UNIVERZA V MARIBORU EKONOMSKO-POSLOVNA FAKULTETA

DIPLOMSKO DELO

POSEBNOSTI REVIDIRANJA VARNOSTI INFORMACIJSKIH SISTEMOV S PRAKTIČNIM

PRIMEROM REVIZIJE V PODJETJU "X" Študent: Andrej Štaleker Številka indeksa: 81583690 Program: univerzitetni Študijska smer: računovodstvo in revizija Mentor: Andreja Lutar-Skerbinjek

Maribor, april, 2007

2

Predgovor Učinkovit in varen informacijski sistem je za vsako podjetje zelo pomemben del poslovanja. Poslovanje s podporo informacijskega sistema je postalo samoumevno in nuja v današnjem poslovnem svetu, saj s pomanjkljivim in nepopolnim informacijskim sistemom podjetja niso konkurenčna in nimajo obstoja na vse bolj zahtevnih trgih. Z razvojem v zadnjih 20 letih je tudi informacijski sistem postal bolj kompleksen in zapleten. Nove tehnologije v računalništvu, omrežjih in komunikacijah so prinesle veliko izboljšav, uporaba interneta hitro sporočanje in reagiranje, vse to pa je prineslo tudi potrebo po večjem obvladovanju informacijskega sistema, še posebej z vidika varnosti, saj so se z novo tehnologijo, ki je dostopna vsakomur, sorazmerno povečala tudi tveganja pri mrežnem kriminalu, prevarah in goljufijah, pa tudi nenamernih napakah. Predvsem zaradi takšnih dejavnikov potrebujemo način, s katerim bi se čim bolj izognili nezaželenih dogodkov povezanih s varnostjo informacijskega sistema. Izoblikovala se je nova vrsta revizije, revizija informacijskega sistema, ki na podlagi mednarodnih standardov, smernic in metodologij preverja skladnost, učinkovitost, predvsem pa varnost informacijskih sistemov v podjetjih. V diplomski nalogi bomo preučili revizijo informacijskega sistema, kako se izvaja ter na kakšni osnovi. Izmed veliko standardov in metodologij povezanih s revizijo informacijskega sistema, bodo v diplomskem delu predstavljeni ISO 17799 (27002), ITIL in COBIT, ki so priznani in se uporabljajo po celem svetu. Sledil pa bo primer revizije informacijskega sistema podjetja "X" na podlagi standarda ISO 17799:2005.

3

KAZALO

1 UVOD .............................................................................................................6 1.1 Opredelitev področja in opis problema ...................................................6 1.2 Namen, cilji in osnovne trditve................................................................7 1.3 Predpostavke in omejitve raziskave .......................................................7 1.4 Predvidene metode raziskovanja............................................................8

2 ZNAČILNOSTI INFORMACIJSKIH SISTEMOV, POMEMBNE ZA PRESOJO NJIHOVEGA DELOVANJA......................................................................................9

2.1 Značilnosti informacijskih sistemov.........................................................9 2.2 Vrste informacijskih sistemov glede na ravni upravljanja v organizaciji 11 2.3 Varnost informacijskih sistemov............................................................13

2.3.1 Tveganje in ranljivosti.......................................................................14 2.3.2 Varnostna politika .............................................................................14 2.3.3 Varnostna arhitektura v informatiki ...................................................14

2.4 Ugotovitve 2. poglavja ..........................................................................15 3 REVIZIJA INFORMACIJSKIH SISTEMOV....................................................16

3.1 Pomen revizije informacijskih sistemov v gospodarskih družbah .........16 3.2 Obvladovanje tveganj na področju informatike.....................................16 3.3 Revizija informacijskih sistemov ...........................................................17

3.3.1 Vloga in naloge revizorja informacijskih sistemov ............................18 3.3.2 Postopek revizije informacijskega sistema .......................................20

3.4 Ugotovitve 3. poglavja ..........................................................................25 4 STANDARDI IN SMERNICE ZA REVIDIRANJE IS Z VIDIKA VARNOSTI ....26

4.1 Pregled nekaterih standardov in smernic namenjenih varnosti IS ........26 4.1.1 ISO standardi ...................................................................................26 4.1.2 Ostale metodologije in standardi ......................................................27

4.2 Standard ISO 17799 .............................................................................27 4.2.1 Zgradba standarda ...........................................................................28 4.2.2 ISO/IEC 27001 .................................................................................29 4.2.3 Prihodnost standarda .......................................................................30

4.3 ITIL .......................................................................................................31 4.3.1 Zgradba ITIL.....................................................................................32 4.3.2 ITIL in varnost informacijskih sistemov.............................................34 4.3.3 Prednosti ITIL metodologije..............................................................35

4.4 COBIT ..................................................................................................35 4.4.1 Zgradba............................................................................................35 4.4.2 Kocka COBIT ...................................................................................39

4.5 Ugotovitve 4. poglavja ..........................................................................40

4

5 REVIZIJA VARNOSTI INFORMACIJSKEGA SISTEMA V PODJETJU "X" ...41 5.1 Priprava na revidiranje..........................................................................41 5.2 Izvedba.................................................................................................41 5.3 Poročilo ................................................................................................42

