Upload
others
View
5
Download
0
Embed Size (px)
Citation preview
UNIVERZA V MARIBORU
FAKULTETA ZA ELEKTROTEHNIKO,
RAČUNALNIŠTVO IN INFORMATIKO
Daniel Ficko
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi
kontrolnega okvirja COBIT
Diplomsko delo
Maribor, avgust 2016
i
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
Diplomsko delo
Študent: Daniel Ficko
Študijski program: Visokošolski študijski program
Računalništvo in informatika
Smer: Informatika
Mentor: viš. pred. mag. BOŠTJAN KEŽMAH, dipl. gos. inž. elektroteh.
Lektor: Leon Banko
ii
iii
ZAHVALA
Zahvaljujem se mentorju viš. pred. mag. Boštjanu
Kežmahu, ki mi je bil s svojo potrpežljivostjo,
strokovnostjo in pravilnimi usmeritvami v veliko
pomoč pri izdelavi diplomskega dela.
Posebna zahvala gre moji družini, ki so mi vedno
stali ob strani in me vzpodbujali na moji študijski
poti.
iv
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
Ključne besede: informacijska varnost, obvladovanje informatike, COBIT, zrelostni model,
standardi
UDK: 004.056.3:373.3(043.2)
Povzetek
Podjetja in organizacije se dnevno srečujejo z informacijsko tehnologijo, ki zahteva vedno
večjo stopnjo informacijske varnosti. Za dosego ustrezne stopnje informacijske varnosti in
upravljanja informacijske tehnologije je najpomembnejša močna povezava med poslovnim
vodstvom in vodstvom informatike ob ustrezno določenih ciljih in izvajanju tekočih
procesov. Pri izvajanju ciljev in procesov je priporočljivo upoštevati navodila mednarodnih
standardov družine ISO/IEC 27000.
Za dosego ustrezne informacijske varnosti in upravljanja informacijske tehnologije lahko
organizacija uporablja tudi druge standarde ali priporočila, ki jih predpisuje COBIT. Za
organizacije je ključnega pomena strateško načrtovanje informatike, zato nekatere za
doseganje tako poslovnih kot tudi informacijskih ciljev s pridom uporabljajo ogrodje COBIT.
Z uporabo ogrodja COBIT skozi zrelostni model merimo in vrednotimo procese, ki nam
služijo kot merilo pri umeščanju podjetja v ustrezno informacijsko raven.
Uvodni del diplomskega dela vsebuje splošne informacije o informacijski varnosti in
pomenu varnosti nasploh. Sledita mu opis standarda ISO/IEC in pregled družine
standardov ISO/IEC 27000. Osrednji del zajema pregled ogrodja COBIT in njegove
metodologije ter njegovo umestitev v osnovno šolo z namenom določitve zrelostne
stopnje in – ob ugotovljenih tveganjih in priporočilih za nadaljnje delo – izboljšanja
informacijske varnosti v šoli.
v
The evaluation of information security in Osnovna šola IV Murska Sobota with the introduction of control framework COBIT
Key words: information security, IT governance, COBIT, maturity model, standards
UDK: 004.056.3:373.3(043.2)
Abstract
Companies and organizations are daily confronted with information technology, which
always requires a higher level of information security. In order to achieve an appropriate
level of information security and information technology governance, is the most important
a strong relationship between business leadership and IT executives by properly defined
objectives and implementation of current processes. By implementing the objectives and
processes, it is advisable to consider guidance of international standards family ISO/IEC
27000.
In order to achieve the appropriate information security and IT governance, organization
may also apply to other standards or recommendations, prescribed by COBIT. For
organizations is crucial the strategic planning of information tehnology, so some
advantageously used COBIT framework, that serves them to achieve business and IT
objectives. With use of framework COBIT through maturity model we measure and
evaluate the processes, which serves as a criterion in positioning the company to
appropriate information level.
The introductory part of the diploma contains general information about the importance of
information security and security in general. Followed by a description of the ISO/IEC and
review of ISO/IEC 27000 family standards. The central part includes an overview of
framework COBIT and its methodologies as well placement of framework COBIT in an
elementary school with a view to determining the maturity level and having identified risks
and recommendations for further work to improve information security in the school.
vi
KAZALO
1 UVOD .............................................................................................................. 1
1.1 Opredelitev problema ................................................................................ 1
1.2 Namen in cilji diplomskega dela ................................................................ 2
1.3 Metode dela .............................................................................................. 2
1.4 Predpostavke in omejitve .......................................................................... 3
2 INFORMACIJSKA VARNOST ........................................................................ 4
2.1 Pomen informacijske varnosti ................................................................... 4
2.2 Osnovni principi ......................................................................................... 6
2.3 Informacijska varnostna politika ................................................................ 8
3 STANDARD ISO NA PODROČJU INFORMACIJSKE VARNOSTI ................ 9
3.1 ISO in IEC ................................................................................................. 9
3.2 ISO/IEC Standardi 27000 ........................................................................ 10
3.3 Splošni uvod v ISO/IEC 27001 ................................................................ 11
3.3.1 Delovanje standarda ISO/IEC 27001 ................................................ 12
3.3.2 Revizije ISO 27001 iz leta 2005 in 2013 ........................................... 14
3.3.3 Cikel nenehnega izboljševanja (DEMINGOV CIKEL) ....................... 16
3.4 ISO/IEC 27002:2005 ............................................................................... 18
3.5 Povezani standardi informacijske varnosti in drugi standardi .................. 18
4 CobiT ............................................................................................................. 20
4.1 Uvod v COBIT .......................................................................................... 20
4.2 Organizacija COBIT .................................................................................. 25
4.2.1 Osredotočenost na poslovanje ......................................................... 25
4.2.2 Usmerjenost na procese ................................................................... 27
4.2.2.1 Na podlagi kontrol ...................................................................... 30
4.2.2.2 Na podlagi meritev ..................................................................... 30
5 OCENA ZRELOSTNE STOPNJE V OSNOVNI ŠOLI IV ............................... 33
5.1 Predstavitev zavoda ................................................................................ 33
5.2 Predstavitev informacijskega sistema Osnovne šole IV Murska Sobota. 34
vii
5.3 Osnovne informacije o aplikativni programski opremi ............................. 35
5.4 Ocena učinkovitosti izbranih informacijskih procesov ............................. 36
5.4.1 PO1 – Opredelite strateški načrt za IT .............................................. 37
5.4.2 AI5 – Zagotovite vire IT ..................................................................... 42
5.4.3 DS5 – Zagotovite varnost sistemov .................................................. 44
5.4.4 DS11 – Upravljajte podatke .............................................................. 49
6 ZAKLJUČEK ................................................................................................. 55
7 LITERATURA IN VIRI ................................................................................... 57
viii
KAZALO SLIK
Slika 2.1: Shematični prikaz CIA-triade [6] ............................................................. 6
Slika 3.1: Pregled družine standarda ISO/IEC 27000 [24] .................................... 11
Slika 3.2: Število izdanih certifikatov ISO/IEC 27001 po celem svetu [28] ........... 11
Slika 3.3: Temeljna filozofija standarda ISO/IEC 27001 [27] ................................ 12
Slika 3.4: Upravljanje informacijske varnosti v podjetju [26] ................................. 13
Slika 3.5: Razvoj standarda ISO/IEC 27001 [15] .................................................. 14
Slika 3.6: Demingov cikel nenehnega izboljševanja (PDCA) [18] ......................... 17
Slika 4.1: Razvoj ogrodja COBIT [12] .................................................................... 21
Slika 4.2: Področja upravljanja informatike [13] .................................................... 22
Slika 4.3: Diagram produktov, zasnovanih na temeljih COBIT [13] ....................... 23
Slika 4.4: Medsebojne povezave komponent COBIT [13] ...................................... 24
Slika 4.5: Osnovno načelo COBIT [13] .................................................................. 25
Slika 4.6: Medsebojna povezava štirih domen COBIT [13] .................................... 27
Slika 4.7: Grafična predstavitev zrelostnih modelov [13] ...................................... 31
Slika 5.1: Zgradba omrežja OŠ IV MS .................................................................. 34
KAZALO TABEL
Tabela 4.1: Informacijski kriteriji COBIT 4.1 [13] .................................................... 26
Tabela 4.2: Procesi COBIT 4.1 [13] ....................................................................... 28
Tabela 4.3: Procesne in aplikativne COBIT kontrole [13] ...................................... 30
Tabela 4.4: Splošni zrelostni model [13] ............................................................... 32
ix
UPORABLJENE KRATICE
IKT – informacijsko-komunikacijska tehnologija
ROID – računalnikar, organizator informacijske dejavnosti
COBIT – Control Objectives for Information and related Technology
IT – Information Technology
ISACA – Information System Audit and Control Association
DOS – Denial of service
ISO – International Organization for Standardization
BSI – British Standards Institution
IEC – International Electrotechnical Commission
ITU – International Telecommunication Union
ISMS – Information security management system
SUVI – Sistem upravljanja varovanja informacij
OŠ IV MS – Osnovna šola IV Murska Sobota
IS – Information system
ITAF – Information Technology Assurance Framework
BMIS – Business Model for Information Security
CMM – Capability Maturity Model
ITIL – Information Technology Infrastructure Library
CMS – Content Management System
VLAN – Virtual Local Area Network
LAN – Local Area Network
ARNES – Akademska in raziskovalna mreža Slovenije
AD – Active Directory
DHCP – Dynamic Host Configuration Protocol
PHP – Hypertext Preprocessor
IIS – Internet Information Server
MIZŠ – Ministrstvo za izobraževanje, znanost in šport
CD – Compact Disc
DVD – Digital Versatile Disc
PGP – Pretty Good Privacy
WSUS – Windows Server Update Services
USB – Universal Serial Bus
DBA – Database Administrator
x
RAID – Redundant array of independent disks
EES – Enrollment for Education Solutions
AAI – Authentication and Authorization Infrastructure
SIO – Slovensko izobraževalno omrežje
IDM – Identity Management
SOX – Sarbanes-Oxley Act
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
1
1 UVOD
1.1 Opredelitev problema
Informacijsko-komunikacijska tehnologija (IKT) je dandanes nepogrešljiv dejavnik v
šolstvu.
Poučevanje in oblike komunikacije se s prihodom novih tehnologij iz leta v leto
spreminjajo oziroma dopolnjujejo. Vedno večja je potreba po novih tehnologijah, ki so
podpora zaposlenim pri njihovem vsakdanjem delu in dodana vrednost učenčevega
izobraževanja.
Ni več zaposlenega ali učenca na šoli, ki ne bi dnevno uporabljal vsaj ene od elektronskih
naprav, ki mu omogoča ažurno komunikacijo in dostop do informacij v določenem
trenutku. Z večanjem uporabe IKT, strojne opreme in storitev, ki nam jih tovrstne naprave
omogočajo, se povečuje tudi povpraševanje po različnih oblikah varovanja.
Ker je informacijska varnost povezana tudi s stroški podjetja, si osnovne šole kot
neprofitne organizacije težko privoščijo optimalne rešitve informacijske varnosti. Po
manjših šolah, kot je naša, je informacijska varnost prepuščena iznajdljivosti
računalnikarja-organizatorja informacijske dejavnosti (ROID).
V zadnjem desetletju je v šolstvu prišlo do velike spremembe v IKT, ponudba je vedno
večja, želje uporabnikov pa tudi. Sistemizacija delovnega mesta ROID se v zadnjih dveh
desetletjih ni spremenila.
Posledično je obvladovanje informacijske varnosti oteženo, saj je ta zaradi časovnega
okvira ROID-ja, ki ga ima na razpolago za tovrstno dejavnost, nesistematična in brez
procesnega izvajanja. Zaradi tega lahko hitro pride do izgube oz. zlorabe informacij.
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
2
1.2 Namen in cilji diplomskega dela
V diplomski nalogi želimo prikazati, kako v sodelovanju z vodstvom izboljšati informacijsko
varnost na osnovni šoli ob finančnih virih, ki so na razpolago, hkrati pa obdržati varovanje
podatkov in opreme na nivoju, potrebnem za šolstvo.
Osredotočili bi se na celotno organizacijo, tako administrativni kot pedagoški del, kjer se
nahajajo podatki zaupne narave, kot so: osebne mape učencev, pogodbe zaposlenih,
razni dokumenti, potrdila, domenski in spletni strežnik, omrežna infrastruktura, digitalna
potrdila za dostop do vladnih aplikacij, gesla, aktivni imenik itd.
Z vpeljavo kontrolnega okvirja COBIT v javni zavod bomo izdelali oceno zrelostne stopnje
izbranih informacijskih procesov, s katero želimo določiti trenutno stanje informacijske
varnosti v zavodu in jo v bodoče izboljšati.
Cilji:
podati splošne smernice o informacijski varnosti,
preučiti okvir za nadzor in upravljanje COBIT,
osnovna predstavitev ISO standarda in predstavitev ISO/IEC Standarda 27002,
vpeljava okvirja COBIT v javni zavod, kot je Osnovna šola IV Murska Sobota,
identificirati tveganja,
postaviti oceno zrelostne stopnje,
izboljšati informacijsko varnost v zavodu.
1.3 Metode dela
V diplomski nalogi bomo uporabili opisno oz. deskriptivno metodo, podkrepljeno s študijo
različne domače in tuje literature. V analitičnem delu bomo uporabili metodo študije
primera, na podlagi katere bomo z uporabo okvirja za nadzor in upravljanje COBIT pridobili
oceno zrelostne stopnje zavoda.
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
3
1.4 Predpostavke in omejitve
Zaradi zelo širokega področja, ki ga zajema informacijska varnost, se bomo v nalogi
omejili zgolj na področja in rešitve, ki so blizu organizacijam, kot je naša. Pri analizi
obstoječega stanja v našem zavodu bomo poskušali ob vpeljavi kontrolnega okvirja
COBIT, lastnega znanja, poznavanja in izkušenj izboljšati informacijsko varnost v šoli.
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
4
2 INFORMACIJSKA VARNOST
Varovanje informacij je dandanes za podjetja in organizacije eno najbolj pomembnih
poslovnih vprašanj. Vedno večja je zaskrbljenost posameznika po varovanju občutljivih
osebnih podatkov, poslovnih podatkov, verodostojnosti, celovitosti poslovnih podatkov itn.
Zaradi slednjega je zahteva po uveljavitvi vedno novih zakonov in predpisov, ki bodo
zagotavljali, da bodo podjetja ustrezno obravnavala varovanje lastnih podatkov in
podatkov, ki so jim zaupani v upravljanje, nujna [3].
Javne institucije in privatna podjetja kopičijo velike količine zaupnih informacij o svojih
zaposlenih, strankah, proizvodih, raziskavah in finančnem položaju. Večina teh informacij
je zbrana, obdelana in shranjena na računalnikih in prenesena preko različnih medijev na
druge računalnike. Varovanje zaupnih podatkov je tako poslovna kot v mnogih primerih
tudi etična in pravna zahteva. Za posameznika je opazen vpliv informacijske varnosti na
zasebnost, ki pa se v različnih kulturah obravnava različno [2].
V zadnjih letih postaja področje informacijske varnosti vedno bolj pomembno. Podjetja in
organizacije se zavedajo, da je celovitost in zaupnost informacij, s katerimi poslujejo,
ključnega pomena. Z namenom ohranitve in nadaljnjega razvoja poslovanja je potreba po
zaščiti informacij neizbežna [5].
2.1 Pomen informacijske varnosti
Varnost je proces varovanja pred poškodbo ali namerno škodo. Varnost tudi določa
ukrepe, ki jih proces uvede.
Informacija je sredstvo, ključno za delovanje organizacije, ki mora biti primerno zaščitena
v vseh povezanih poslovnih okoljih.
Informacija je lahko tiskana, zapisana na papir, v elektronski obliki, poslana po navadni in
elektronski pošti, prikazana na video posnetkih, predvajana po zvočnem posnetku ali
predstavljena med pogovorom. Če je informacija zaupne narave, jo ne glede na obliko
moramo zaščititi [4].
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
5
Za varovanje informacij in informacijskih sistemov se je uveljavil izraz informacijska
varnost (angl. Information security) [6].
