo pravočasno blokiralioz zbrisali osebne podatke ki se zbirajo za določen čas itdZa zlorabe osebnih podatkov pa bodo lahko kaznovani tudi uporabniki osebnihpodatkov (če jih bodo npr uporabljali za namene nezdružljive z zakonom ali pisnoprivolitvijo posameznika) ter tehnični izvajalci upravljanja zbirk osebnih podatkovRavno tako kot upravljalci bodo tudi podjetja uporabniki morali z internimi akti invarnostnimi politikami zagotoviti pravilno ravnanje z osebnimi podatkiZa varnost informacijskih sistemov pa so pomembne tudi določbe 33 člena zakona kipredpisujejo prekršek upravljalcev zbirk osebnih podatkov oz njihovih tehničnihizvajalcev v primeru ko ti ne zagotovijo postopkov in ukrepov (torej izdelanihvarnostnih politik) zavarovanja osebnih podatkov (fizično varovanje varnostsistemske in aplikativne programske opreme varen prenos podatkov potelekomunikacijskih omrežjih)Končno zakon za najhujše zlorabe osebnih podatkov predpisuje tudi posebno kaznivodejanje zlorabe osebnih podatkov (154 člen kazenskega zakonika RS glej vnadaljevanju)
6 Viri in literatura
[1] BAINBRIDGE David Introduction to Computer Law Fourth Edition Pearson
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 47
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
Education Limited Edinburgh Gate 2000[2] CARTER Mary E Electronic Highway Robbery An Artists Guide toCopyrights in the Digital Era Peachpit Press 1996[3] FERRERA Gerald R LICHTENSTEIN Stephen D REDER Margo EKAUGUST Ray SCHIANO William T Cyberlaw Text and Cases South-Western College Publishing 2000[4] GIRASA Rosario J Cyberlaw National and International PerspectivesPrentice Hall 2001[5] Guide to Enactment UNCITRAL Model Law on Electronc Commerce 1996[6] IOSIEC ISOIEC 17799 Information technology ndash Code of practice forinformation security management ISOIEC 2000[7] KUŠEJ Gorazd PAVČNIK Marijan PERENIČ Anton Uvod[8] BEYNON-DAVIES Paul Information Systems Palgrave USA 2002 [9] GARG Ashish What Does an Information Security Breach Really CostInformation strategy vol19 no4 Summer 2003[10] Eric Maiwald and William Seiglein Security Planning amp Disaster RecoveryThe Mc Graw-Hill Companies 2002[11] WIERMAN R Max Risk Management ndash a guide to managing project risks ampopportunities Project Management Institute 1992[12] HAWKER Andrew Security and control in information systems Routledge2000[ 13]Inštitut Iziv- računalniška varnost
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 48
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
Datum izpita trajanje 90 minut od do
Izpit opravlja (tiskano)
Zbrane točke
Ocena izpit opravilni opravil
Pregledal in ocenil Igor Šifrer Podpis
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 49
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
Opombe
V roku 15 minut od pričetka izpita kandidat lahko odstopi od opravljanja izpita
Pomagala niso dovoljena prav tako ni dovoljena literatura Na vprašanja odgovarja pisno s pomočjo kemičnega svinčnika modre ali črne barve Nepravilne vsebine mora kandidat prečrtati
Nasvet preglej vsa vprašanja in oceni ali boš nadaljeval z opravljanjem izpita ali odstopil
Za odločitev imaš 15 minut časa
Če kakšnega vprašanja ne znaš ali se ne moreš spomniti odgovora raje preidi na naslednje vprašanje ndash tako ne boš po nepotrebnem izgubljal časa in raje odgovarjaj na vprašanja katera znaš Kasneje se še vedno lahko vrneš k neodgovorjenim vprašanjem
Če ti zmanjka prostora piši na hrbtno stran lista vendar nadaljevanje jasno označi
Pred oddajo izpita še enkrat preveri ali si dovolj dobro odgovoril na čim več vprašanj
Pri pisanju odgovorov se potrudi Srečno
IZPITNA VPRAŠANJA (vsako je vredno 5 točk)
1 Kaj je osnovna plošča2 Kakšne so koristi procesorjev
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 50
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Napredno vzdrževanje strojne opreme Učno gradivo
3 Naštej vsaj tri napredne procesorje4 Kaj je nadležno ropotanje računalnika5 Kaj predstavlja ohišje strojne opreme6 Naštej vsaj 5 kovin ki sestavljajo matično ploščo7 Kaj pravi Moorov zakon8 Kaj je mikroprocesor9 Kako deluje mikroprocesor10 Naštej enote pomnenja v računalniku11 Naštej arhivske oz prenosne pomnilniške medijeKakšne so kapacitete12 Kaj je vloga vhodnih enot13 Naštej vsaj 5 vhodnih enot14 Kakršna je razlika med ROM in RAM pomnilnikom15 Kaj je usmerjevalnik16 Opiši kako se varuje strežnike17 Strojna opremo delimo na dve glavni skupini18 Naštej glavne funkcije operacijskega sistema19 Naštej vsaj 6 operacijskih sistemov20 Razloži delovanje BIOS-a21 Katera so tveganja pri naprednem vzdrževanju22 Kaj je to koncept zaupanja pri dobavi nove strojne opreme23 Kaj določa zakon o varstvu podatkov pri menjavi računalnika24 Kaj so to patenti pri HW25 Kaj delajo upravljavci zbirk podatkov v primeru menjave strojne opreme26 Kaj so podatkovne zbirke na diskih strojne opreme Kako z njimi ravnamo pri
naprednem vzdrževanju celotne strojne opreme
Ljudska univerza Radovljica Igor Šifrer 2011 Stran 51
Recommended