5.3.1 Zgradba informacijskega sistema.....................................................42 5.3.2 Varnostna politika .............................................................................43 5.3.3 Organiziranje varnosti informacijskega sistema ...............................43 5.3.4 Upravljanje s dobrinami....................................................................45 5.3.5 Varovanje z vidika zaposlenih ..........................................................47 5.3.6 Fizična zaščita in zaščita okolja........................................................48 5.3.7 Upravljanje s komunikacijami in obratovanjem.................................50 5.3.8 Nadzor dostopa ................................................................................55 5.3.9 Nabava, razvoj in vzdrževanje informacijskega sistema ..................59 5.3.10 Upravljanje z incidenti informacijske varnosti ...............................61 5.3.11 Upravljanje neprekinjenega poslovanja........................................62 5.3.12 Združljivost ...................................................................................62

Ugotovitve 5. poglavja.......................................................................................64 6 SKLEPNE UGOTOVITVE.............................................................................65 7 POVZETEK IN KLJUČNE BESEDE .............................................................66 8 ABSTRACT AND KEYWORDS.....................................................................67 9 VIRI IN LITERATURA ...................................................................................68

5

KAZALO SLIK Slika 1: SESTAVINE INFORMACIJSKEGA SISTEMA (O'Brien, 2003, 11)................... 11 Slika 2: PRIKAZ RAVNI PODPORE IS V ORGANIZACIJI ............................................ 13 Slika 3: Model PDCA za upravljanje informacijskih .......................................................... 30 Slika 4: Zgradba ITIL (Chorus Systems, 2005)................................................................... 32 Slika 5: INFORMACIJSKI VARNOSTNI PROCES (Weil, 2004)..................................... 34 Slika 6: COBIT OGRODJE (IT Governace Institute – Cobit 4.0, 2005) ............................ 37 Slika 7: KOCKA COBIT (Žabkar, 2005, 259) .................................................................... 39 Slika 8: Osnovna zgradba informacijskega sistema v podjetju "X".................................... 42

6

1 UVOD 1.1 Opredelitev področja in opis problema Za uspešno in učinkovito podjetje je informacijski sistem eden izmed najpomembnejših delov podjetja. Razvoj informacijske tehnologije v drugi polovici 20. stoletja, je s seboj prinesel vedno bolj zapletene in kompleksnejše informacijske sisteme. Lahko ga primerjamo s živčnim sistemom v človeškem telesu. Po njem se pretakajo informacije, ki so za podjetje bistvenega pomena. Brez pravočasnih, natančnih in celovitih informacij podjetje ne bi poslovalo konkurenčno in učinkovito oz. sploh nebi obstojalo. Ker je informacijski sistem tako pomemben za podjetje, ga je potrebno pravilno varovati in zaščititi. Dejstvo je, da lahko kadarkoli pride do izgube informacij zaradi kakršnegakoli vzroka, ali je to malomarnost ali neznanje zaposlenih ali pa zaradi različnih zunanjih dejavnikov, kot so kraje informacij ali zgolj objestnost, kar lahko povzroči zastoj celotnega procesa v podjetju in nemalokrat tudi stečaj. Da se zmanjša tveganje izgube, napak ali kraje informacij na minimum, je potrebno v podjetju opraviti revizijo informacijskega sistema. Podjetja se nemalokrat tega zavejo šele takrat, ko je že prepozno. Z razvojem interneta, ki je omogočil večjo povezljivost kot kadarkoli prej, je naraslo tudi tveganje za varnost podjetja. Vendar sama varnost in zaščita ni pomembna samo za podjetje kot samostojno enoto, ampak tudi za njene partnerje, stranke in dobavitelje. Le-ti namreč potrebujejo zagotovilo, da ima podjetje zanesljiv in varen informacijski sistem. Revizija informacijskih sistemov ni zakonsko določena, vendar se kljub temu vedno več podjetij odloča za takšno revizijo, saj se zavedajo pomembnosti učinkovitega in varnega delovanja informacijskega sistema. Z upoštevanjem ugotovitev in priporočil revizije, podjetja pridobijo varen in učinkovit informacijski sistem, kar je temelj za uspešno poslovanje. Za potrebe revidiranja, varovanja in nadzora informacijskih sistemov obstaja mnogo standardov, smernic in metodologij. Med njimi je za varovanje informacij najbolj primeren ISO 17799 (znan tudi kot BS 7799 oz. po novem ISO 27002). Nudi vrsto splošnih kontrol, ki temeljijo na najboljši praksi pri varovanju informacij. S temi pripomočki revizor informacijskega sistema objektivno pregleda informacijski sistem v podjetju in tako dobi podjetje zagotovilo o varnosti informacij in posledično s prejemom certifikata sporoča njenim partnerjem, da je s podjetjem varno poslovati.