Informacijska varnost pomeni varstvo podatkov in informacijskih sistemov pred
nezakonitim dostopom, uporabo, razkritjem, ločitvijo, spremembo ali uničenjem [2].
Informacijska varnost je (Peltier, 2001):
»proces varovanja vrednih informacijskih sredstev pred neavtoriziranim
dostopom, uporabo, razkritjem, motnjami, spremembo in uničenjem«
[6].
Različni standardi uporabljajo podobne definicije za informacijsko varnost.
ISO/IEC 27002 (2005) definira informacijsko varnost kot:
»ohranjanje zaupnosti, celovitosti in razpoložljivosti informacij. Poleg
tega tudi ohranjanje drugih lastnosti, kot so verodostojnost,
odgovornost, neovrgljivost in zanesljivost« [6].
ISACA podaja naslednjo definicijo informacijske varnosti, in sicer je to:
»zagotavljanje, da imajo samo pooblaščeni uporabniki (zaupnost)
dostop do točnih in popolnih podatkov (celovitost), kadar je to potrebno
(razpoložljivost)« [10].
Izraz informacijska varnost pogosto pomeni tudi računalniška varnost (angl. computer
security, IT security). Ko začnemo razmišljati o računalniški varnosti, se moramo zavedati,
da nobena varnost ni absolutna. Za večjo varnost smo uvedli različna pravila, standarde,
postopke itd., ki so ovira kibernetičnim zlonamernežem pri njihovem delu, saj jim otežijo
dostop do varovanih informacij. Hkrati te ovire omejujejo uporabnike, ki do teh informacij
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
6
dostopajo zakonito. Da bi varovanje informacij bilo zadovoljivo, je treba najti ravnotežje
med varnostjo in produktivnostjo. Z večanjem ovir si bodo tudi upravičeni uporabniki
informacij poiskali pot okrog teh ovir, ki jih bo pripeljala do njihovega cilja, na čim lažji
način [7].
2.2 Osnovni principi
Osnovni principi informacijske varnosti so zaupnost, neokrnjenost in razpoložljivost –
poznano kot CIA-triada (ang. confidentiality, integrity and availability) [5].
Slika 2.1: Shematični prikaz CIA-triade [6]
Da bi se izognili zmedi poimenovanja modela CIA, ki lahko pomeni tudi Centralna
obveščevalna agencija, se ponekod model označuje kot AIC-triada [8].
Ta tri ključna načela bi morala biti vodilo vsakega informacijskega sistema. Uporabljamo
jih pri vseh spektrih varnostne analize, vse od dostopa do želenega sistema,
uporabnikove zgodovine interneta kakor tudi pri zaščiti zaupnih podatkov, ki se pretakajo
preko interneta. Kršitev katerega koli od teh treh načel ima lahko resne posledice za vse
vpletene deležnike [1].
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
7
Zaupnost
Zaupnost preprečuje nepooblaščeno razkritje občutljivih informacij. Je sposobnost, ki
zagotovi, da se izvrši potrebna stopnja tajnosti in da so informacije prikrite pred
nepooblaščenim dostopom. Ko gre za varnost, je zaupnost morda najbolj očiten vidik
triade CIA in hkrati najpogosteje napaden vidik.
Kriptografija in šifrirne metode zagotavljajo zaupnost prenesenih podatkov z enega
računalnika na drugega. Na primer: ko uporabnik izvede bančno transakcijo, želi zaščititi
zasebnost podatkov o računu, kot sta geslo in številka kreditne kartice. Pri prenosu
občutljivih podatkov preko skupnega medija nam kriptografija zagotavlja varen prenos od
oddajnika do prejemnika [14].
Celovitost
V informacijski varnosti celovitost pomeni, da podatki ne smejo biti ustvarjeni, spremenjeni
ali uničeni brez pooblastila. Preprečuje neavtorizirano spremembo podatkov, sistemov in
informacij, s čimer zagotavlja natančnost sistemov in informacij. Če so naši podatki
celoviti, smo lahko prepričani v nespremenjeno in natančno predstavitev prvotnih
informacij. Najpogostejša oblika varnostnega napada je »man-in-the-middle«. Pri tej obliki
napada vsiljivec med prenosom spremeni prestrežene podatke [14].
Razpoložljivost
Razpoložljivost je preprečevanje izgube dostopa do virov in informacij z zagotovitvijo, da
so podatki pripravljeni na uporabo, ko je to potrebno.
Zagotavljanje razpoložljivosti se nanaša na vse glavne dele informacijskega sistema:
sistemska oprema, programska oprema, podatki/informacije in ljudje [18].
Nujno moramo zagotoviti, da so zahtevane informacije pooblaščenim uporabnikom
dostopne ves čas.
Zavrnitev storitve DoS (Denial of service) je ena izmed več vrst varnostnih napadov, ki
poskuša s pogostimi motnjami storitev onemogočiti dostop ustreznega uporabnika.
Zavrnitev storitve je nasprotje razpoložljivosti [14].
Informacijska varnost poleg osnovnih principov zaupanja, celovitosti in razpoložljivosti
upošteva tudi druge principe varnosti.
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
8
Alternativni model za klasično CIA-triado je leta 2002 predlagal g. Donn Parker in ga
poimenoval kot model šestih pomembnih elementov informacije. Ta model poleg osnovnih
principov informacijske varnosti vsebuje še uporabnost, verodostojnost in posest [1].
2.3 Informacijska varnostna politika
Izvajanje varnostne politike je ključni dejavnik, ki pomembno vpliva na poslovanje podjetja
ali organizacije. Pomembno je, da se njene priprave lotimo natančno in organizirano z
upoštevanjem različnih področnih standardov, še posebej družine ISO 27000 (opisana je
v naslednjem poglavju).
Ko razmišljamo o informacijski varnosti, moramo imeti v mislih tudi tri osnovne dele
informacijskega sistema: strojno in programsko opremo ter komunikacijo. Varnostna
politika je dokument o tem, kaj pomeni varnost za podjetje ali organizacijo in kaj za njun
informacijski sistem. Obravnava zelo široko področje, ki zajema zahteve in omejitve glede
vedenja oseb oziroma uporabnikov kakor tudi zahteve o strojnih in programskih
mehanizmih, kot so vrata, ključi, kriptografska strojna in programska oprema, elektronski
certifikati, varnostna gesla itd. Mehanizmi, ki so predpisani z varnostno politiko, morajo biti
dovolj močni, da zagotovijo zahtevano stopnjo varnosti.
Varnostna politika informacijskega sistema je v prvi vrsti namenjena nam samim,
organizaciji ali podjetju. Pomaga nam, da varujemo in ustrezno hranimo podatke pred
razkritjem ter zagotavljamo visoko stopnjo njihove celovitosti in razpoložljivosti.
Zmotno je mišljenje, da je varnostna politika informacijskega sistema le skupek pravil, ki
jih za izbrani del informacijskega sistema ali storitev pripravimo z namenom pridobitve
certifikata skladnosti ISO 27001:2013, s katerim se lahko pohvalimo pred odjemalci naših
izdelkov ali storitev ali pred strankami [19].
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
9
3 STANDARD ISO NA PODROČJU INFORMACIJSKE VARNOSTI
Leta 2000 je International Organisation for Standardisation (ISO) objavila standard
ISO/IEC (International Electrotechnical Commission) 17799:2000, "Kodeks za vodenje
varovanja informacij".
Standard ISO 17799 je bil razvit na osnovi standarda BS7799 organizacije British
Standards Institution (BSI).
Cilj standarda ISO 17799 je omogočiti podjetjem zmanjšanje tistih IT-groženj, ki izhajajo iz
fizičnih okvar, zlorab in industrijskega vohunjenja. Kot navaja ISO, je namen standarda
ISO 17799
»zagotoviti skupno osnovo za razvoj standardov za varovanje
organizacij in učinkovito prakso vodenja varnosti in za zagotovitev
zaupanja v medorganizacijsko poslovanje« [6].
Leta 2002 je bila izdana revizija BS 7799 (drugi del). Namen BS 7799-2 je bil uskladitev z
drugimi standardi, ki pokrivajo sisteme vodenja. Postavil je specifikacije za vodenje
informacijske varnosti in priporočila za vzpostavitev učinkovitega SUVI [6].
3.1 ISO in IEC
Mednarodna organizacija za standarde (ISO) je združenje s centralnim sekretariatom v
Ženevi, ki ga pri razvoju svetovnih standardov zastopa več kot 150 držav. Dandanes je
objavljenih več kot 16.000 standardov, po katerih se današnje organizacije certificirajo.
ISO je največji svetovni razvijalec standardov.
ISO 15443: »Informacijska tehnologija – Varnostne tehnike – Okvir za
zagotavljanje IT-varnosti«.
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
10
ISO-1779: »Informacijska tehnologija – Varnostne tehnike – Kode za izvajanje
informacijskih varnostnih ukrepov«.
ISO-27001: »Informacijska tehnologija – Varnostne tehnike – Sistemi za
zagotavljanje informacijske varnosti«
Slednji standard je še posebej zanimiv specialistom za informacijsko varnost [9].
Med najbolj znane standarde spadata družina ISO 9000 s ciljem upravljanja kvalitete
podjetja in družina ISO 14000, ki deluje na področju ravnanja z okoljem. ISO tesno
sodeluje z različnimi partnerji.
Na področju informacijsko-telekomunikacijske tehnologije so to še posebej Mednarodna
komisija za elektrotehniko (IEC), Mednarodni standardizacijski organ za elektrotehniko s
sedežem v Ženevi, sestavljen iz več kot 50 držav članic, ki so članice v obliki
nacionalnega komiteja, kot tudi mednarodnega telekomunikacijskega združenja (ITU),
specializirane agencije Združenih narodov z več kot 190 državami članicami za
standardizacijo in razvoj telekomunikacij [20].
3.2 ISO/IEC Standardi 27000
Družina standardov ISO 27000, ki jo prikazuje Slika 3.1, je pomembna predvsem zaradi
svoje splošnosti in uporabnosti na različnih področjih informatike. Gradi na starejših
standardih, še posebej na ISO 17799 in na britanskem BS 7799 standardu, ki mu dodaja
kopico posodobitev, temelječih na dobrih in uveljavljenih praksah.
Z vidika varovanja IT, ISO in IEC delujeta v okviru združenih skupin tako imenovanega
»Joint Technical Commitee 1 – Subcommittee 27«.
Ta skupina obsega več kot 30 članov in pod imenom ISO/IEC 2700x razvija vrsto
standardov s področja informacijske varnosti.
Medtem ko ISO/IEC 27000 pojasnjuje osnovne pojme standarda, oblikuje ISO/IEC 27001
osrednji del iste družine standarda, ki služi kot osnova za certificiranje. Ta osrednji del
zajema le del standarda, ki ga dopolnjujejo drugi standardi. Pri tem pride še posebej v
ospredje standard ISO/IEC 27002, ki deluje na področju nadzornih ciljev in ukrepov [19].
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
11
Slika 3.1: Pregled družine standarda ISO/IEC 27000 [24]
3.3 Splošni uvod v ISO/IEC 27001
ISO 27001 je mednarodni standard, objavljen s strani Mednarodne organizacije za
standardizacijo (ISO), in opisuje, kako upravljati z informacijsko varnostjo v podjetju oz.
organizaciji. Najnovejša različica tega standarda je bila objavljena leta 2013, njen popolni
naziv pa se glasi ISO/IEC 27001:2013. Prva revizija standarda je bila objavljena leta
2005, razvita pa je bila na temeljih britanskega standarda BS 7799-2.
Slika 3.2: Število izdanih certifikatov ISO/IEC 27001 po celem svetu [28]
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
12
ISO 27001 standard lahko implementiramo v poljubno organizacijo, profitno ali neprofitno,
privatno ali javno, malo ali veliko. Napisali so ga najboljši svetovni strokovnjaki s področja
informacijske varnosti in prepisuje metodologijo za vzpostavitev upravljanja informacijske
varnosti v organizaciji. Zraven tega omogoča organizacijam pridobivanje certifikata, kar
pomeni, da neodvisno certifikacijsko telo da potrdilo o tem, da je organizacija
implementirala informacijsko varnost skladno z ISO 27001 standardom.
ISO 27001 je postal največkrat uporabljan standard informacijske varnosti v svetu, po
katerem so se certificirala mnoga podjetja. Slika 3.2 prikazuje skupno število izdanih
certifikatov ISO/IEC 27001 po celem svetu [28].
3.3.1 Delovanje standarda ISO/IEC 27001
ISO/IEC 27001 je osredotočen na zaščito integritete, celovitosti in dostopnosti podatkov v
organizaciji. Temu zadostimo s prepoznavanjem potencialnih groženj, ki se lahko pripetijo
podatkom (podamo tako imenovano oceno tveganj), in definiramo vse potrebno za
preprečitev tovrstnih groženj (način ali obravnava tveganj).
Temeljna filozofija standarda ISO 27001 je zasnovana na upravljanju tveganj, njihovemu
prepoznavanju in obravnavi, kot prikazuje Slika 3.3.
Slika 3.3: Temeljna filozofija standarda ISO/IEC 27001 [27]
Varnostni ukrepi, ki jih izvajamo, so običajno v obliki usmeritev, postopkov ter tehnične
narave (npr.: strojna in programska oprema). V večini primerov podjetja že imajo celotno
strojno in programsko opremo, ampak jo uporabljajo na nevaren način. S tega vidika se
ISO 27001 okvir
Ocena in obravnava tveganj
Izvajanje varnostnih ukrepov
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
13
večina uporabe standarda ISO/IEC 27001 odraža v vzpostavitvi organizacijskih predpisov,
ki so potrebni za doseganje želene varnosti.
V primeru, da takšna uporaba zahteva upravljanje številnih politik, postopkov, oseb,
sredstev itd., nam ISO opisuje način, kako povezati vse potrebne elemente v sistem
upravljanja informacijske varnosti (ISMS).
Upravljanje informacijske varnosti se ne odraža le v IT-varnosti (požarni zidovi, zaščita
pred zlonamernimi programi, virusi itd.), temveč na upravljanju procesov, pravni zaščiti,
upravljanju osebja, fizični zaščiti in podobnem [27].
Kje v podjetju vključiti upravljanje informacijske varnosti?
Dejstvo je, da je informacijska varnost del celotnega upravljanja tveganj v podjetju, ki
pokriva področja računalniške varnosti, vodenja neprekinjenega poslovanja in upravljanja
informacijskih tehnologij [26].
Slika 3.4: Upravljanje informacijske varnosti v podjetju [26]
Upravljanje tveganj
Računalniška varnost
Neprekinjeno poslovanje
Informacijska varnost
Informacijska tehnologija
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
14
3.3.2 Revizije ISO 27001 iz leta 2005 in 2013
Kot smo prej omenili, je bil ISO 27001 prvič objavljen leta 2005 in dopolnjen leta 2013.
Trenutno je veljavna različica ISO/IEC 27001:2013.
Najpomembnejše spremembe različice 2013 se nanašajo na strukturo glavnega dela
standarda, interesnih skupin, ciljev, spremljanja in merjenja. Nekatere zahteve, kot so
preventivni ukrepi in zahteva po dokumentiranju posebnih postopkov, so bile v različici
2013 odstranjene.
Vse te spremembe standarda kot celote pravzaprav niso veliko spremenile. Njegova
osnovna filozofija še vedno temelji na oceni in upravljanju tveganj, hkrati pa na isti način
ohranja področja oblikovanja, izvajanja, pregleda in izboljšav. Nova različica je lažja za
branje in razumevanje in jo je veliko lažje integrirati z drugimi standardi upravljanja, kot so
ISO 9001, ISO 22301 itd. [27].
Slika 3.5: Razvoj standarda ISO/IEC 27001 [15]
ISO/IEC 27001:2005 standard temelji na seznamu 133 kontrol, predstavljenih v 11
poglavjih, ki jih morajo organizacije izpolnjevati. Opisuje proces upravljanja tveganj in
njegove aktivnosti, s katerimi zagotavljamo informacijsko varnost. Ne določa, ne predlaga,
ne imenuje kakršne koli metode za analizo tveganj. Določa pa strukturirane, sistematične
in natančno določene procese (od analize do izdelave načrtov upravljanja).
Poglavja, ki jih zajema, so:
varnostna politika,
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
15
organizacija varovanja informacij,
upravljanje sredstev,
varovanje človeških virov,
fizična zaščita in zaščita okolja,
upravljanje s komunikacijami in produkcijo,
nadzor dostopa,
nakup, razvoj in vzdrževanje informacijskih sistemov,
ravnanje z incidenti pri varovanju informacij,
upravljanje neprekinjenega poslovanja,
združljivost.
Učinkovit sistem upravljanja informacijske varnosti predpostavlja sistematično upravljanje
informacijskih tveganj, ki mora biti skladno s potrebami, usmeritvami in okoljem, v katerem
organizacija deluje. Navsezadnje mora biti upravljanje informacijskih tveganj v skladu z
upravljanjem vseh tveganj, s katerimi se organizacija srečuje. Varnostne usmeritve se
nanašajo na pravočasno in učinkovito upravljanje tveganj na področjih in v času, ko je to
potrebno. Gre za proces, ki ga je treba vzpostaviti in ga po vzpostavitvi stalno izvajati in
dopolnjevati.
Nova verzija standarda ISO/IEC 27001 je bila izdana novembra 2013 »Sistemi
upravljanja informacijske varnosti – Zahteve«.
Mednarodni standard ISO/IEC 27001:2013 je pripravil pododbor združenega
tehničnega odbora Mednarodne organizacije za standardizacijo in Mednarodne
elektrotehniške komisije ISO/IEC JTC 1/SC 27 Varnostne tehnike v informacijski
tehnologiji.
Struktura nove verzije standarda je skladna s strukturo, ki jo je predpisal ISO Tehnični
odbor, in hkrati enaka strukturi, ki je predvidena za vse standarde vodenja. S
skladnostjo vseh standardov bodo organizacije lažje integrirale različne sisteme
vodenja, kot so sistem vodenja kakovosti, ravnanja z okoljem, vodenja varnosti in
zdravja pri delu).
Za razliko od ISO 27001:2005, ki je zajemal 11 poglavij, nov standard sedaj zajema
10 poglavij:
področje uporabe,
zveza s standardi,
izrazi in definicije,
okvir organizacije,
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
16
voditeljstvo,
načrtovanje,
podpora,
delovanje,
vrednotenje,
izboljševanje.
Uvedene so vsebinske spremembe na tehničnem področju kot tudi na področju
upravljanja sistema. Standard v večji meri zajema vsa aktualna področja
informacijskih tehnologij in je osredotočen na oceno in odpravo tveganj z namenom,
da se zadosti potrebam organizacije [21].
Osrednja tema ISO/IEC 27001 je razumevanje informacijske varnosti kot načrtovanega,
planiranega, uvedenega, kontroliranega in nenehno izboljšujočega se procesa. V ta
namen standard uporablja model »Plan, Do, Check, Act«, znan tudi pod imenom PDCA-
model ali Demingov model [20].
3.3.3 Cikel nenehnega izboljševanja (DEMINGOV CIKEL)
K upravljanju varovanja informacij moramo pristopiti procesno. Upravljanje je proces, ki
informacije na vhodu preko procesnega dela pretvarja v izhode.
Proces varovanja informacij popišemo z znanim krogom PDCA (Plan, Do, Check, Act), ki
zagotavlja nenehno nadzorovanje in izboljševanje procesa varovanja informacij.
S procesnim pristopom se srečamo že pri vzpostavitvi sistema upravljanja varovanja
informacij in analizi tveganj. Najprej popišemo informacijske vire, ki jih nato umestimo
znotraj procesov. Pri samem umeščanju moramo popisati in določiti ustrezne procese, ki
vsebujejo opredeljene informacijske vire.
Za oblikovanje procesov velikokrat izhajamo iz organizacijske sheme organizacije, kar pa
ni vedno najboljši način. V nekaterih primerih je bolj smotrno oblikovati procese glede na
vsebino in izvajanje posameznih funkcij znotraj organizacije. Po opredelitvi procesov
sledijo popis, razvrščanje in umeščanje informacijskih virov v procese.
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
17
Sledi ocenjevanje tveganj, kjer ovrednotimo vire, določimo ranljivosti in grožnje ter
opredelimo velikosti posameznih tveganj. Nadalje ta tveganja tudi obravnavamo. Cilj je
zmanjšanje nesprejemljivih tveganj na raven, določeno s kriterijem sprejemljivosti.
Glavna naloga je zmanjšanje nesprejemljivih tveganj, kar lahko dosežemo z izbiro
ustreznih nadzorstev oziroma z zavarovanjem tveganj pri zavarovalnici ali s prenosom
tveganj na drugo osebo. Sledi izdelava načrta obravnave tveganj. Ta predstavlja formalni
načrt za uvajanje ukrepov za zmanjševanje tveganj. V načrtu opredelimo odgovornosti za
obravnavo tveganj, prioritete, cene ukrepov, potrebne tehnologije, potrebno delo za
vpeljavo in izobraževanje ter terminski rok izvedbe.
Rezultati obravnave tveganj zgolj opredeljujejo, katera nadzorstva potrebujemo, v načrtu
obravnave pa podrobneje opredelimo in ovrednotimo izbrano možnost obravnave
tveganja. Natančno ugotavljamo, kako tveganja zmanjšati in koliko finančnih sredstev bo
potrebnih za zmanjševanje tveganj. Če cena za odpravo tveganj presega finančne
zmožnosti organizacije ali podjetja, nastane potreba po ponovnem potrjevanju upravljanja.
Obravnava tveganj, ki je bila na prvi pogled najprimernejša, tako ni najustreznejša,
moramo jo izboljšati ali spremeniti, zato se vrnemo na točko tovrstne obravnave. V tem
primeru uporabimo krog izboljševanja (PDCA) za doseganje pričakovanih ciljev
upravljanja in postopek ponavljamo, dokler ne dosežemo ustrezne ravni tveganja [25].
Slika 3.6: Demingov cikel nenehnega izboljševanja (PDCA) [18]
Vpeljava
in izvajanje
Vzpostavitev
Vzdrževanje
in izboljševanje
Spremljanje
in nadzor
Planiraj
Uvedi
Kontroliraj
Korigiraj P
D
C
A
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
18
3.4 ISO/IEC 27002:2005
Zgodba o nastanku
Britanski standard BS 7799-1 je v letu 2000 služil kot osnova za tedaj na novo nastali
standard ISO/IEC 17799. V vmesnem času je bil ta isti ISO standard predelan in v juliju
2005 tudi objavljen. Da bi se uporabljala enotna poimenovanja standardov, je bil standard
v juliju 2007 preimenovan v ISO/IEC 27002:2005. Vsebinsko se standard ISO/IEC
17799:2005 v ničemer ne razlikuje od standarda ISO/IEC 27002:2005. V tem diplomskem
delu smo za opis tega standarda uporabili okrajšavo (ISO/IEC 27002 ali ISO 27002).
Vsebina
Pri vpeljavi standarda je poudarek na področju informacijske varnosti. Treba je omeniti, da
se informacije ne pojavljajo le v elektronski obliki, ampak so podane tudi v obliki ročno
napisanih zapiskov ali pogovorov.
Poleg tega je na začetku ponovno poudarjena pomembnost ocene tveganj, ki nam služi
kot izhodišče pri izbiri kontrol.
Glavni del standarda ISO/IEC 27002 je sestavljen iz 11 poglavij, tako imenovanih
"klavzul", s skupno 39 varnostnih kategorij.
Za vsako vrsto tveganja je podan kontrolni cilj, v katerem se določi, kaj želimo sploh
doseči. Poleg tega je v vsakem primeru – v obliki ukrepov – opredeljena ena ali več
kontrol, ki prispevajo k doseganju kontrolnega cilja. V celoti standard vključuje 133 kontrol,
od katerih vsaka vsebuje nadaljnja navodila in pomoč.
ISO/IEC 27002 standard je posredno povezan s SOX (angl.: Sarbanes-Oxley Act), ki med
drugim v uvodu in poglavju »Pritožbe« zahteva, da se opredelijo pravne zahteve, ki služijo
kot izhodišče pri sprejemanju potrebnih ukrepov [20].
3.5 Povezani standardi informacijske varnosti in drugi standardi
ISO/IEC 27002 podaja smernice za izvajanje varnostnih ukrepov, navedenih v ISO 27001.
ISO 27001 specificira 114 varnostnih ukrepov, ki se lahko uporabijo za zmanjševanje
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
19
varnostnih tveganj. Pri tem je ISO 27002 lahko zelo koristen, saj navaja podrobnosti o
tem, kako implementirati te ukrepe.
ISO 27004 podaja smernice za merjenje informacijske varnosti in se dobro usklajuje z ISO
27001, saj pojasnjuje, kako ugotoviti, ali je sistem za upravljanje informacijske varnosti
dosegel svoje cilje.
ISO 27005 podaja smernice za upravljanje tveganj informacijske varnosti. To je zelo
dober dodatek k ISO 27001, saj daje napotke o tem, kako izvesti oceno tveganja in
obravnavanje tveganja, kar je verjetno najbolj zahtevna faza izvajanja. ISO 27005 izhaja
iz britanskega standarda BS 7799-3.
ISO 22301 podaja smernice za sisteme vodenja neprekinjenega poslovanja in se zelo
dobro usklajuje z ISO 27001, saj poglavje A.17 iz ISO 27001 zahteva implementiranje
neprekinjenega poslovanja, vendar ne tako podrobno kot ISO 22301 [26].
ISO 9001 podaja smernice za sisteme vodenja kakovosti. Če tudi vodenje kakovosti in
vodenje informacijske varnosti na prvi pogled nimata dosti skupnega, je dejstvo, da je
okrog 25 % smernic standarda ISO 27001 in ISO 9001 enakih: kontrola dokumentov,
notranje revizije, pregled upravljanja, korektivni ukrepi, postavljanje ciljev in upravljanje
odgovornosti. Za podjetja, ki že izvajajo ISO 9001, bosta uvedba in prehod na ISO 27001
veliko lažja [27].
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
20
4 COBIT
4.1 Uvod v COBIT
Za razvoj COBIT-a skrbi ISACA®, ki je bila ustanovljena leta 1969 in ima danes več kot
115.000 članov v 180 državah. Je zaupanja vreden vir znanja, standardov, mreženja in
priložnosti za razvoj kariere za strokovnjake revidiranja, dajanja zagotovil, varnosti,
tveganj, zasebnosti in upravljanja informacijskih sistemov (IS). Vodjem poslovanja in IT
pomaga ustvarjati zaupanje v informacije in informacijske sisteme in korist od njih. ISACA
ponuja Cybersecurity NexusTM, celovit skupek virov za strokovnjake za varnost na
internetu, in poslovni okvir COBIT®, ki podjetjem pomaga pri upravljanju in ravnanju s
svojimi informacijami in tehnologijo. Združenje ima več kot 200 odsekov po vsem svetu
[10].
COBIT do sedaj šteje pet glavnih različic. Prva različica COBIT-a je bila izdana leta 1996.
Leta 1998 je sledila druga različica, ki dodaja področje "Kontrol". S tretjo različico – leta
2000 – je bilo dodano še področje "Smernice za vodenje". Prva spletna različica je bila na
voljo leta 2003. V decembru leta 2005 je bila izdana četrta različica, ki jo je v mesecu
maju leta 2007 nadgradila različica 4.1.
Trenutno aktualna različica je COBIT 5, ki je bila izdana leta 2012. Ta različica združuje in
vključuje COBIT 4.1, Val IT 2.0 in Risk IT okvir, obenem pa črpa precej iz poslovnega
modela informacijske varnosti (BMIS – Business Model For Information Security) in (ITAF
– IT Assurance Framework). Potek razvoja ogrodja COBIT je grafično opredeljen na Sliki
4.1 [3].
COBIT je osnovan na ustaljenih okvirjih, kot so CMM, ISO 9000, ITIL ter ISO 27002, in na
mnogih dobrih praksah, ki jih povezuje s poslovnimi potrebami.
Čeprav je usmerjen k procesom, COBIT ne vključuje definicije procesov in njihovih
korakov. Je okvir za nadzor in upravljanje in ne procesni okvir. Osredotoča se na
vprašanje, kaj mora organizacija doseči, in ne, kako to izvesti [30].
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
21
COBIT pomaga s stališča upravljanja storitev definirati, kaj je treba storiti, in ne, kako to
storiti.
Slika 4.1: Razvoj ogrodja COBIT [12]
COBIT 4.1 je uradno znan kot kontrolni cilj za informacijsko in sorodno tehnologijo (Control
Objectives For Information and Related Technologies), ki razvršča IT v štiri področja:
Načrtujte in organizirajte (PO),
Nabavite in vpeljite (AI),
Izvajajte in podpirajte (DS),
Spremljajte in vrednotite (ME).
COBIT podpira poslovno kakor tudi IT-vodstvo ter upravljavce pri opredeljevanju in
doseganju poslovnih ciljev in sorodnih ciljev IT z namenom, da poskrbi za celosten model
vodenja, upravljanja, nadzora in zagotavljanja IT. Je popoln, mednarodno priznan okvir
procesov IT, ki opisuje procese IT in z njimi povezane nadzorne cilje, smernice upravljanja
(dejavnosti, zadolžitve, odgovornosti in merila učinkovitosti) ter zrelostne modele. COBIT
podpira vodstvo podjetja pri razvoju, uvedbi neprestanega izboljševanja ter nadzoru
dobrih praks, povezanih z IT [10].
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
22
Ciljna področja upravljanja IT
Ciljna področja IT, prikazana na Sliki 4.2, sestavlja pet med seboj povezanih področij, ki
opisujejo teme, ki jih mora izvršno vodstvo obravnavati za vodenje IT znotraj podjetij.
Slika 4.2: Področja upravljanja informatike [13]
Strateška uskladitev zagotavlja, da se poslovni in IT-načrti povezujejo, in
zagotavlja, da se usklajuje delovanje IT z delovanjem podjetja. Za doseganje
dolgoročnih uspehov organizacije je ključnega pomena razumevanje poslovnih
ciljev organizacije in vzpostavitev strateške usklajenosti med informatiko in
poslovanjem celotne organizacije [13, 16].
Ustvarjanje vrednosti obravnava uresničevanje predloga za povečanje vrednosti
skozi celoten cikel dobave in zagotavljanje obljubljenih koristi IT glede na
strategijo, pri čemer se osredotoči na optimiziranje stroškov in dokazovanje
resnične vrednosti IT. Opredeljuje, kako organizirati in upravljati informatiko, da
postane sredstvo ustvarjanja nove vrednosti in ne samo strošek.
Upravljanje virov obravnava optimalne investicije in uspešno upravlja kritične vire
IT (poslovni procesi, kadri, aplikacije, poslovni podatki, infrastruktura). Omogoča
jasno preglednost in kontrolo nad svojimi viri, boljše načrtovanje, iskanje,
dodeljevanje in prerazporejanje potrebnih virov ter njihovo optimizacijo [13].
Upravljanje tveganja zahteva, da se vodstvo zaveda morebitnih tveganj in da
jasno razume ravni tveganj za podjetje, ki so lahko spremenljiva. Opredeli, kdo je
zadolžen za upravljanje tveganj v organizaciji. Organizacije so lahko izpostavljene
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
23
različnim tveganjem uporabe informatike v poslovanju (poslovno tveganje,
tveganje, povezano s poročanjem, tveganje brezprekinitvenega poslovanja itd.).
Merjenje izvedbe je bistveno za upravljanje IT. Je področje, namenjeno
uresničevanju strategije, zaključevanju projektov, uporabi virov, izvedbi procesov
in dobavi storitev, ki z uporabo sistema uravnoteženih kazalnikov strategijo
prevajajo v dejanja za doseganje ciljev.
COBIT ponuja generični procesni model, ki predstavlja vse procese, potrebne v funkcijah
IT, in s tem zagotavlja skupen referenčni model, ki je razumljiv vodjem IT kakor tudi
poslovnim vodjem. Z namenom, da bi dosegli uspešno upravljanje, produkcijski vodje na
zahtevo izvršnih direktorjev vpeljejo kontrole za vse procese IT znotraj določenega
kontrolnega okvirja. Okvir zagotavlja jasno povezavo med zahtevanimi upravljanji IT,
procesi IT in kontrolami IT, saj so COBIT-ovi kontrolni cilji IT organizirani glede na procese
IT. COBIT je splošno sprejet okvir za notranjo kontrolo IT [13].