7

1.2 Namen, cilji in osnovne trditve Namen diplomske naloge je proučiti posebnosti revidiranja varnosti informacijskih sistemov in opraviti revizijo informacijskega sistema v izbranem podjetju na podlagi ISO standarda 17799, ki se osredotoča na varovanje informacij. Cilji diplomske naloge so raziskati značilnosti informacijskih sistemov, nadalje proučiti revizijo informacijskih sistemov in njene posebnosti v primerjavi s drugimi oblikami revizij ter naloge in odgovornosti revizorja informacijskih sistemov. Cilj je tudi proučiti najpomembnejše standarde, smernice in metodologije, ki so podlaga reviziji informacijskih sistemov. Poleg tega je cilj naloge opraviti revizijo informacijskega sistema v izbranem poslovnem sistemu. Dokazali bomo, da ima revizija informacijskih sistemov pomembno vlogo pri zmanjševanju tveganj in ranljivosti v informacijskem sistemu in s svojimi ugotovitvami prispeva k izboljšanju varnosti celotnega podjetja in njegovih procesov. Prav tako bomo z revizijo informacijskega sistema v proučevanem podjetju poskušali dokazati, da ima to podjetje za svoje potrebe dovolj varen in zaščiten informacijski sistem. 1.3 Predpostavke in omejitve raziskave Osnovna predpostavka je, da je varen informacijski sistem v današnjem času v podjetju nuja, za nemoteno, pravočasno, natančno in učinkovito poslovanje. Ker je za podjetje bistvenega pomena, ga je potrebno redno pregledovati oz. revidirati. Revizija pa mora temeljiti na svetovno priznanih standardih, smernicah in metodologijah. Predpostavljamo, da se določila standarda v času raziskave ne bodo spremenila. Predpostavlja se tudi, da ima podjetje predstavljeno v praktičnem delu, uveden in delujoč informacijski sistem. Zaradi velikega števila standardov oz. metodologij, ki se uporabljajo pri reviziji IS in zaradi omejenega obsega diplomske naloge, ni mogoče preučiti vseh. Omejili smo se na tri svetovno znane standarde oz. metodologije, revizijo v podjetju pa opravili z enim, in sicer z ISO 17799 (27002), ker smatramo, da je ta v danih okoliščinah najprimernejši, ker se osredotoča na zaščito in varnost informacijskega sistema. Pri izvedbi revizije smo se omejili na en poslovni sistem. Omejili smo se samo na angleško in slovensko literaturo.

8

1.4 Predvidene metode raziskovanja Naloga bo poslovna raziskava, ker se bo osredotočala na informacijski sistem v podjetju in na revidiranje le-tega. Za potrebe naloge se bo uporabljal deskriptivni način in sicer se bo v poglavjih o značilnostih informacijskih sistemov, reviziji informacijskih sistemov in v poglavjih, kjer se bodo proučevali standardi oz. metodologije, uporabljala metoda kompilacije, na podlagi katere se bodo povzemale opazovanja, spoznanja, stališča, sklepi in rezultati drugih avtorjev. Poleg deskriptivnega načina se bo uporabljal tudi analitični pristop. V okviru analitičnega pristopa se bosta uporabili metodi dedukcije in indukcije. Pri dedukciji gre za miselno sklepanje od pojava k njegovim sestavnim delom oz. za razčlenjevanje celotnega pojava na sestavne dele. Ta metoda se bo predvsem uporabila pri ugotavljanju značilnosti informacijskih sistemov in revizije informacijskih sistemov. Metoda indukcije pa se bo uporabila pri raziskavi standardov, kjer se bo skušalo s pomočjo proučitve posameznih delov določenega standarda oz. metodologije raziskati pomen le-tega v skupni celoti.

9

2 ZNAČILNOSTI INFORMACIJSKIH SISTEMOV, POMEMBNE ZA PRESOJO NJIHOVEGA DELOVANJA

2.1 Značilnosti informacijskih sistemov Informacijski sistemi so stari toliko kot človeška družba. Brez informacijskih sistemov namreč ni možna nobena oblika organizacije. Skozi zgodovino sta se tako kot druga področja razvijali tudi informacijska in komunikacijska tehnologija. Zlasti hiter razvoj na tem področju je omogočila uporaba elektrike. Razvijati so se začela telegrafska in kasneje tudi telefonska omrežja. Še poseben vpliv pa je imel razvoj elektronike in mikroelektronike. Pojavili so se računalniki. V zadnjih desetletjih je razvoj na tem področju informacijske in telekomunikacijske tehnologije tako hiter, da težko najdemo podoben primer na kakšnem drugem področju. Računalniki so postali tako razširjeni in vsakdanji, da ne govorimo več o računalniško podprtih informacijskih sistemih kot pred desetletjem ali več, ampak samo o informacijskih sistemih. Pri tem je uporaba računalniške in komunikacijske tehnologije sama po sebi razumljiva. Najbolj splošno lahko opredelimo informacijski sistem kot sistem v katerem se obdelujejo, shranjujejo in pretakajo informacije in podatki. Lahko bi rekli, da informacijski sistemi rešujejo tri vrste problemov:

• probleme premostitve časovne pregrade, • probleme obdelave podatkov in • probleme premostitve prostorske pregrade.

Večina podatkov se ne predela in uporabi v trenutku nastanka oziroma v trenutku, ko je ugotovljeno neko stanje ali sprememba stanja nadzorovanega sistema. Praviloma se to dogaja v nekem trenutku, ki je časovno odmaknjen od nastanka podatka. Da bi premostili to razliko v času, moramo ugotovljene podatke na nek način ohraniti. To funkcijo opravljajo različni nosilci podatkov, na katere se podatki zapisujejo z različnimi tehnikami in pripomočki. Obdelava podatkov je proces, pri katerem iz obstoječih podatkov ustvarimo nove, ki nosijo novo uporabno informacijo. Probleme obdelave delimo v dve skupini:

• metodološki del, ki zajema problematiko izbire in priprave postopkov za ustvarjanje informacij,

• tehnični del, ki zajema problematiko izvedbe postopkov za ustvarjanje informacij. Dogodki v nekem sistemu, obdelava podatkov o teh dogodkih in uporaba informacij se praviloma izvajajo na različnih prostorsko odmaknjenih mestih, zato je potrebno zagotoviti pogoje za primeren prenos podatkov med temi različnimi mesti. To funkcijo izvaja komunikacijska oprema informacijskega sistema. Pogosto pa ta oprema ne opravlja samo prenosa, temveč tudi pretvarja podatke v obliko, ki je primerna za prenos, ter nadzoruje in krmili promet s podatki. (Gradišar in Resinovič 1998, 54-55)

10

Informacijski sistem organizacije je sistem, ki uporablja informacijsko tehnologijo za zajemanje, prenašanje, shranjevanje, ustvarjanje in izpisovanje informacij in podatkov, potrebnih za izvajanje in upravljanje dejavnosti posameznega dela organizacije ali organizacije kot celote. Osnovne sestavine IS v organizaciji so:

• informacijska tehnika (hardware) predstavlja materialno osnovo informacijskega sistema. Med informacijsko tehniko uvrščamo računalniško tehniko, komunikacijsko tehniko in drugo pisarniško tehniko.

• informacijska tehnologija (software) predstavlja nematerialno osnovo

informacijskega sistema (mehki del IS).

• ljudje, ki jih delimo na tiste, ki upravljajo in vzdržujejo informacijsko tehniko in tehnologijo ter na takšen način omogočajo odvijanje informacijskih procesov, ter na tiste, ki informacijsko tehniko uporabljajo v informacijskih procesih (označujemo jih kot uporabnike)

• podatki (dataware) vstopajo v IS, so hranjeni v podatkovnih zbirkah ali pa izstopajo

iz informacijskega sistema.

• metode in načini njihovega usklajevanja in povezovanja (orgware) zgoraj navedenih sestavin IS omogočajo skladno, funkcionalno, uspešno in učinkovito celoto (komunikacijska omrežja).

11

Slika 1: SESTAVINE INFORMACIJSKEGA SISTEMA (O'Brien, 2003, 11)

Osnovne značilnosti sodobno organiziranega IS so (Bobek, Lesjak, 1995, str. 23 – 27):

• kompleksnost; • integriranost: informacijski sistem je sestavljen iz več podsistemov, vendar deluje

kot celota; • dinamičnost: IS se je sposoben nenehno prilagajati notranjim in zunanjim

spremembam procesov; • samoorganiziranost; • odprtost in • usmerjenost k upravljanju.

2.2 Vrste informacijskih sistemov glede na ravni upravljanja v organizaciji IS se v osnovi delijo na centralizirane in decentralizirane. Struktura centraliziranega IS je takšna, da je ves informacijski potencial organizacije – strokovnjaki, naprave, metode in podatki - centraliziran. Uporaba centraliziranega informacijskega sistema omogoča standardizacijo postopkov in podatkov. Vsak podatek se

12

v skupno bazo evidentira le enkrat, zaradi česar ne prihaja do podvajanja podatkov. Tak sistem zagotavlja visoko stopnjo varnosti, kontrole in zaščite podatkov. Zaradi kompleksnosti se tak sistem težko prilagaja novim informacijskim potrebam, težje okvare računalniške opreme pa vplivajo na celotno poslovanje organizacije. Stroški vzdrževanja takšnega sistema so visoki. V decentraliziranem IS se celoten proces generiranja informacij izvaja neposredno pri uporabniku. Vsak informacijski podsistem vzdržuje lastno podatkovno bazo in izvaja lokalno obdelavo podatkov. Tak sistem je cenejši od centraliziranega, vendar obstaja nevarnost podvajanja podatkov. Z vidika ravni upravljanja delimo informacijske sisteme na strateški informacijski podsistem, taktični informacijski podsistem in operativni informacijski podsistem (Bobek, Lesjak, 1995, str.38-40):

• Ker se aktivnosti na strateški ravni upravljanja ne pojavljajo periodično, problemi pa se ne ponavljajo in jih je potrebno reševati v pogojih velike negotovosti, naj bi bil informacijski (pod)sistem strateške ravni upravljanja usmerjen v zagotavljanje zbirnih informacij iz različnih virov. Strateški informacijski (pod)sistem ne more biti vnaprej podrobno in popolno definiran, kot sta lahko druga dva (pod)sistema, zato pa naj bi bil kar se da prilagodljiv. Usmerjen je v pripravo rednih (periodičnih) poročil, občasnih poročil ter poizvedovanj na tej ravni.