Slika 4.3: Diagram produktov, zasnovanih na temeljih COBIT [13]
Slika 4.3 prikazuje, kako so COBIT-ovi produkti razporejeni na tri ravni in zasnovani za
podporo naslednjim udeležencem v upravljanju informacijskih sistemov:
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
24
upravi in visokemu vodstvu – namenjena je vodstvu organizacije in upravi, ki
sprejemata odgovornosti do upravljanja IT, ki jih imata,
vodenju poslovanja in vodstvu IT – opisuje, kako in kaj meriti in kako izboljšati
vodenje IT,
strokovnjakom za upravljanje in zagotavljanje jamstev (revizorji, presojevalci),
nadzora in varnosti.
Publikacije, ki jih udeleženci uporabljajo pri upravljanju informacijskih sistemov:
obveščanje uprave o upravljanju IT, 2. Izdaja,
smernice za vodstvo/zrelostni modeli,
okviri: vsebuje opis okvira, razporejen v štiri COBIT domene IT in 34 procesov IT;
zajeta so vsa pomembnejša COBIT navodila s prilogami in referencami,
kontrolni cilji,
vodič za vpeljavo upravljanja IT: uporaba COBIT in 2. izdaje Val IT,
COBIT kontrolne prakse: smernice za doseganje kontrolnih ciljev za uspešno
upravljanje IT, 2. Izdaja,
vodič za zagotavljanje jamstev v IT: uporaba COBIT.
Slika 4.4: Medsebojne povezave komponent COBIT [13]
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
25
Slika 4.4 ponazarja povezavo COBIT komponent, ki nudijo podporo za potrebe upravljanja,
vodenja ter kontrole in zagotavljanja jamstev.
Z vpeljavo COBIT-a v organizacijo kot okvira za upravljanje IT organizaciji omogočimo
boljšo uskladitev na podlagi poslovne usmeritve, vpogled v delovanje IT na ravni
razumevanja vodstva, jasno lastništvo in zadolžitve na podlagi procesne usmeritve,
enoten jezik medsebojnega razumevanja vseh udeležencev in splošno sprejemljivost pri
tretjih strankah in regulatorjih [13].
4.2 Organizacija COBIT
4.2.1 Osredotočenost na poslovanje
Glavna tema COBIT-a je osredotočenost na poslovanje. COBIT je namenjen izvajalcem
storitev IT, uporabnikom, revizorjem in presojevalcem ter zagotavlja obsežna navodila
vodstvu in lastnikom poslovnih procesov.
Temelji na načelu, prikazanem na Sliki 4.5, ki pravi, da mora podjetje za zagotovitev
informacij, ki jih potrebuje za uresničitev svojih ciljev, vlagati, upravljati in nadzorovati vire
IT z uporabo strukturiranega sklopa procesov, da zagotovi storitve, ki dajejo te
informacije.
Slika 4.5: Osnovno načelo COBIT [13]
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
26
Medtem ko informacijski kriteriji (uspešnost, učinkovitost, zaupnost, celovitost,
razpoložljivost, skladnost in zanesljivost), predstavljeni v Tabeli 4.1, predstavljajo splošno
metodo za opredelitev poslovnih zahtev, nam predstavitev poslovnih in IT-ciljev zagotavlja
poslovno in natančnejšo podlago za vzpostavitev poslovnih zahtev in razvojnih metrik, na
osnovi katerih merimo uspešnost glede na predstavljene poslovne cilje in cilje IT.
Podjetja uporabljajo IT zato, da jim omogoča uresničitev svojih poslovnih idej, ki so nato
predstavljene kot poslovni cilji za IT [13].
COBIT 4.1 opredeljuje štiri kategorije virov, ki jih podjetja uporabljajo, da v svoje
poslovanje umestijo informacije, ki so potrebne za izvajanje procesov. Ti viri so:
aplikacije,
informacije,
infrastruktura,
ljudje.
Tabela 4.1: Informacijski kriteriji COBIT 4.1 [13]
Informacijski kriterij Opis kriterija
uspešnost Pravočasna zagotovitev, pravilnost, skladnost in uporabnost informacij, ki so pomembne za poslovni proces.
učinkovitost Zagotavljanje informacij z uporabo virov, ki je najbolj produktivna in varčna.
zaupnost Varovanje občutljivih informacij pred nepooblaščenim razkritjem
celovitost Informacije so popolne in pravilne in v skladu s poslovno vrednostjo in pričakovanji.
razpoložljivost Informacije so vedno dostopne, ko se potrebujejo v poslovnih procesih.
skladnost Informacije so usklajene z zakoni, predpisi in pogodbenimi dogovori za posamezni poslovni proces.
zanesljivost Zagotavljanje ustreznih informacij za vodstvo, da bo podjetje vodeno odgovorno.
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
27
4.2.2 Usmerjenost na procese
Kot smo že omenili, COBIT opredeljuje dejavnosti IT v okviru splošnega procesnega
modela znotraj štirih domen. Medsebojno povezavo domen nam prikazuje Slika 4.6. Te
domene so:
načrtujte in organizirajte (PO, ang. Plan and Organize),
nabavite in vpeljite (AI, ang. Acquire and Implement),
izvajajte in podpirajte (DS, ang. Delivery and Support),
spremljajte in vrednotite (ME, ang. Monitor and Evaluate).
Slika 4.6: Medsebojna povezava štirih domen COBIT [13]
Podjetja in organizacije stremijo k dobremu upravljanju. Za doseganje tega COBIT-ov okvir
podjetjem zagotavlja referenčni procesni model in skupen jezik za vse dele podjetja, ki
uporabljajo, pregledujejo in upravljajo IT. Obenem COBIT zagotavlja okvir za merjenje in
spremljanje delovanja IT, komunikacijo s ponudniki storitev in združevanje najboljših praks
upravljanja. Podjetja morajo pri svojih poslovnih ciljih upoštevati tveganja v zvezi z IT in
poiskati pravo razmerje tveganj in koristi, ki so po zadolžitvah razporejene v štiri omenjene
domene [13]. V Tabeli 4.2 je opredeljenih vseh 34 procesov, razporejenih v 4 domene.
Načrtujte in organizirajte (PO)
Ta domena zajema strategijo in taktike ter se nanaša na prepoznavanje načina, kako
lahko IT najbolje prispeva k uresničevanju poslovnih ciljev. Realizacijo strateške vizije je
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
28
treba načrtovati, sporočati in upravljati za različne perspektive. Podjetje mora imeti
ustrezno organizacijo ter tehnološko infrastrukturo [13].
Vprašanja, ki jih domena obravnava v zvezi z upravljanjem:
Ali sta IT in poslovna strategija usklajeni?
Ali podjetje optimalno uporablja svoje vire?
Ali vsi v organizaciji razumejo cilje IT?
Ali podjetje razume tveganja IT in jih upravlja?
Ali kakovost sistemov IT ustreza poslovnim potrebam?
Tabela 4.2: Procesi COBIT 4.1 [13]
Načrtujte in organizirajte (PO) Izvajajte in podpirajte (DS)
PO1 Opredelite strateški načrt za IT DS1 Opredelite in upravljajte ravni storitve
PO2 Opredelite informacijsko infrastrukturo DS2 Upravljajte storitve tretje stranke
PO3 Določite tehnološko usmeritev DS3 Upravljajte delovanje in zmogljivost
PO4 Opredelite procese, organizacijo in razmerja IT DS4 Zagotovite neprekinjeno storitev
PO5 Upravljajte investicije v IT DS5 Zagotovite varnost sistemov
PO6 Sporočajte cilje in usmeritve vodstva DS6 Ugotovite in porazdelite stroške
PO7 Upravljajte človeške vire v sektorju IT DS7 Izobrazite in usposobite uporabnike
PO8 Upravljajte kakovost DS8 Pomoč uporabnikom in obvladovanje incidentov
PO9 Ocenjujte in obvladujte tveganja v IT DS9 Upravljajte konfiguracijo
PO10 Upravljajte projekte DS10 Upravljajte probleme
Nabavite in vpeljite (AI) DS11 Upravljajte podatke
AI1 Določite avtomatizirane rešitve DS12 Upravljajte fizično okolje
AI2 Nabavite in vzdržujte aplikacijske programe DS13 Upravljajte delovanje
AI3 Nabavite in vzdržujte tehnološko infrastrukturo Spremljajte in vrednotite (ME)
AI4 Omogočite delovanje in uporabo ME1 Spremljajte in vrednotite delovanje IT
AI5 Zagotovite vire IT ME2 Spremljajte in vrednotite notranje kontrole
AI6 Upravljajte spremembe ME3 Zagotovite skladnost z zunanjimi zahtevami
AI7 Namestite in potrdite rešitve in spremembe ME4 Zagotovite upravljanje IT
Nabavite in vpeljite (AI)
Za uresničitev strategije IT je treba poiskati rešitve IT, jih razviti ali nabaviti ter jih vpeljati
in vključiti v poslovni proces. Razen tega ta domena zajema tudi spremembe in
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
29
vzdrževanje obstoječih sistemov kot zagotovitev, da rešitve še naprej izpolnjujejo
poslovne cilje [13].
Vprašanja, ki jih domena obravnava v zvezi z upravljanjem:
Ali novi projekti zagotavljajo rešitve, ki izpolnjujejo poslovne potrebe?
Ali so novi projekti izvedeni pravočasno in v okviru proračuna?
Ali novi sistemi delujejo ustrezno, ko so vpeljani?
Ali vpeljane spremembe ne bodo negativno vplivale na sedanje poslovanje?
Izvajajte in podpirajte (DS)
Ta domena zajema dejansko izvajanje zahtevanih storitev in vključuje izvajanje storitev,
upravljanje varnosti in neprekinjenega poslovanja, podporo storitvam za uporabnike,
upravljanje podatkov in produkcijskih zmogljivosti [13].
Vprašanja, ki jih domena obravnava v zvezi z upravljanjem:
Ali se storitve IT izvajajo v skladu s poslovnimi prednostnimi nalogami?
Ali so stroški IT optimizirani?
Ali lahko zaposleni sisteme IT uporabljajo produktivno in varno?
Ali je pri varovanju informacij ustrezno poskrbljeno za zaupnost, celovitost in
razpoložljivost?
Spremljajte in vrednotite (ME)
Pri vseh procesih IT je treba redno ocenjevati, ali ti zagotavljajo kakovost in skladnost s
kontrolnimi zahtevami. Ta domena obravnava vodenje delovanja, spremljanje notranje
kontrole, regulativno skladnost in upravljanje [13].
Vprašanja, ki jih domena obravnava v zvezi z upravljanjem:
Ali se delovanje IT meri, da se problemi odkrijejo, preden je prepozno?
Ali vodstvo zagotavlja uspešne in učinkovite notranje kontrole?
Ali je zmožnost IT mogoče povezati s poslovnimi cilji?
Ali so za varnost informacij zagotovljene kontrole zaupnosti, celovitosti in
razpoložljivosti?
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
30
4.2.2.1 Na podlagi kontrol
Vodstvo nadzira vse procese IT in za izvajanje teh potrebuje kontrolne cilje IT, ki
zagotavljajo popoln nadzor zahtev na visoki ravni. Ti kontrolni cilji so:
izjave o ukrepih vodstva za povečanje vrednosti ali zmanjšanje tveganja,
sestavljeni iz politik, postopkov, praks in organizacijske strukture,
oblikovani tako, da zagotovijo uspešno doseganje poslovnih ciljev in preprečijo ter
popravijo dogodke, ki niso zaželeni.
Odgovornost vodstva je, da sprejme odločitve v zvezi s kontrolnimi cilji, predstavljenimi v
Tabeli 4.3, na način, da izbere tiste, ki so primerni za uporabo v podjetju in jih vpelje v
podjetje ter ob tem sprejme tveganja, če vpelje neprimerne.
Sistem notranjih kontrol podjetja vpliva na IT na treh ravneh. Na ravni izvršnega vodstva,
na ravni poslovnega procesa in na ravni IT za podporo poslovnim procesom.
Zadolžitev glede aplikacijskih kontrol je porazdeljena med poslovni del podjetja in IT.
Poslovni del je odgovoren za ustrezno opredelitev funkcionalnih in kontrolnih zahtev kakor
tudi uporabo avtomatiziranih storitev, IT pa za avtomatizacijo in vpeljavo poslovnih,
funkcionalnih in kontrolnih ciljev in vzpostavitev kontrol za vzdrževanje celovitosti
aplikacijskih kontrol, ki so predstavljene v Tabeli 4.3.
Tabela 4.3: Procesne in aplikativne COBIT kontrole [13]
Procesne kontrole COBIT-a (angl. Proces Control ) (PC)
Aplikativne kontrole COBIT-a (angl. Applications Control) (AC)
PC1 Cilji procesa AC1 Priprava in odobritev izvornih podatkov
PC2 Lastništvo procesa AC2 Zbiranje in vnos izvornih podatkov
PC3 Ponovljivost procesa AC3 Preverjanje pravilnosti, popolnosti in verodostojnosti
PC4 Vloge in zadolžitve AC4 Veljavnost in celovitost obdelave
PC5 Politika, načrti in postopki AC5 Pregled in uskladitev rezultatov ter odprava napak
PC6 Izboljšanje zmogljivosti procesa AC6 Overjanje in celovitost transakcije
4.2.2.2 Na podlagi meritev
Osnovna potreba vsake organizacije je poznavanje lastnega IT-sistema in sposobnosti,
da se odloči, kakšno raven upravljanja in kontrole mora za svoje sisteme zagotoviti.
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
31
Za sprejetje pravilne odločitve je dobro, da se vodstvo vpraša, kako globoko v upravljanje
in kontrole naj poseže, da bodo koristi upravičevale stroške.
Vsako podjetje zase težko pridobi objektiven pogled v lastno raven zmogljivosti. Podjetja
se vedno sprašujejo, kaj meriti in na kakšen način.
Podjetja morajo meriti, v kateri ravni upravljanja se trenutno nahajajo in katere izboljšave
so potrebne. Ob tem morajo vpeljati orodja za upravljanje in nadzor napredka.
Zrelostni modeli
Vedno več zahtev glede zagotavljanja uspešnosti upravljanja IT je do vodstev javnih in
zasebnih podjetij. Da bi se tem zahtevam zadostilo, sami poslovni primeri zahtevajo
izboljšave in doseganje ustrezne ravni upravljanja in nadzora nad informacijsko
infrastrukturo.
Z relativnim merilom stanja podjetja, načinom za učinkovito določitev nadaljnje usmeritve
in orodjem za merjenje napredovanja cilja bi lastnik procesa ob uporabi ogrodja COBIT
moral biti sposoben spremljati napredovanje glede doseganja kontrolnih ciljev.
Modeliranje zrelosti za upravljanje in kontrolo nad IT-procesi temelji na metodi
vrednotenja organizacije. Tako lahko organizacijo ustrezno razvrščamo na lestvici zrelosti
od ocene neobstoječe (0) do optimizirano (5). COBIT-ova lestvica zrelosti je prilagojena
naravi COBIT-ovih procesov upravljanja IT, ki je zelo podobna CMM (ang. Capability
Maturity Model). Za vsakega od 34 COBIT-ovih procesov je na podlagi te splošne lestvice
podan specifičen model. Podjetja v osnovi zanima izvor nastalih problemov in njihova
odprava ter način določitve prednostnih nalog za izboljšanje, ne pa ocenitev ravni
ujemanja s kontrolnimi cilji.
Slika 4.7: Grafična predstavitev zrelostnih modelov [13]
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
32
Z uporabo zrelostnih modelov lahko vodstvo ugotovi, kakšna je dejanska zmogljivost
podjetja, primerja trenutno stanje v industriji proti konkurenci, kakšen vpliv in dobro ime
ima podjetje na trgu in kakšno rast mora doseči, da uresniči začrtane cilje.