• Taktični informacijski (pod)sistem mora zagotavljati predvsem zbirne informacije,

ki so oblikovane tako, da so iz njih vidne zakonitosti poslovanja in razlogi za različne možnosti odvijanja temeljnega procesa. Gre za informacije o odvijanju temeljnega procesa, odstopanjih od načrtovanih vrednosti ter razlogov za takšna odstopanja. Ker je velik del akcij te upravljalne ravni usmerjen v alociranje proizvodnih virov, ponuja taktični informacijski (pod)sistem veliko možnosti za vključevanje raznih kvantitativnih metod obdelave podatkov (npr. simuliranja), ki omogočajo zbiranje, poenostavljanje, diagnosticiranje in optimiziranje dogajanja. Zagotavlja informacije o odvijanju poslovnega procesa in podporo za reševanje problemov odstopanja od želenega dogajanja.

• Operativno upravljanje mora zagotavljati učinkovito odvijanje temeljnega procesa.

Ker gre za vnaprej natančno definirane informacijske potrebe in prav tako za natančno definirane postopke obdelave podatkov, je lahko operativni informacijski (pod)sistem vnaprej podrobno in popolnoma definiran. Usmerjen je zlasti v posredovanje različnih poročil, v dostop do podatkov ter zajemanje podatkov za višje ravni upravljanja. Visoko kvalificiranim strokovnjakom zagotavlja ozko specializirane informacije za reševanje njihovih (strokovnih) problemov.

13

Slika 2: PRIKAZ RAVNI PODPORE IS V ORGANIZACIJI

2.3 Varnost informacijskih sistemov1 Varnost informacijskih sistemov je mogoče zagotavljati samo s celovitim metodičnim pristopom, ki ne vključuje samo ključne vstopne točke v omrežje, temveč celotno omrežje. Ključ do celovitega pristopa je varnostna politika, s katero definiramo vse varnostne procese in mehanizme za zaščito. Te varnostne procese, mehanizme in druge elemente varnosti pa je potrebno uporabiti na mrežnem sistemskem in aplikativnem nivoju informacijske infrastrukture. Informacijski sistemi obdelujejo in shranjujejo informacije, ki omogočajo opravljanje primarnih storitev podjetij. Prav tako pa vsebujejo tudi osebne podatke in informacije posameznikov in o posameznikih. Uporabniki informacijskih sistemov zato pričakujejo, da bo sistem opravljal svojo funkcijo učinkovito in zanesljivo ter bo nudil varen dostop do podatkov in ščitil zaupne informacije pred nedovoljenim dostopom, spreminjanjem in izgubo. Na tem mestu vstopi pojem varovanja informacij, ki se po definiciji slovenskega standarda PSIST BS 7799 in standarda ISO 17799 glasi: »Namen varovanja informacij je zagotavljanje neprekinjenega poslovanja in omejevanje poslovne škode na najmanjšo možno mero s preprečevanjem in zmanjševanjem učinkov varnostnih incidentov«. Vse postopke zagotavljanja varnosti in preprečevanja različnih tveganj pa lahko združimo v pojem varnost informacijskih sistemov. Dobri postopki za zagotavljanje varnosti informacijskih sistemov skušajo preprečiti nevarnosti in ranljivosti znotraj in zunaj organizacije ali podjetja. Sestavljati jih morajo procesi in načrti za zagotavljanje temeljnih načel varnosti: zaupnost informacij, nespremenljivost informacij ter razpoložljivost informacijskega sistema - brez omejevanja poslovnega procesa oz. s tesnim povezovanjem s poslovnim procesom. 1 Prirejeno po Slak, 2005

14

2.3.1 Tveganje in ranljivosti Tveganja oz. najpogostejše razloge za zaščito virov informacijskih sistemov lahko združimo v štiri točke:

• kraja informacij; • vdor in nedovoljena izraba sistemskih virov; • lažna identifikacija; • onemogočanje storitev informacijskega sistema.