Za lažjo uporabo rezultatov v povzetkih za poslovodstvo COBIT navaja metodo za grafično
predstavitev, ki jo prikazuje Slika 4.7 in katere priprava je zasnovana na splošnem
zrelostnem modelu, opisanem v Tabeli 4.4.
Prednost zrelostnega modela se kaže v njegovi enostavnosti po upravljanju. Vodstvo
lahko na preprost način uvrsti izbrani proces IT na lestvico in oceni, kaj je potrebno za
izboljšanje delovanja. Ocenjuje se od 0 do 5, odvisno od stopnje razvoja procesa iz
neobstoječe zmožnosti do optimizirane zmožnosti.
Tabela 4.4: Splošni zrelostni model [13]
Ocena
zrelostne stopnje Opis zrelostne stopnje
0 Neobstoječe Procesi niso prepoznani, podjetje se ne zaveda obstoja zadev, ki
bi jih moralo obravnavati.
1 Začetno/Ad Hoc
Podjetje se zaveda obstoja zadev, ki bi jih moralo obravnavati,
vendar ni standardiziranih procesov obravnave, temveč le ad
hoc pristopi, za vsak posamezni primer.
2 Ponovljivo, vendar
intuitivno
Podjetje ima razvite procese do stopnje enotne obravnave
postopkov s strani zaposlenih. Postopki so neformalne oblike,
zadolžitve so prepuščene posameznikom, ki znanja obvladujejo,
kar lahko vodi v napake.
3 Opredeljeno
Postopki so standardizirani in zapisani v formalni obliki ter
sporočeni prek usposabljanj. Postopki se morajo upoštevati, so
zgolj formalizacija obstoječih praks in zato nedodelani.
4 Vodeno in merljivo
Vodstvo spremlja in meri skladnost s postopki ter ukrepa, ko
procesi ne delujejo uspešno. Omejeno se uporablja
avtomatizacija orodij. Procesi se ponovljivo izboljšujejo in
zagotavljajo dobro prakso.
5 Optimizirano
Procesi delujejo na ravni dobre prakse in so primerljivi z
zrelostnimi ravnmi drugih podjetij. Orodja za izboljšanje
kakovosti in uspešnosti delujejo avtomatizirano in omogočajo
podjetju, da se hitro prilagodi na nove zahteve.
COBIT-ovi zrelostni modeli so osredotočeni na zrelost, ne pa nujno na obseg pokrivanja in
na globino nadzora. Podjetja v zrelostnem modelu COBIT lahko z lahkoto prepoznajo
opisane ravni in uporabijo opis, ki jim pri izvajanju njihovih procesov najbolj ustreza [13].
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
33
5 OCENA ZRELOSTNE STOPNJE V OSNOVNI ŠOLI IV
5.1 Predstavitev zavoda
Osnovna šola IV Murska Sobota je javni vzgojno-izobraževalni zavod, ki ga je ustanovila
Občina Murska Sobota.
Izvajajo dva programa:
prilagojeni izobraževalni program,
posebni program vzgoje in izobraževanja.
Šola je namenjena otrokom s posebnimi potrebami. S posebnimi pristopi, oblikami in
metodami dela spodbujajo otrokov razvoj na vseh področjih.
Prizadevajo si upoštevati in zadovoljevati otrokove interese, razvijati učenčeve delovne
navade ter v sodelovanju s starši pripraviti mladostnike za čim uspešnejšo vključitev v
okolje.
Na šoli je trenutno 66 zaposlenih, povprečna izobrazba je na ravni univerzitetne.
Financiranje šole poteka izključno iz sredstev državnega proračuna in proračuna Mestne
občine Murska Sobota ter delno iz sponzorskih sredstev, skladno z zakonom in statutom
[22].
Delo in naloge računalnikarja-organizatorja informacijske dejavnosti (ROID)
Za nemoteno opravljanje različnih dejavnosti IT v šoli skrbi ROID. Dodeljene so mu
različne naloge, kot je nabava informacijske opreme, nameščanje in vzdrževanje
operacijskih sistemov, vzdrževanje komunikacijskih poti, postavitev in upravljanje CMS-
jev, kot so spletne učilnice in spletne strani, konfiguriranje domenskega strežnika, skrb za
izobraževanje zaposlenih, izdelava varnostnih kopij podatkov, ustrezno ravnanje z gesli,
dodeljevanje pravic zaposlenim za dostop do različnih aplikacij in dnevna podpora
zaposlenim pri uporabi IT za namene poučevanja in poslovne namene.
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
34
5.2 Predstavitev informacijskega sistema Osnovne šole IV Murska
Sobota.
Omrežje je sestavljeno iz dveh navideznih lokalnih omrežij (v nadaljevanju: VLAN), ki
tvorita celotno omrežje oziroma LAN. Informacijski sistem je razdeljen na dva dela:
administrativnega,
pedagoškega.
Za usmerjanje prometa skrbijo usmerjevalnik CISCO Catalyst 2960-CX in pametni stikali
CISCO Catalyst 2950 in CISCO Lynksys SRW224G4. Šola je preko optičnega voda,
pridobljenega s projektom IR OPTIKA, povezana v omrežje ARNES s hitrostjo najmanj
1Gb/s, kot prikazuje Slika 5.1.
Slika 5.1: Zgradba omrežja OŠ IV MS
Osnovna Šola IV Murska Sobota, v nadaljevanju OŠ IV MS, uporablja notranjo domeno
os4ms, ki jo upravljamo z domenskim strežnikom Microsoft Windows Server 2008 R2. Za
strežnike in delovne postaje se uporablja operacijski sistem proizvajalcev Microsoft in
Linux. Strežniški in tiskalniški sistem vsebuje statične IP-naslove. Prav tako statične
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
35
tovrstne naslove uporabljajo za uporabniške računalnike. Za naprave, ki do spleta
dostopajo preko WIFI-ja, se uporablja dinamično dodeljevanje IP-naslovov (v
nadaljevanju: DHCP). Avtorizacijo prijav v lokalni sistem izvaja Microsoft Active Directory.
Ločijo tri tipe uporabnikov, ki dostopajo do informacij in storitev omrežja:
gostje,
učenci,
zaposleni.
OŠ IV MS ima spletni strežnik, na katerem teče dinamična spletna stran, ki predstavlja
dnevne dogodke in aktivnosti širši javnosti. Za obveščanje zaposlenih se uporablja tako
imenovana e-zbornica, ki je zasnovana v odprtokodnem sistemu za postavitev spletnih
učilnic – MOODLE. OŠ IV MS dostopa do spleta preko vozlišča Akademske in
raziskovalne mreže Slovenije – ARNES, ki obenem skrbi za nastavitve usmerjevalnika
CISCO in požarne pregrade, ki omogočata varnejši dostop do storitev in podatkov
lokalnega omrežja. Za nadzor in upravljanje lokalnega omrežja skrbi računalnikar-
organizator informacijske dejavnosti, v nadaljevanju ROID.
5.3 Osnovne informacije o aplikativni programski opremi
IS OŠ IV MS sestavljajo aplikacije za zajem in izmenjavo podatkov med vodstvom OŠ IV
MS in zaposlenimi na OŠ IV MS ter Ministrstvom za izobraževanje, znanost in šport, v
nadaljevanju MIZŠ.
Informacijski sistem osnovne šole sestavljajo naslednje komponente:
e-zbornica,
e-dnevnik,
e-redovalnica,
spletne učilnice,
spletna stran,
šolska knjižnica,
šolska prehrana,
šolsko računovodstvo.
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
36
Pedagoški del sestavljajo komponente, ki so neposredno povezane z vzgojno-
izobraževalnim delom, administrativni del pa komponenti šolska prehrana in šolsko
računovodstvo.
Za zajem in izmenjavo podatkov v OŠ IV MS uporabljamo dve aplikaciji. E-zbornica se
uporablja za komunikacijo in obveščanje med zaposlenimi ter za oddajo raznih poročil in
občutljivih podatkov. Zaposleni do podatkov dostopajo preko CMS-ja (sistem za
upravljanje spletnih strani) ter Moodla, ki je gostovan na ARNES-u. Spletna stran šole je
zgrajena v tehnologiji PHP/MySQL. Poganja jo MS Windows Server 2008 R2 z uporabo
aplikacijskega strežnika MS IIS. Spletna stran vsebuje tako javne kot tudi zasebne
podatke. Dostop do zasebnih podatkov je omogočen le avtoriziranim uporabnikom z
ustreznim uporabniškim imenom in geslom. Vodstvo OŠ IV MS je dolžno posredovati
podatke v elektronski obliki z uporabo spletnih aplikacij MIZŠ-ja. Dostop do teh aplikacij
MIZŠ-ja je urejen prek enotne vstopne točke »Portal MIZŠ«. Za dostop je potreben
certifikat, ki vsakemu uporabniku sistema omogoča enkratno avtentikacijo in dostop do
aplikacij, za katere je uporabnik avtoriziran. Ravnatelj lahko s pomočjo aplikacije za
dodeljevanje certifikatov, do katere je avtoriziran, zaposlenim dodeljuje dostope do
aplikacij portala MIZŠ-ja, ki jih potrebujejo. Vsak zaposleni lahko uporablja poljubno
število aplikacij MIZŠ-ja, če je za to avtoriziran.
Za ocenjevanje in beleženje opravljenih ur zaposleni na OŠ IV MS uporabljajo aplikacijo
LOPOLIS, do katere dostopajo z uporabo spletnega vmesnika »https://apl.lopolis.si« ali z
uporabo namizne različice Lopolisa.
Lokalni strežnik je lociran v OŠ IV MS, Trstenjakova 71, Murska Sobota. Strojno opremo,
aplikativno programsko opremo in operacijski sistem vzdržuje in upravlja ROID, zaposlen
na šoli.
5.4 Ocena učinkovitosti izbranih informacijskih procesov
Ocenili smo kakovost delovanja informacijskih procesov, ki neposredno ali posredno
vplivajo na učinkovitost delovanja IS OŠ IV MS. Za ocenjevanje smo uporabili
metodologijo COBIT 4.1, ki vsebuje 34 procesov, organiziranih v 4 domene. Uporabili smo
ocene od 0 do 5:
0 – procesi upravljanja se ne uporabljajo,
1 – procesi so ad hoc in neorganizirani,
2 – procesi sledijo rednemu vzorcu,
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
37
3 – procesi so dokumentirani in sporočeni,
4 – procesi se spremljajo in merijo,
5 – dobre prakse se uporabljajo in so avtomatizirane.
Z metodologijo COBIT smo se pri našem delu srečali prvič. Med pregledom in študijo
gradiva COBIT 4.1 nam je postalo jasno, da bo treba postoriti še veliko, da bodo naši
informacijski procesi dosegli raven, ki je za varen informacijski sistem potrebna. Pri
pregledu javno objavljene dokumentacije in drugega gradiva smo zasledili dokumente, ki
jih pri svojem delu uporabljajo revizorji Računskega sodišča Republike Slovenije.
Dokumente smo uporabili kot vodilo pri umeščanju šole v primerno zrelostno stopnjo,
vendar ne v celoti, saj se delovanje organizacij, ki jih opisuje revizijsko poročilo, vsebinsko
razlikuje od delovanja osnovnih šol [29].
Za pridobitev ocene smo ocenjevali način in kakovost štirih informacijskih procesov.
Pridobljene odgovore smo nato primerjali z opisi zrelosti, ki jih za posamezni proces
navaja COBIT 4.1, in določili oceno, ki najbolje opisuje stanje ocenjevanega procesa.
5.4.1 PO1 Opredelite strateški načrt za IT
Strateško načrtovanje za IT je ključnega pomena pri zagotavljanju informacijske varnosti.
Uporablja se za upravljanje in vodenje vseh virov, ki jih narekujejo poslovna strategija in
prednostne naloge organizacije. Ocenjevali smo proces PO1 – Opredelite strateški načrt,
ki je del domene Načrtujte in organizirajte. Domena vsebuje smernice in strategije, ki so
kot vodilo za doseganje želenih poslovnih ciljev IT. Funkcija IT in poslovni udeleženci so
odgovorni za zagotavljanje realizacije optimalne vrednosti iz portfeljev projektov in
storitev. Namen strateškega načrta je izboljševanje razumevanja priložnosti in omejitev IT
s strani ključnih udeležencev, ocenjevanje trenutne zmogljivosti, določitev zahteve po
zmogljivostih in človeških virih ter pojasnjevanje ravni potrebnih investicij. Poslovna
strategija in prednostne naloge se morajo odražati v portfeljih, izvajati jih je treba v skladu
s taktičnimi načrti za IT, ki opredeljujejo natančno izražene cilje, akcijske načrte in naloge,
ki jih razumeta in sprejemata tako poslovni kot IT-sektor. Za pridobitev dejanske ocene
procesa PO1 in s tem nadzora nad procesom smo se spraševali, ali proces izpolnjuje
poslovno zahtevo za IT glede ohranjanja ali širjenja poslovne strategije in zahtev
upravljanja, pri čemer morajo ostati koristi, stroški in tveganja pregledni [13, 29].
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
38
Ugotovitve
Ugotovitve so pokazale, da OŠ IV MS nima sprejetega ustreznega strateškega načrta, kot
ga narekujejo metrike in cilji po COBIT 4.1.
Sodelovanje med poslovnim vodstvom in vodjem informatike obstaja, vendar je
nenačrtovano in po potrebi. Vodstvo se zaveda pomembnosti strateškega načrtovanja IT.
Kljub zavedanju se strateško načrtovanje ne izvaja, razen če vmes poseže sprememba
zakona ali katera druga poslovna zahteva, ki je ključnega pomena za organizacijo.
Vodstvo in ožji tim informatike (ROID in nekaj učiteljev) se po potrebi sestaneta nekajkrat
na leto. Na sestankih se podajo poročila glede osnovnih potreb IT in finančnih sredstev, ki
so jim dodeljena. V skladu s finančnimi zmožnostmi, ki se razlikujejo iz leta v leto, se
nabavi najbolj nujna IT-oprema, potrebna za nemoteno delo. Odločitve se sprejemajo
odvisno od potreb posameznega razreda ali potreb administracije. Odločitve niso
usklajene, saj strateški IT-načrt ne obstaja.
Taktični načrt za IT, ki obsega načrt nabave, je del finančnega načrta OŠ IV MS in ni
samostojni dokument. Taktični načrt ni dovolj podroben, da bi omogočal opredelitev
projektnih načrtov, saj pri njegovem sestavljanju ni sodelovanja med vodstvom in ROID-
jem.
Končna poročila z obdelanimi podatki v pregledni obliki, podana vodstvu, se ne
uporabljajo v tolikšni meri, kot bi se lahko. Strategija zavoda je opredeljena s časovnim
obdobjem mandata ravnatelja, ki je petletno, in je predstavljena na eni od sej učiteljskega
zbora ter sprejeta za celotno organizacijo. Ta ne zajema metrik in ciljev, potrebnih za IT-
strategijo, ki je le dogovor med vodstvom in vodjem informatike (ROID).
Ne obstajata nobeni opredelitvi vizije glede razvoja IT in poslanstva informatike v
prihodnosti.
Sredstva za IT so v večji meri dodeljena po letnem finančnem načrtu in deloma po potrebi.
Kontrolni cilji
PO1.1 Upravljanje vrednosti IT
Sodelovanje ROID-ja z vodstvom deloma obstaja, vendar ni takšno, da bi zagotavljalo, da
portfelj investicij zavoda, ki vsebujejo IT-komponento, zajema programe s trdno podlago.
Investicije, ki se razlikujejo glede zahtevnosti in stopnje svobode pri dodeljevanju
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
39
sredstev, so neprepoznane in neopredeljene. Tudi ni določenega nekega vrstnega reda
investicij. Investicije se izvajajo po principu: najnujnejše najprej.
Stroški so podani v obliki končnih poročil, ki jih ustrezne službe podajo vodstvu zavoda.
PO1.2 Uskladitev med poslovanjem in IT
Procesi dvosmernega izobraževanja in vzajemnega sodelovanja pri strateškem
načrtovanju doseganja integracije IT niso formalni. Prednostne naloge se izvajajo po
dogovoru z vodstvom, a le po potrebi. Vodstvo se po posvetu z ROID-jem odloči o
izvajanju nekaterih prednostnih nalog.
PO1.3 Ocena trenutne zmožnosti in delovanja
ROID dvakrat letno ocenjuje trenutne zmožnosti, delovanje rešitev in izvajanje storitev IT
v zavodu ter oceno vodstvu preda v obliki polletnega poročila. Poročilo služi kot podlaga
za primerjavo prihodnjih zahtev.
IT daje podporo vodstvu pri doseganju poslovnih ciljev z ustrezno informacijsko in
komunikacijsko opremo in stalnim delovanjem ustrezne programske opreme. IT skrbi za
varovanje podatkov, shranjevanje podatkov, hitrejšo izmenjavo podatkov ter dostopnost
podatkov, ki so pri doseganju poslovnih ciljev s funkcionalnega in stabilnega vidika še
kako potrebni. IT skrbi za neprekinjeno delovanje storitev. Če do prekinitev pride zaradi
zunanjega vpliva, poskrbi za čim hitrejšo vzpostavitev delovanja storitev. Za dostopnost
do podatkov skrbi stabilna komunikacijska oprema, katere skrbnika sta ARNES in
podatkovni strežnik, nameščen v prostorih organizacije.
Funkcija IT je organizirana tako, da se na potrebe uporabnikov in na odnose z dobavitelji
odziva taktično, vendar nedosledno. Potreba po strukturirani organizaciji in upravljanju je
posredovana vodstvu, vendar so odločitve glede IT-ja še vedno odvisne od znanja ROID-
ja. Organizacija IT neformalno opredeljuje funkcije, ki jih izvaja ROID kot vodja
informatike, in funkcije, ki jih izvajajo uporabniki. Procesi in storitve v IT niso definirani.
Enotni seznam procesov ne obstaja.
PO1.4 Strateški načrt za IT
Strateški načrt ne obstaja, zato tudi sodelovanje z udeleženci ni formalno opredeljeno, cilji
IT pa niso usklajeni s strateškim ciljem podjetja, kar se lahko odraža na nepričakovanih
stroških in tveganjih.
OŠ IV MS sprejema le odzivne in taktične odločitve o finančnem načrtu za IS OŠ IV MS in
nima formalno opredeljenih politik in procesov za investicije in proračun, ki bi pokrivali
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
40
ključna poslovna vprašanja in vprašanja glede tehnologije. Vodja za informatiko nima
strokovnega znanja in sposobnosti za pripravo proračuna za IT in priporočitev ustreznih
investicij z IT-komponento. S tem ne povezuje elementov proračuna z IT-strategijo, saj ta
ne obstaja. Zato je težko pričakovati, da bodo investicije v IT ustrezno zadovoljevale
dejanske strateške in operativne potrebe OŠ IV MS.
PO1.5 Taktični načrt za IT
Taktični načrt ni opredeljen, saj je del strateškega načrta, ki ne obstaja. Taktični načrt
mora obravnavati investicijske programe z IT-komponento, storitve IT in sredstva IT.
Opisane morajo biti zahteve glede virov in način spremljave in upravljanja uporabe virov in
doseganja koristi. Navedene zahteve v OŠ IV MS niso formalne, zato posledično projektni
načrti v OŠ IV MS niso opredeljeni.
PO1.6 Upravljanje portfelja IT
Upravljanje portfelja investicijskih programov z IT-komponento, ki so potrebni za
doseganje posebnih strateških poslovnih ciljev s prepoznavanjem, opredeljevanjem,
razvrščanjem po prioriteti, izbiranjem, zagonom, vodenjem in nadzorom projektov, je
neformalno in nerazvito.
Ocena zrelostne stopnje
Ugotovitve so pokazale, da OŠ IV MS nima sprejetega ustreznega strateškega načrta,
vendar se zaveda njegove potrebe. Sodelovanje med vodstvom in vodjem informatike
obstaja, vendar je nenačrtovano in po potrebi. Obstajajo le sestanki v obliki aktivov, na
katerih se dogovori strategija za tekoče leto. Ti sestanki se izvajajo na začetku in na
koncu šolskega leta in ne vsebujejo vsebine IT. Zavod nima usklajene celovite strategije,
zato usklajevanje poslovnih zahtev, aplikacij in tehnologij poteka kot odziv na dogodke, ki
jih sprožijo vodstvo in zaposleni na OŠ IV MS. Odločitve so ad hoc, odvisno od potreb
posameznega oddelka ali projekta. Taktični načrt ne obstaja. Kar se tiče nabave, je ta del
finančnega načrta, ki ga sprejme vodstvo, in to brez sodelovanja z ROID. Proces
opredelitve strateškega načrta za IT bi na osnovi podanih ugotovitev ocenili z 1.
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
41
Tveganje
Pri določanju tveganj so nam bila v pomoč revizijska poročila Računskega sodišča
Republike Slovenije. Poročila navajajo različna tveganja, ki lahko nastanejo ob
neupoštevanju pravil, ki jih navaja metodologija COBIT [29].
Strateški načrt in priprava procesov strateških opredelitev razvoja na področju IT in
strategija IT, ki je OŠ IV MS nima, lahko vodi do nepravilnega razvoja in delovanja
različnih področij IT, nepreglednosti in nerazumevanja stroškov in koristi, ki zajemata
odnos do storitev zunanjih izvajalcev, določanje prioritet, spremljanje realizacije in
časovne opredelitve.
Nedodelane priprave operativnih načrtov IT lahko povzročijo, da vsebina operativnih
načrtov ne zadostuje potrebam za doseganje strateških ciljev OŠ IV MS in strateških ciljev
na področju IT v OŠ IV MS.
Tveganja, ki jim je izpostavljena OŠ IV MS, so naslednja:
nezadostno doseganje strateških usmeritev, poslanstva in vizije OŠ IV MS;
neučinkovito upravljanje investicij;
nenadzorovana poraba sredstev za IT-opremo;
nesistematični nadzor in nestrateška poraba sredstev za IT;
neustrezno ravnanje na področju upravljanja IT, kar privede le do izvajanja
poslovnih procesov in nalog in ne vodi k nobenemu izboljšanju.
Priporočilo
Na podlagi javno dostopne literature s področja, kot ga obravnavamo v diplomskem
delu, in zapisov raznih revizijskih poročil računskega sodišča OŠ IV MS priporočamo,
da vzpostavi kakovosten in v ustreznih notranjih aktih opredeljen proces strateškega
načrtovanja IT, ki bo služil kot zagotovilo k sprejetju potrebnih strateških usmeritev na
področju IT glede njegove vloge, načina dela, prioritet v delovanju in sistematični
opredelitvi ciljev, pri čemer morajo biti koristi, stroški in tveganja transparentni.
Za doseganje kakovostne strategije IT je ključnega pomena zavedanje o
medsebojnem sodelovanju vodstva in ROID. Z ustreznim sodelovanjem obeh strani in
s tem posledično kakovostnejšo strategijo IT bo učinkovitost procesov pričakovano
izboljšana. Kakovostna strategija IT lahko izdatno pripomore k učinkovitosti procesov
ter s tem k boljšemu doseganju strateških ciljev OŠ IV MS.
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
42
5.4.2 AI5 Zagotovite vire IT
Zagotoviti je treba vire IT, vključno z ljudmi, strojno opremo, programsko opremo in s
storitvami, kar zahteva opredelitev in uveljavitev postopkov nabave, izbiro dobaviteljev,
sklenitev pogodbenih sporazumov in samo nabavo. S tem zagotovimo, da so vsi potrebni
viri IT v organizaciji pravočasni in stroškovno učinkoviti [13].
Ugotovitve
Postopki nabave v OŠ IV MS se ne izvajajo na podlagi vnaprej določenih standardov
nabave, ampak postopke ureja ROID. Glede nabave ima ROID tako rekoč »proste roke«
in popolno zaupanje vodstva.
Strojna in programska oprema je največkrat pridobljena iz javnih razpisov MIZŠ-ja ter iz
lastnih sredstev, pridobljenih v dobrodelnih prireditvah. Pri javnih razpisih strojne,
programske opreme in storitev, so postopki za sklenitev, spreminjanje in prekinitev
pogodb, speljani. Preko postopkov javnega naročanja MIZŠ izbere najugodnejšega
dobavitelja opreme. Po izboru dobavitelja se sklene tripartitna pogodba med MIZŠ, šolo in
dobaviteljem opreme.
V primeru lastne nabave opreme ali storitev šola nima vpeljanih potrebnih postopkov
nabave. Izbiro dobavitelja opreme izvede ROID po lastni presoji, pri čemer med različnimi
ponudbami dobaviteljev izbere najustreznejšo. ROID vodstvu na skupnem sestanku ustno
preda svojo izbiro in utemelji svojo odločitev.
Nabava storitev, kot so e-dnevnik, e-redovalnica, e-arhiviranje, raznih storitev svetovalne
službe, ki jih pri svojem delu zaposleni potrebujejo, se izvaja po opredeljenih in
uveljavljenih postopkih nabave, vendar ti postopki niso formalno zapisani. Pri nabavi teh
storitev vodstvo po posvetu z ROID-jem sestavi ožji tim sodelavcev, ki na podlagi danih
ponudb in predstavitvenih delavnic izberejo tisto, ki je za potrebe njihovega dela
najprimernejša.
Šola uporablja storitve, potrebne za vodenje, in storitve za podporo pri izvajanju učnega
procesa, ki sledijo tehnološkemu napredku in so stroškovno učinkovite. Strojna in
programska oprema, nameščena v šoli, je v nekaterih primerih zastarela in ni v skladu z
opremo, ki je predpisana za poučevanje v razredih. Posledično je njena uporaba delno
učinkovita ali neučinkovita, kar lahko vpliva na proces dela v razredu.
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
43
Kontrolni cilji
AI5.1 Kontrola nabave
Postopkov in standardov v skladu s splošnim procesom nabave in nabavne strategije, da
se pridobijo infrastruktura, povezana z IT, zmogljivost, strojna oprema, programska
oprema in storitve, ki so potrebne za poslovanje, šola nima razvitih v celoti, razen pri
javnih razpisih, ki so del MIZŠ-ja.
AI5.2 Upravljanje pogodb dobaviteljev
Ne obstajajo nobeni standardizirani postopki za sklenitev, spremljanje in prekinitev
pogodb z dobavitelji, razen pri javnih razpisih, ki jih izvaja MIZŠ. Ker postopki ne
obstajajo, se ne izvajajo tudi finančne, organizacijske, dokumentacijske, zmogljivostne,
varnostne, intelektualno-lastninske in prekinitvene odgovornosti in obveznosti, saj je pri
nabavi opreme in storitev dovolj, če si šola pridobi vsaj tri ponudbe različnih dobaviteljev
opreme ali storitev.
AI5.3 Izbira dobaviteljev
Šola dobavitelje izbere na način, ki je za šolo kvalitetno in stroškovno učinkovit in je v
skladu s pravično, vendar ne formalizirano prakso in načinom, ki zadostuje vsem
opredeljenim zahtevam. Ob primerjavi ponudb različnih dobaviteljev izvedejo optimizacijo
zahtev s podatki.
AI5.4 Nabava virov IT
Šola iz lastnih sredstev nabavlja manjše količine virov IT, za katere v pogodbenih
sporazumih, če ti sploh obstajajo, ne navaja pogodbenih določil o pravicah in obveznostih
glede nabave programske opreme, razvojnih virov, infrastrukture in storitev, razen pri
javnih razpisih, ki so del MIZŠ-ja.
Ocena zrelostne stopnje
OŠ IV MS se zaveda potrebe po osnovnih politikah in postopkih za nabavo IT-virov.
Politike in postopki so delno združeni s splošnim procesom nabave OŠ IV MS. Z
dobavitelji so redko sklenjeni okvirni in pogodbeni sporazumi, razen če je nabava IT-virov
izvedena iz javnih razpisov MIZŠ-ja. Nabava in zagotavljanje IT-virov potekata v okviru
priprave letnega načrta šole in letnega poročila ROID-ja, ki sta priloga dokumentu
finančne najave za tekoče šolsko leto. Načrt informatizacije za tekoče šolsko leto je
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
44
pripravljen po okvirni presoji ROID-ja in ne na podlagi IT-strategije, saj ta ne obstaja. Letni
načrti za nabavo IT-virov se ne navezujejo na operativne načrte oziroma na IT-strategijo,
saj te OŠ IV MS nima zapisane v formalni obliki kakor tudi ne poslanstva IT.
Popis in lastništvo sredstev za IT-opremo se izvajata enkrat letno. Opravi ju oseba,
zadolžena za popis IT-opreme v tekočem šolskem letu ter ju primerja s prejetim izpisom
računovodske službe. Proces popisa je pomanjkljiv, saj ni nobene kontrole nad osebo, ki
popis izvaja. Vsa potrdila o prejemu opreme niso zbrana in verificirana. Proces
»Zagotovite vire IT« bi lahko na osnovi podanih ugotovitev ocenili z oceno 2.
Tveganje
Navedena dejstva predstavljajo tveganje pri postopkih nabave IT-opreme, ki so izpeljani
neformalno in na podlagi pridobljenih ponudb dobaviteljev, pri katerih se ne upoštevajo
nobena pogodbena določila o pravicah in obveznostih. Treba bi bilo vzpostaviti
standardizirane postopke za sklenitev, spremljanje in prekinitev pogodb z vsemi
dobavitelji.
Priporočilo
Priporočamo, da se na šoli vzpostavi proces za urejanje in določanje postopkov pri nabavi
IT-virov. Vsako večje naročilo naj vsebuje pogodbo med dobaviteljem in šolo, vsaka
pogodba naj je sestavljena po standardiziranih postopkih za sklenitev, spremljanje in
prekinitev pogodbe. Pogodbe naj sestavi vodstvo ob nasvetih pravne službe in svetovanju
ROID-ja pri določanju tehnoloških specifikacij, ki naj jih storitev ali oprema IT vsebuje.
Pogodbena določila o pravicah in obveznostih pri nabavi je treba dosledno navajati in
izvajati.
5.4.3 DS5 Zagotovite varnost sistemov
Informacije in podatki so neprecenljivi del vsake organizacije. Potreba po njihovem
vzdrževanju in celovitosti ter varovanju sredstev IT je postala nuja. Da bi temu
zadostili v čim večji meri, uporabljamo proces upravljanja varovanja. Ta proces
vključuje vzpostavitev in vzdrževanje vlog in zadolžitev, politik, standardov in
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
45
postopkov za varovanje IT. Izvajajo se spremljanja varovanja in testiranja, preko
katerih lažje ugotovimo varnostne slabosti ali incidente. Z uspešnim upravljanjem
varovanja smo deležni večje zaščite vseh sredstev IT in s tem posledično
zmanjšujemo vpliv varnostnih ranljivosti in incidentov na celotno poslovanje [13].
Ugotovitve
Po pregledu delovanja ROID-ja in delovanja nekaterih kontrol na področju informacijske
varnosti, ki vplivajo na varnost informacij v OŠ IV MS, ugotavljamo naslednje stanje:
Fizično varovanje ni urejeno v celoti. Vhodna kontrola za vstop v stavbo je
preprosta alarmna naprava, ki je aktivirana v času nedelovanja šole. V delovnem
času za nadzor in varovanje skrbi informator, ki identificira in usmerja zunanje
obiskovalce zavoda. Dostop v šolo je urejen skozi glavna vrata, ostali dostopi so
zunanjim obiskovalcem brez spremstva onemogočeni. OŠ IV MS ne uporablja
videonadzora.
Pravice dostopov do posameznih aplikacij MIZŠ-ja so urejene s certifikati, ki
omogočajo vsakemu uporabniku sistema enkratno avtentikacijo in dostop do vseh
aplikacij, za katere je uporabnik avtoriziran, in dostop do ustreznih podatkov
zavoda, za katerega uporabnik vnaša podatke. Za dodeljevanje pravic dostopov
do posameznih aplikacij MIZŠ-ja je na OŠ IV MS formalno zadolžen ravnatelj.
Dodeljevanje uporabniških računov je urejeno. Uporabniki se dodajajo v aktivni
imenik AD, kjer so razvrščeni v ustrezne skupine dostopa, odvisno od potreb
posameznika.