Vsa ta tveganja temeljijo na izrabi ranljivosti informacijskega sistema, ki je lahko ranljivost omrežja, operacijskega sistema, sistemske programske opreme ali aplikativne programske opreme. 2.3.2 Varnostna politika Zagotavljanja varnosti informacijskega sistema se moramo zaradi vseh zahtev, zaradi vseh tveganj in ranljivosti lotiti celovito v celotnem informacijskem sistemu in ne le na ključnih vhodnih točkah. Prvi in ključni korak je izdelava varnostne politike. Varnostna politika ali politika varovanja informacij je vodilo vodstvene strukture podjetja ali organizacije in definira kako in kdo je odgovoren za varno upravljanje informacij ter se uvaja v celotnem podjetju ali organizaciji. To je 3 do 5 strani dolg dokument, ki ga razumejo in upoštevajo vsi zaposleni, in definira pravila za upravljanje z informacijami in pravice ter odgovornosti uporabnikov teh informacij. 2.3.3 Varnostna arhitektura v informatiki Varnostna politika je ključni element za zagotavljanje celovitega pristopa k varnosti. Običajno temelji na standardu ISO 17799, vendar standard ne definira konkretnih rešitev in metod za povečanje varnosti, temveč le določa področja, ki jih je potrebno pregledati. Konkretne rešitve pa lahko, glede na točke standarda ISO 17799 in prepoznana varnostna tveganja v procesu analize tveganja, ločimo in implementiramo na treh glavnih nivojih infrastrukture informacijskih sistemov:

• mrežnem nivoju, • sistemskem nivoju in • aplikativnem nivoju

2.3.3.1 Varnostni elementi na mrežnem nivoju

Na mrežnem nivoju se zagotavlja varnost z omejitvijo dostopa do virov omrežja in dovoljenim dostopom le odjemalcem, ki ga glede na poslovni proces in varnostno politiko potrebujejo.

15

2.3.3.2 Varnostni elementi na sistemskem nivoju Na sistemskem nivoju govorimo o varnosti osebnih in prenosnih računalnikov in strežniških sistemov. Na strežniških računalnikih do aplikacij v skupni uporabi dostopajo različni uporabniki, medtem ko osebne računalnike uporablja ena oseba, ki računalnik uporablja za dostop do strežniških aplikacij in za kreiranje in hranjenje datotek z osebnim in zaupnim značajem.

2.3.3.3 Varnostni elementi na aplikativnem nivoju Vsako aplikacijo obravnavamo kot strežniški sistem s svojimi odjemalci. Zato je potrebno vsa priporočila osebnih računalnikov in strežniških sistemov upoštevati tudi pri vsaki aplikaciji. Aplikacije imajo svoje posebnosti, ki jih je potrebno upoštevati s stališča varnosti in jih predvideva tudi standard ISO 17799 ter lahko predpisuje tudi poslovni proces. Zagotavljanje varnosti informacijskega sistema je nujno potrebno izvajati v celotnem omrežju in ne samo na ključnih vstopnih točkah. Pot k varnemu informacijskemu sistemu je mogoča le s celovitim pristopom, ključ do uspeha pa je izdelava in vpeljava varnostne politike. Namen varnostne politike ni samo vzpostavitev varnega informacijskega sistema, temveč tudi sprememba mišljenja skrbnikov in uporabnikov. Zavedati se moramo, da vzpostavitev varnosti informacijskih sistemov ni vpeljava enega ali dveh varnostnih rešitev, temveč proces, ki zahteva vpeljavo varnostnih elementov na vseh nivojih informacijske infrastrukture. 2.4 Ugotovitve 2. poglavja V drugem poglavju smo spoznali, da so informacijskih sistemi poglavitni del organizacije, da ga sestavljajo informacijska tehnika (strojna oprema), informacijska tehnologija (programska oprema), podatki, ljudje in metode ter načini povezovanja. Izvedeli smo, da se v osnovi informacijski sistemi delijo na centralizirane in decentralizirane, glede na nivoje upravljanja pa na strateške, taktične in operativne informacijske (pod)sisteme. Spoznali smo katera tveganja in ranljivosti obstajajo in da je varnostna politika v organizaciji temelj za varovanje informacij oz. informacijskega sistema v poslovnem procesu. Za uspešno varovanja informacijskega sistema se morajo rešitve implementirati na treh nivojih infrastrukture informacijskega sistema in sicer na mrežnem, sistemskem in aplikativnem nivoju.