Varnostni incidenti, ki nastanejo, se odpravljajo po potrebi in časovnih zmožnostih
ROID-ja, ki za odpravo teh ni pogodbeno zadolžen. Ni nobenega informacijskega
sistema, ki bi omogočal prijavo nastalega incidenta, zato je odprava dolgotrajnejša
in ni transparentna.
Komunikacija med zaposlenimi poteka osebno, preko elektronske pošte ali foruma
e-zbornice.
Sistematična ocena tveganj na področju varnosti IS se ne izvaja.
OŠ IV MS nima pogodbeno odgovorne osebe, zadolžene za izvajanje aktivnosti in
nadzora nad informacijsko varnostjo, ki bi poročala neposredno odgovorni osebi OŠ IV
MS in skrbela za politike, standarde in postopke varovanja IT.
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
46
Kontrolni cilji
DS5.1 Upravljanje varnosti sistemov
Upravljanje varnosti sistemov se upravlja po lastni presoji ROID-ja in se izvaja na nižji
organizacijski ravni.
DS5.2 Načrt varovanja IT
Šola nima formalno zapisanega načrta za varovanje IT. Zaposlenim se v obliki sestankov
predajo navodila glede upravljanja z gesli, varovanja zaupnih podatkov, ustrezne uporabe
službene IT-opreme v organizaciji in izven nje, pridobivanja in uporabe ter obdelave
raznih podatkov, ki so del poslovnih procesov.
DS5.3 Upravljanje identitete
Uporabniki in njihove dejavnosti na sistemih IT so enolično prepoznavni. Učenci, učitelji in
administracija dostopajo do sistemov z lastnim domenskim uporabniškim računom, ki je
odvisno od statusa uporabnika razporejen v ločene skupine. Vsi uporabniki se prijavijo z
uporabniškim imenom in geslom in na podlagi avtentikacije dostopajo do avtoriziranih
podatkov in delov periferije, ki jim je omogočena (npr.: uporaba USB-ključa, pogona
CD/DVD, tiskalnikov itd.). Pravice uporabnikov glede dostopa do sistemov in podatkov
določa ROID, ki obenem skrbi za varnost IT v šoli. Dostopne pravice se opravljajo
centralno preko aktivnega imenika AD-ja.
DS5.4 Upravljanje uporabniškega računa
Šola formalnih postopkov glede uporabnikov, ki se tičejo vzpostavitve, spremembe,
zaprtja ali začasnega odvzema uporabniškega računa, nima. Te storitve za učence
opravlja ROID po potrebi, v primeru zaposlenih se ROID posvetuje z vodstvom. Postopki
za odobritev uporabnikovega dostopa do želenega sistema in podatkov ne obstajajo,
uporabnikom se pravice in dostopi dodelijo po potrebi in v skladu z varnostno politiko OŠ
IV MS. Vodstveni pregledi vseh računov in z njimi povezanih privilegijev se izvajajo vsako
leto pred začetkom šolskega leta.
DS5.5 Testiranje, nadzor in spremljanje varovanja
Testiranje, nadzor in spremljanje vpeljevanja varnosti v OŠ IV MS se ne izvajajo. Ni
periodičnega preverjanja varnosti IT, ki zagotavlja vzdrževanje osnovne ravni varovanja
informacij.
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
47
DS5.6 Opredelitev varnostnega incidenta
Nikjer ni opredeljenih značilnosti morebitnih varnostnih incidentov, kar otežuje njihovo
odpravo. Procesi za obvladovanje incidentov ne obstajajo. Ko ti nastanejo, jih odpravljajo
ad hoc.
DS5.7 Zaščita varnostne tehnologije
Naloge varovanja IT in zaščita pred nepooblaščenim dostopom ne spadajo v pogodbena
dela in naloge, ki jih izvaja ROID. Kljub temu se naloge izvajajo, saj so temelj varovanja
podatkov in opreme IT. Dokumentacije o varovanju ne obstajajo.
DS5.8 Upravljanje kriptografskih ključev
Šola nima vpeljane politike in postopkov za kreiranje, spreminjanje, preklic, uničenje,
posredovanje in certifikacije kriptografskih ključev, saj le ROID občasno uporablja
kriptografske ključe PGP (Pretty Good Privacy) za namene pošiljanja elektronske pošte.
Za shranjevanje in uporabo certifikatov je na šoli zadolžen ROID, ki skrbi za pravilne
prevzeme in izvoze certifikatov, dodeljenih s strani MIZŠ-ja ali certifikatne agencije
SIGEN-CA. Certifikati se hranijo na dveh ločenih zunanjih medijih (dvd, trdi disk ipd.), ki
so varno shranjeni v prostorih arhiva OŠ IV MS v ognjevzdržni omari.
DS5.9 Preprečevanje in odkrivanje zlonamernih programov in popravljanje
Šola ima na šolskem strežniku vzpostavljen mehanizem za upravljanje varnostnih
popravkov WSUS (Windows Server Update Services), ki za posamezno različico
operacijskega sistema Windows ureja in ponuja potrebne popravke. ROID poskrbi, da so
na vseh računalnikih nameščeni ustrezni operacijski sistemi, zaščiteni s programi za
zaščito pred raznimi virusi, trojanskimi konji, črvi, vohunskimi programi ter nezaželeno
elektronsko pošto.
DS5.10 Omrežna varnost
Za omrežje in njeno delovanje na šoli skrbi ROID, ki z upravljanjem požarnih zidov,
filtriranjem prometa na usmerjevalniku, dodajanjem želenih ali onemogočanjem
nezaželenih spletnih storitev (npr.: Facebook, E-stave, neprimerne vsebine itd.) skrbi za
varnost IT v šoli. Vzpostavljeno je fizično ločevanje omrežja na strojnem nivoju z uporabo
usmerjevalnika CISCO. Omrežji se ločujeta na pedagoško in administrativno. Dostop do
administrativnega omrežja iz pedagoškega omrežja je omogočen le v primeru uporabe
ustreznih filtrov usmerjevalnika, s preverjanjem dostopa ustreznega IP-naslova (Internet
Protocol) računalnika.
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
48
DS5.11Izmenjava občutljivih podatkov
Zaposleni na šoli niso dovolj ozaveščeni glede prenašanja občutljivih podatkov iz ene
lokacije na drugo, zato velikokrat za prenos podatkov uporabljajo poti, nevredne zaupanja,
kot so elektronska pošta poljubnega ponudnika, USB-ključ, razne mobilne naprave in
prenosni diski. Pri prenosu teh podatkov se ne uporabljajo kontrole za zagotovitev
verodostojnosti vsebine, dokazila o posredovanju, o prejemu in o neovrgljivosti izvora.
Ocena zrelostne stopnje
Ne obstajajo pogodbeno dodeljene zadolžitve in odgovornosti za varnost IT, vendar jih
ROID izvaja v sklopu sistemizacije ur, dodeljenih za IKT. Zaposleni so ozaveščeni o
potrebi po varovanju IT-opreme in podatkov, vendar je ta ozaveščenost razdrobljena in
nezadostna. V primeru incidentov obstaja način izmenjave informacij v obliki foruma, ki je
neučinkovit. Storitve tretjih strank, ki jih šola uporablja, kot so e-dnevniki, e-redovalnice,
najava prehrane, e-arhiviranje itd., ki vsebujejo občutljive podatke, izpolnjujejo vse
varnostne potrebe organizacije, odobrene in potrjene s strani MIZŠ-ja. Varnostne politike
niso formalno zapisane, vendar se letno dopolnjujejo. Potreba po izobraževanju
zaposlenih za doseganje višje ravni varovanja IT je nujna. Poročanja o nastalih incidentih
in zaznanih varnostnih luknjah se ne izvajajo in niso dokumentirana. Smernice glede
varnosti in dostopov do občutljivih podatkov se izvajajo na pobudo posameznika.
Usposabljanja glede varnosti se v obliki kratkih predavanj izvajajo le redko. Naloge
varovanja niso natančno opredeljene, kakor tudi ni opredeljeno, katera oseba jih mora
izvajati. Na podlagi podanih ugotovitev bi upravljanje procesa »Zagotovite varnost
sistemov« ocenili z oceno 2.
Tveganje
Brez sistematičnega pristopa k upravljanju z informacijsko varnostjo je OŠ IV MS
izpostavljena tveganjem, kot so:
izguba ugleda;
izguba podatkov;
odliv osebnih podatkov v javnost;
možnost napačnih podatkov.
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
49
Priporočilo
OŠ IV MS priporočamo, da sistematično uvede ustrezne kontrole logičnega dostopa na
podlagi izdelane ocene tveganj in v skladu s poslovno in IT-strategijo OŠ IV MS, če bo ta
vpeljana.
Priporočamo izdelavo načrta za varovanje IT, ki bo zajemal vse smernice varovanja IT,
potrebne za šolstvo. Določi naj se oseba, ki bo načrt varovanja IT izdelala in ga skupaj z
vodstvom predstavila zaposlenim na eni od sej učiteljskega zbora. OŠ IV MS priporočamo
tudi, da naj redno izvaja nadzor nad dostopi z največjimi pooblastili. Znotraj OŠ IV MS naj
se formalno določi odgovorna oseba, ki bo zadolžena za dodeljevanje pravic dostopov do
sistemov in podatkov, do katerih dostopajo zaposleni na OŠ IV MS. Zaposlenim na šoli
naj se v obliki izobraževanj predstavijo pomembnost varovanja občutljivih podatkov,
lastništvo nad podatki in ustrezne odgovornosti nad njimi.
5.4.4 DS11 Upravljajte podatke
Informacija je osnovno, a ključno sredstvo družbe. Upravljanje podatkov zahteva določitev
zahtev po upravljanju podatkov. Nezadostno upravljanje s podatki lahko pomeni nered in
izgubo podatkov ali nezmožnost lociranja določenega podatka. Pomembno je, da je
upravljanje podatkov pravilno organizirano in arhivirano za enostaven in pregleden dostop
do podatkov, ko je to potrebno. Poleg organizacije in arhiviranja podatkov proces
upravljanja podatkov vključuje tudi vzpostavitev uspešnih postopkov za upravljanje
knjižnice nosilcev podatkov, obnovo podatkov ter ustrezno odstranjevanje nosilcev
podatkov. Uspešno upravljanje podatkov pomaga zagotoviti kakovost, pravočasnost in
razpoložljivost poslovnih podatkov [13].
Upravljanje kakovosti podatkov ni samo naloga oddelka IT, ampak je del poslovnih
procesov, pri katerih naj bi se vsi vpleteni zavedali pomena kakovostnih podatkov za
uporabo pri poslovanju [31].
Ugotovitve
V OŠ IV MS za proces upravljanja podatkov v celoti skrbi ROID. Varnostne politike niso
formalno zapisane in se izvajajo po potrebi. Upravljanje podatkov je v glavnem
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
50
prepuščeno znanju enega posameznika. Tako se ROID pri izvajanju različnih zadolžitev
upravljanja s podatki znajde v različnih vlogah, kot so backup upravitelj, AD-administrator
in DBA-administrator.
Za varnostno kopiranje celotnih diskov ali posameznih particij diskov ter njihovo obnovo
se uporablja prostodostopna programska rešitev REDO Backup and Recovery, ki
omogoča arhiviranje slike diska ali particije na zunanji medij in njegovo obnovo brez
potrebe predhodne namestitve operacijskega sistema. Namenjena je ponovni vzpostavitvi
operacijskega sistema z vsemi pripadajočimi programi in podatki, ki so za posamezno
delovno okolje potrebni. Za varnostno kopiranje drugih podatkov, pomembnih za vodstvo
in poučevanje, se uporablja Windows Server Backup. Z uporabo programa za arhiviranje
se opravlja tedensko arhiviranje podatkov, ki so shranjeni v mapah, ki so dostopne le
avtoriziranim osebam in v katerih se nahajajo občutljivi podatki in podatki, potrebni za
vsakdanje delo. Te mape se nahajajo na strežniku, ki je zaščiten z geslom, vendar se
zaradi prostorske stiske na zavodu nahaja v računalniški učilnici, kjer je v delovnem času
dostop omogočen vsem zaposlenim in učencem zavoda. V popoldanskem času je
poskrbljeno za fizično zaščito zavoda v obliki samostojne alarmne naprave.
Na istem strežniku je nameščen aktivni direktorij AD, ki omogoča vsakemu zaposlenemu
– kot tudi učencu – prijavo v interno okolje, za katero je avtoriziran. AD uporabnike ločuje
v tri skupine dostopa (administracija, učitelji in učenci), ki omogočajo dostop do različnih
nivojev podatkov, od splošnih pa vse do občutljivih podatkov, odvisno od pravic
posameznika. Strežnik ima štiri ločene diske, ki so združeni v RAID 10, od katerih je en
par zvezan v RAID 0 (t. i. »striping«), drugi par pa v RAID 1 (zrcaljen). Pri okvari
posameznega diska se le-ta nadomesti z novim, enake velikosti.
Spletne učilnice in spletna stran zavoda uporabljajo podatkovno bazo MySQL, ki je pred
neavtoriziranim dostopom do podatkov zaščitena z geslom in uporabniškim imenom.
Skupine uporabnikov so organizirane glede na procese dela in imajo različno široke
dostope do rokovanja s podatki. Vsem zaposlenim je omogočen dostop do tako
imenovanih internih informacij, ki predstavljajo informacije, koristne za vse zaposlene, in
katerih dostopnost ne ogroža poslovnih procesov zavoda (npr. osebne mape učencev).
Za varovanje in arhiviranje podatkovne baze skrbi organizacija ARNES, ki zavodu z
možnostjo gostovanja omogoča uporabo spletnih učilnic (e-zbornica) na lastnih strežnikih.
Podjetje Microsoft zavodu v sklopu pogodbe EES (angl. Enrollment for Education
Solutions) omogoča uporabo oblačne storitve Office 365, ki zaposlenim omogoča hkratno
delo na istem dokumentu. Dostop do dokumenta je omogočen z enotnim uporabniškim
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
51
imenom in geslom AAI (ang.: authentication and authorisation infrastructure), ki ga ROID
upravlja s pomočjo storitve za upravljanje e-identitet sistema Idm (SIO MDM).
IDM omogoča:
upravljanje preko spletnega vmesnika,
sinhronizacijo izbranega nabora podatkov v AD in OpenLDAP,
organizacijo podatkov glede na potrebe vzgojno-izobraževalnih zavodov,
dostop zunanjih aplikacij do podatkov preko spletnih storitev,
urejanje podatkov o zaposlenih, učencih in starših.
Posebnega usposabljanja ROID-ja na področju upravljanja s podatki v šolstvu ni. ROID
znanje pridobiva s pomočjo razpisanih seminarjev iz kataloga stalnega strokovnega
izpopolnjevanja, seminarjev skupnosti SIO (Slovensko izobraževalno omrežje) in različnih
IT-konferenc ter raznega spletnega in knjižnega gradiva. Velik del znanja predstavljajo
samoiniciativnost in izkušnje ROID-ja, ki ga v obliki seminarjev, delavnic ali individualno
posreduje zaposlenim. Za zaposlene v zavodu so po potrebi ali ob menjavi strojne,
programske in aplikativne IT-opreme organizirane delavnice in predavanja, ki jih odvisno
od situacije izvaja ROID ali zunanji predavatelj.
Podatki, ki se potrebujejo redko, so arhivirani na zunanje medije, kot so zunanji diski ali
DVD-ji, ki se hranijo v prostoru arhiva v ognjevzdržni omari. Arhivirani podatki se
preverjajo enkrat na leto, pri čemer se z navadnim kopiranjem ugotavlja možnost dostopa
do podatka.
Nosilci podatkov za shranjevanje, ki so poškodovani ali jih ne potrebujejo več, se trajno
uničijo.
Kontrolni cilji
DS11.1 Poslovne zahteve za upravljanje podatkov
Vsi podatki, potrebni za upravljanje zavoda in pričakovani za obdelavo, so prejeti pravilno
in pravočasno ter obdelani v celoti. Prav tako se tudi vsi rezultati razdelijo v skladu s
poslovnimi zahtevami. Izvajajo se redne varnostne kopije glede finančnega poslovanja
zavoda, ki so predmet zunanje računovodske službe Skupnosti zavodov Murska Sobota.
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
52
DS11.2 Dogovori za shranjevanje in hrambo
Postopki za uspešno in učinkovito shranjevanje podatkov, njihovo hrambo in arhiviranje
so neformalno opredeljeni in vpeljani na način, ki izpolnjuje poslovne cilje, varnostno
politiko in zahteve regulative na ravni potreb osnovnega šolstva.
DS11.3 Sistem za upravljanje knjižnice nosilcev podatkov
Postopki za vzdrževanje popisa shranjenih in arhiviranih nosilcev podatkov so vpeljani in
opredeljeni, vendar se ne vodijo klasificirano in niso zapisani v strukturirani formalni obliki,
zato sta ponovna uporaba in iskanje podatkov otežena. Zagotovljena je celovitost in
uporabnost podatkov. Arhivi podatkov se pregledujejo enkrat letno, pri čemer se preveri
ustreznost nosilca podatkov. Ob zastarelosti tehnologije arhiviranja podatkov se le-ta
prilagodi na ustrezno, ki omogoča ponovno obnovitev in arhiviranje podatkov.
DS11.4 Odstranjevanje
Postopki, ki zagotavljajo, da so poslovne zahteve za varstvo občutljivih podatkov in
programske opreme izpolnjene, ko se podatki in strojna oprema odstranijo ali prenesejo,
so delno vpeljani, vendar opredeljeni. Vsi nosilci občutljivih podatkov se pred odpisom in
uničenjem strojne opreme odstranijo in trajno uničijo tako, da obnovitev ali razpoznavnost
podatkov ni več možna. Nosilci se uničijo v šoli in ne v sodelovanju z organizacijami, ki se
ukvarjajo z uničenjem zaupnih podatkov. Pri zamenjavi opreme podatke, namenjene
vsakdanjemu delu, ki niso zaupne narave, pobrišejo iz nosilcev podatkov (trdi diski), ki jih
nato zapolnijo z nepomembnimi podatki v velikosti celotnega nosilca. Trde diske ponovno
uporabijo na mestih, kjer so potrebni. Nosilci podatkov, ki se uporabljajo redko, se hranijo
v ognjevzdržni omari v prostorih arhiva zavoda. Ostali nosilci podatkov, kot so DVD-ji, CD-
ji, diskete, USB-ključki, se fizično uničijo, tako da njihova obnovitev ni več možna. Ni pa
zagotovljeno, da vsi zaposleni na OŠ IV MS, ki upravljajo s podatki zaupne narave, to
počnejo na način, ki je potreben za zagotovitev varovanja občutljivih podatkov.
DS11.5 Varnostno kopiranje in obnova
Postopki za varnostno kopiranje in obnovo sistemov, aplikacij, podatkov so delno vpeljani
in opredeljeni. Postopki dokumentacije v skladu s poslovnimi zahtevami in načrtom za
neprekinjenost niso opredeljeni in niso vpeljani. Ne obstajajo rezervne lokacije strežniških
kapacitet, ki bi ob izpadu električnega omrežja ali ob okvari strojne opreme omogočale
dostop do nujnih podatkov oziroma podatkov, potrebnih za obveščanje širše javnosti, kot
je spletna stran šole.
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
53
Za varnostno kopiranje podatkov je zadolžen ROID, ki z ustreznimi orodji izvaja varnostne
kopije v določenih časovnih intervalih. Za obnovo podatkov zadostuje ustni dogovor med
ROID-jem in zaposlenim, ki podatke potrebuje. Ob tem ni nobenega formalnega zapisa,
kdo, kdaj in s katerim namenom je do občutljivih podatkov dostopal. Varnostno kopiranje
in obnova sistemov je urejena s programsko rešitvijo, ki z uporabo lastnega operacijskega
sistema, žive različice DVD-ja, omogoča ponovno vzpostavitev sistema različnih delovnih
postaj in strežnika v doglednem času.
DS11.6 Varnostne zahteve za upravljanje podatkov
Postopki za prepoznavanje in uporabo varnostnih zahtev, ki veljajo za sprejetje, obdelavo,
shranjevanje in ustvarjanje podatkov, so večinoma opredeljeni, tako da so poslovni cilji,
varnostna politika organizacije in zahteve regulatorjev delno izpolnjene. Varnostno
kopiranje ni posebej evidentirano, je le zabeleženo v dnevnikih orodja za izdelavo
varnostnih kopij.
Ocena zrelostne stopnje
OŠ IV MS se zaveda potrebe po uspešnem upravljanju podatkov. Lastništvo nad podatki
je dodeljeno ROID-ju, ki skrbi za celovitost in varnost podatkov. Varnostne zahteve niso v
celoti dokumentirane, nekatere so le ustno priporočilo zaposlenim. ROID izvaja
upravljanje s podatki, kot je varnostno kopiranje, obnova in odstranjevanje podatkov.
Zadolžitve glede upravljanja podatkov so le ustni dogovor med zaposlenimi, vodstvom in
ROID-jem. Postopki za upravljanje podatkov niso vedno formalizirani znotraj IT,
uporabljajo se nekatera orodja za varnostno kopiranje/obnovo in odstranjevanje opreme.
Metrike na tem področju niso opredeljene. Usposabljanje zaposlenih, ki upravljajo s
podatki, je izvedeno s strani ROID-ja ali s strani zunanjega predavatelja.
Informacijski proces upravljanja s podatki bi ocenili z oceno 2,5.
Tveganje
Brez sistematičnega pristopa k upravljanju z informacijsko varnostjo je OŠ IV MS
izpostavljena tveganjem, kot so:
izguba ugleda;
izguba podatkov;
odliv osebnih podatkov v javnost.
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
54
Priporočilo
Priporočljivo je uvesti postopke, ki natančno določajo način prenosa občutljivih podatkov
in predpisati medije, s katerimi se ti podatki lahko prenašajo.
Zaradi možnosti odtujitve, spreminjanja ali izbrisa občutljivih podatkov priporočamo
premestitev strežnika iz računalniške učilnice v prostore z omejenim dostopom in boljšim
fizičnim varovanjem.
Priporočljiva je vzpostavitev dnevnika vodenja arhivov, iz katerega bo brez fizičnega
dostopa do arhiva razvidno, katere podatke arhiv vsebuje, in bo možen vpogled v dnevnik
dostopa do arhiviranih podatkov, ki bo vseboval podatke o dostopih, kot so: datum
dostopa do podatka, oseba, ki podatek potrebuje, in namen uporabe podatka. Formalno je
treba določiti osebo, ki bo odgovorna za upravljanje z občutljivimi podatki in z arhivom.
Razpoložljivost podatkov bi se z uporabo dodatnega podatkovnega strežnika v oblaku, ki
bi ob okvari strojne opreme ali izpada električnega omrežja nadomestil glavni strežnik,
povečala.
Omogočijo naj se dodatna izobraževanja glede varnosti IT osebam, ki upravljajo z
občutljivimi podatki.
Trajno brisanje podatkov ali uničenje nosilcev občutljivih podatkov je priporočljivo predati
organizacijam, ki se ukvarjajo z uničenjem tovrstnih medijev ali podatkov.
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
55
6 ZAKLJUČEK
Informacijska varnost je ob hitrem tehnološkem razvoju nepogrešljiva v vsaki javni ali
zasebni organizaciji, saj so informacije ključno sredstvo pri doseganju njenih ciljev.
Uporaba napredne tehnologije, sodobnih orodij in ustrezne varnosti IT so merila pri
uvrščanju podjetij in organizacij med bolj ali manj uspešne. Za doseganje informacijske
varnosti v organizaciji je zelo pomembna dobra komunikacija med poslovnim vodstvom in
vodstvom IT.
Ob preučevanju kontrolnega okvirja COBIT, ki ponuja najboljše prakse upravljanja s
poudarkom na procesu strateškega načrtovanja informatike, smo poskušali izboljšati
informacijsko raven v osnovni šoli, pri čemer smo z vpeljavo omenjenega ogrodja in na
podlagi pridobljenih ocen izbranih informacijskih procesov poskušali določiti stopnjo
informacijske zrelosti v OŠ IV MS.
Za vsak izbrani proces smo ob ugotovitvah, ki opisujejo trenutno stanje šole na področju
IT, in kontrolnih ciljih podali oceno zrelosti in priporočila za izboljšanje informacijske
varnosti. Izbrali smo štiri informacijske procese, na podlagi katerih smo podali skupno
oceno, ki bi bila natančnejša ob izboru vseh 34 informacijskih procesov, ki jih opisuje
COBIT 4.1.
Sprva so se nam rezultati zdeli zaskrbljujoči, saj je za izbrane informacijske procese
skupna ocena znašala 1,9. S to oceno smo pokazali, da informacijski sistem OŠ IV MS
deluje neučinkovito do delno učinkovito. Po tehtnem premisleku se je odprlo vprašanje, ali
je kontrolni okvir COBIT kot orodje za obvladovanje informacijske varnosti smiselno
vpeljati v osnovno šolo. Osnovne šole se namreč z vidika kadrovanja in financiranja ne
razlikujejo veliko. Kot neprofitne organizacije se izključno financirajo iz javnih sredstev,
pridobljenih iz državnega proračuna. Zahteve procesov, ki jih za uspešno obvladovanje
informacijske varnosti predpisuje COBIT 4.1, so s finančnega in kadrovskega vidika
preveliko breme za osnovne šole, saj jih sistem upravljanja osnovnih šol pri izpolnjevanju
teh zahtev omejuje.
Vsekakor ne moremo mimo dejstva, da je za obvladovanje informacijske varnosti v
osnovni šoli potrebno močno sodelovanje poslovnega vodstva in vodstva IT
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
56
Za upravljanje IT je na osnovni šoli zadolžen ROID, za katerega je bila sistemizacija dela
– in s tem njegove delovne obveznosti – sprejeta pred dvema desetletjema. Z vsakim
vnosom nove tehnologije v šolo se povečajo tudi zadolžitve ROID-ja, kar vpliva na
njegovo obremenjenost pri izvajanju dnevnih opravil.
Ravnatelj kot vodja šole odgovarja za vse spremembe (finančne kot kadrovske), ki se
izvedejo v šoli. Na OŠ IV MS je ravnatelj predan poslovnemu, kadrovskemu in
pedagoškemu vodenju šole. Ob tem je zelo pomembno, da se informacije, povezane z IT,
vodstvu predstavijo na način, kot ga ta razume. Z dobro skupno komunikacijo in pravo
strategijo razvoja IT bo v prihodnosti obvladovanje informacijske varnosti v OŠ IV MS
zadovoljivo.
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
57
7 LITERATURA IN VIRI
[1] Wikipedia, Informacijska varnost.
http://sl.wikipedia.org/wiki/Informacijska_varnost
[2] Egan Mark, Mather Tim, [prevajalec: Milan Bedrač], Varnost informacij:
grožnje, izzivi in rešitve: vodnik za podjetja, Ljubljana, 2005.
[3] Igor Bernik, Blaž Markelj, Sodobni aspekti informacijske varnosti: serija:
informacijska varnost, Ljubljana, 2013: Fakulteta za varnostne vede.
http://www.fvv.um.si/knjigarna/eknjige/pdf/Sodobni_aspekti_informacijske_
varnosti.pdf
[4] mag. Boštjan Kežmah, Varnost in zaščita: Učno gradivo, Maribor 2009.
[5] Hausing.
http://www.housing.si/sl/Varnost_info_sistemov/
[6] Rok Bojanc, Doktorska disertacija: Modeli zagotavljanja varnosti v
poslovnih informacijskih sistemih, Ljubljana 2010.
http://www.cek.ef.uni-lj.si/doktor/bojanc.pdf
[7] Oglasna priloga revije Monitor: Informacijska varnost, Januar 2009.
[8] Network World, Chapter 1: Overview of Network Security.
http://www.networkworld.com/article/2274081/lan-wan/chapter-1--
overview-of-network-security.html
[9] SIQ Slovenski institut za kakovost in meroslovje.
http://www.siq.si/ocenjevanje_sistemov_vodenja/aktualno/nova_izdaja_sta
ndarda_iso_27001/index.html
[10] ISACA, gradiva.
http://www.isaca.si/download.php
http://www.isaca.org/COBIT/Documents/COBIT-5-for-Information-Security-
Introduction.pdf
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
58
[11] Wikipedia, ISO/IEC 27002.
http://en.wikipedia.org/wiki/ISO/IEC_27002
[12] COBIT 5 Principles, Separating Governance from Management.
http://jobenoncobit5.blogspot.si/2014_01_01_archive.html
[13] ITGI, COBIT 4.1 Okvir, Kontrolni cilji, Smernice za upravljanje, Zrelostni
modeli.
http://www.isaca.org/Knowledge-Center/cobit/Documents/COBIT-4.1-
Slovenski.pdf?regnum=246270
[14] Whatls, confidentiality, integrity, and availability (CIA triad).
http://whatis.techtarget.com/definition/Confidentiality-integrity-and-
availability-CIA
[15] Srinivasan. Arani, Information Security Management System; LinkedIn
SlideShare, april 2013.
http://www.slideshare.net/aranisri/information-security-management-
system
[16] A. Groznik, A. Kovačič, Skladnost poslovnega strateškega načrta s
strateškim načrtom informatike, v zborniku uporabna informatika, Ljubljana,
2001.
[17] Andrej Funkel, Vpeljava kontrolnega okvirja COBIT v informacijski sistem
podjetja Mikropis Holding, d. o. o.: Diplomska naloga, Maribor, 2011.
https://dk.um.si/Dokument.php?id=24904
[18] Alenka Brezavšček, Stane Moškon, Vzpostavitev sistema za upravljanje
informacijske varnosti v organizaciji: Uporabna informatika, Strokovni
prispevek, 2010.
http://www.dlib.si
[19] dr. Simon Vavpotič, Revija Monitor Pro: Varnost na prvem mestu, januar
2015.
[20] Daniel Russenberger, Einhaltung der anforderungen aus dem
SARBANES-OXLEY ACT MIT HILFE DER STANDARDS ISO/IEC 27001 &
27002: Diplomska naloga, Luzern, 2007.
http://docplayer.org/3614834-Einhaltung-der-anforderungen-aus-dem-
sarbanes-oxley-act-mit-hilfe-der-standards-iso-iec-27001-27002.html
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
59
[21] SIQ Celovite rešitve.
http://www.siq.si/ocenjevanje_sistemov_vodenja/aktualno/nova_izdaja_sta
ndarda_iso_27001/index.html
[22] Osnovna šola IV Murska Sobota.
http://www.os4ms.si
[23] D. Zver, I. Bernik, Uporaba ISO Standardov skozi informacijsko varnostne
politike nadzora dostopa do informacijskega sistema: 13. dnevi
varstvoslovja, Portorož 2012.
http://www.fvv.um.si/DV2012/zbornik/informacijska_varnost/zver_bernik.pd
f
[24] ISO/IEC 27000:2016 Standard.
http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html
[25] Marko Potokar, Ivo Bernik, Vzpostavitev sistema upravljanja varovanja
informacij za projekt e-arhiviranja v skladu z zvdaga in zvop-1: Prispevek
na konferenci Tehnični in vsebinski problemi klasičnega in elektronskega
arhiviranja, Radenci, 2014.
http://www.pokarh-
mb.si/uploaded/datoteke/radenci2014/03_potokar_2014.pdf
[26] Advisera 27001 Academy.
http://advisera.com/27001academy/hr/sto-je-iso-22301/
[27] Advisera 27001 Academy.
http://advisera.com/27001academy/hr/sto-je-iso-27001/
[28] ISO Survey.
http://www.iso.org/iso/iso-survey
[29] Računsko sodišče Republike Slovenije, Revizijsko poročilo: Učinkovitost
delovanja informacijskega sistema za vrtce Ministrstva za šolstvo in šport,
Arhiv revizijskih poročil, februar 2011.
http://www.rs-rs.si/rsrs/rsrs.nsf/PorocilaArhiv?
[30] Wikipedia, COBIT.
https://en.wikipedia.org/wiki/COBIT
[31] Maja Ferle, Upravljanje kakovosti podatkov, Revija Monitor Pro, pomlad
2013 (str. 26–28)
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
60
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
61
Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT
62