16

3 REVIZIJA INFORMACIJSKIH SISTEMOV 3.1 Pomen revizije informacijskih sistemov v gospodarskih družbah2 Dandanes so podjetja vedno bolj odvisna od obvladovanja »mehkih« virov, kot so informacije, ki vključujejo strateški know-how podjetja in podpirajo poslovne odločitve, obvladovanje kvalitete in ustreznosti ključnih kadrov, obvladovanje poslovnih tveganj itd. ter od podpornih sistemov informacijske tehnologije. Ti parametri običajno niso ustrezno ovrednoteni v računovodskih izkazih, po drugi strani pa lahko predstavljajo pomembna tveganja za poslovanje. Za podjetje je ključno obvladovanje poslovnih tveganj vseh vrst, tako klasičnih (npr. finančnih, razvojnih,…) kot novih, ki se pojavljajo z vedno večjo uporabo informacijske tehnologije, ki se integrira s poslovnimi procesi v neločljiv sistem. Druge značilnosti, ki vplivajo na izpostavljenost podjetja različnim tveganjem, so hitro spreminjajoče se poslovno okolje, ki postaja vse bolj globalno, hitra rast podjetja, uvajanje novih tehnologij, proizvodov in storitev, organizacijske spremembe, prestrukturiranje, pripojitve, uvajanje novih ali večje spremembe obstoječih informacijskih sistemov in podobno. 3.2 Obvladovanje tveganj na področju informatike Ker so tveganja pri poslovanju nenehno prisotna, mora podjetje vzpostaviti ustrezne kontrolne procese in postopke. Tveganja lahko obravnavamo z vidikov priložnosti (povezava tveganja in možnosti za povečanje donosa), negotovosti (razhajanje med pričakovanimi in dejanskimi rezultati) in nevarnosti (možnost pojava dogodka z negativnimi posledicami za podjetje). Naloga poslovodstva je, da na podlagi ugotovitve poslovnih ciljev in strategij podjetja ter analize in ocene posameznih tveganj določi sprejemljiv nivo tveganja in ustrezne ukrepe za obvladovanje teh tveganj. Pri tem je pomembno vedeti, da je lahko sprejemanje premajhnega tveganja z vidika priložnosti ali pretirano upravljanje nevarnosti enako neuspešno kot dopuščanje prevelikega nenadzorovanega tveganja. Zato je treba vzpostaviti procese proaktivnega ocenjevanja tveganj in dobro premišljenega upravljanja z njimi, da se v podjetju pridobijo razumna zagotovila glede doseganja kontrolnih ciljev. Razen teh splošnih načel je potrebno upoštevati, da informacije ne glede na pojavno obliko predstavljajo pomembno premoženje podjetja, ki ima svojo vrednost in zato zahteva ustrezno pozornost. Za zagotavljanje uspešnosti poslovnih procesov je treba obvladovati pretok informacij znotraj organizacije in v izmenjavi z zunanjim okoljem. Pomembno je, da je obvladovanje informacij in podpornih sistemov skladno s specifičnimi poslovnimi cilji podjetja. Informacijski sistem v organizaciji v tem kontekstu pomeni celotno okolje, v katerem se pojavljajo (kreirajo, obdelujejo, uporabljajo,…) informacije. Ne smemo ga zamenjevati z računalniškim sistemom v ožjem smislu, ki pomeni samo tehnično infrastrukturo informacijskega sistema. Pristop k obvladovanju informacijskih tveganj mora biti zato veliko širši in se ne sme omejiti samo na tehnični vidik. Na področju informacijskih sistemov je še posebej značilno hitro spreminjanje tehnologij, medsebojna prepletenost privatnih (lokalnih) in javnih sistemov in s tem povezani problemi pri zagotavljanju zaupnosti, celovitosti in

2 Povzeto po Vozlič, 2003

17

dostopnosti informacij. Sodobna informacijska tehnologija vpliva na poslovno okolje na več načinov. Omogoča zajem, shranjevanje, analizo in obdelavo ogromnih količin podatkov in informacij v podporo poslovnim odločitvam. Prav tako je postala ključna pri različnih produkcijskih in podpornih procesih. S pametno uporabo informacijske tehnologije lahko podjetje pomembno preoblikuje svojo organizacijo, poveča učinkovitost zaposlenih in s tem posredno zmanjša stroške poslovanja. Lahko rečemo, da je danes informacijska tehnologija ključna komponenta poslovnih procesov. Vedno večja uporaba informacijske tehnologije na drugi strani zahteva vedno večje investicije, povečuje se tveganje za neuspeh projektov in posledično zavest, da je treba stvar ustrezno upravljati in nadzorovati. Kontrole pri tem ne pomenijo samo tehničnih in aplikativnih kontrol, ampak morajo biti ustrezno kontrolirani vsi informacijski procesi, od planiranja, organizacije, razvoja in uvajanja novih rešitev in tehnologij, upravljanja sprememb, sistema celovite dokumentacije, spremljanja izvajanja aktivnosti v praksi, merjenja uspešnosti in učinkovitosti ter izpopolnjevanja informacijskih sistemov z uvajanjem novih kontrol in drugih izboljšav. Tehnologija pri tem ne spreminja osnovnih kontrolnih ciljev, ki so v zmanjševanju tveganj na sprejemljivo mero in zagotavljanju neprekinjenega poslovanja, ampak le načine, kako te kontrolne cilje dosežemo. 3.3 Revizija informacijskih sistemov Namen revidiranja informacijskega sistema (predvsem z vidika računalniškega obravnavanja podatkov) je oceniti zanesljivost delovanja sistema in predvideti potencialne nevarnosti v prihodnosti. Prav tako je namen presojati izvajanje in upravičenosti obstoječih kontrol ter presojati potrebe po vzpostavitvi novih kontrol (Koletnik, 2000, 4). Pomembno je, da se v postopku revizije pregleda tudi informacijsko okolje v organizaciji, saj se v njem nahajajo elementi, ki lahko pomembno vplivajo na izpostavljenost podjetja različnim tveganjem in na revizorsko mnenje. Pri tem je treba preveriti značilnosti sistemov, ki se uporabljajo za podporo poslovnim procesom, posebej kontrole na področju informatike, zagotavljanje neprekinjenega poslovanja, splošne računalniške in aplikativne kontrole ter upravljanje sprememb na teh področjih. Seveda je revizija informacijskega sistema v podjetju mogoča tudi kot samostojna storitev. Glede na dogovorjeni obseg (celotni sistem, podrobni pregled posameznega podsistema, procesa, aplikacije, ...) in cilje predstavlja neodvisno mnenje revizorja informacijskih sistemov pomembno informacijo poslovodstvu o dejanskem stanju na področju informatike in izpostavljenosti podjetja s tem povezanim tveganjem ter priporočilo za ukrepanje in izboljšave. Pomembna je tudi vloga revizorja informacijskih sistemov kot svetovalca izven programov formalne revizije. Kot visoko strokovna oseba lahko revizor informacijskih sistemov pomembno pripomore k dvigu uspešnosti in učinkovitosti upravljanja s tveganji v podjetju. Le-to bi se moralo iz žal prevladujočega pasivnega naknadnega odzivanja na probleme spremeniti v trajen proces vnaprejšnjega predvidevanja tveganj in pravočasnega uvajanja ustreznih kontrol. Tak aktivni pristop mora zajeti vse zaposlene v podjetju. Na področju informatike je končni cilj vzpostavitev uspešnega in učinkovitega sistema za upravljanje varnosti informacij. Novi načini poslovanja pomenijo za podjetje tudi nova tveganja, ki jih je treba ustrezno nadzirati in upravljati. Pregled informacijskega sistema in svetovalna pomoč revizorja

18

informacijskih sistemov lahko podjetju pomagata pri tem. Posredno pa koristi take storitve lahko pomenijo povečano sposobnost podjetja pri doseganju strateških ciljev, povečano sposobnost neprekinjenega poslovanja, izboljšano odločanje in razporejanje virov, jasno določitev in razmejitev vlog in odgovornosti, znižano verjetnost napak v poslovnih procesih, neprekinjen nadzor in ocenjevanje uspešnosti ter povečano natančnost poročil. Našteto pa tudi stroškovno upravičuje uporabo storitev revizorja informacijskih sistemov. 3.3.1 Vloga in naloge revizorja informacijskih sistemov Revidiranje brez informacijskih znanj je postalo domala nemogoče. Zahtevani nivo znanj o uporabi informacijske tehnologije in zlasti tveganj, ki so s tem povezana je tako velik, da ga revizorji računovodskih izkazov, kot interni revizorji preprosto niso in ne morejo na hitro osvojiti. Tako interni revizorji, kot revizorji računovodskih izkazov so ugotovili, da ne morejo podati zanesljive ocene delovanja kontrolnih sistemov v okolju računalniške obravnave podatkov in so imeli na razpolago dve možnosti: povečati obseg preizkušanja podatkov ali najeti strokovnjaka, kateremu bodo zaupali in jim bo preveril uspešnost kontrolnega sistema. Revizorji informacijskih sistemov so tako posamezniki z veliko specialističnih znanj s področja uporabe informacijske tehnologije, dolgoletnimi izkušnjami s področja uporabe, razvoja in upravljanja z informacijskimi sistemi, usposobili pa so se tudi za dodatno ocenjevanje tveganj pri poslovanju in varnem delovanju informacijskega sistema. Spremenjena vloga internih revizorjev, ko vedno bolj ocenjujejo kontrolne sisteme (za razliko od nekoč, ko so predvsem kontrolirali) v smislu njihove uspešnosti in učinkovitosti so v dejavnostih, katerih poslovna uspešnost je visoko odvisna od uspešnosti in učinkovitosti uporabe informacijske tehnologije, privedla do stanja, ko je denimo v internih revizijah finančnih institucij po svetu že polovica revizorjev, revizorjev informacijskih sistemov.( vir: ISACA).

3.3.1.1 Naloge revizorja informacijskih sistemov Naloge revizorja so odvisne od vrste oz. namena revizije. Revizor se lahko glede na cilje naročnika osredotoči zgolj na nekatere naloge, ki so lahko (Moškon, 2006a, 9):

• pregled računalniške tehnologije (specializirana orodja – GFI Languard Security Scanner),

• pregledi aplikacij, • pregledi pred uvajanjem novih aplikativnih rešitev (npr. nov ERP3), • pregledi po uvedbi novih aplikativnih rešitev, • varnostni pregledi, • svetovanje, • izobraževanje, • podpora revizorjem računovodskih izkazov (računalniška orodja za podporo

reviziji). 3 Sodobna računalniška rešitev

19

3.3.1.2 Pripomočki, navodila in orodja revizorja informacijskih sistemov Za opravljeno revizijo mora revizor informacijskih sistemov upoštevati aktualno zakonodajo, standarde in smernice, po katerih se mora ravnati in ki so mu lahko v pomoč. Navodila (Moškon, 2006a, 11):

• zakonodaja: o mednarodna, o slovenska:

Zakon o varstvu osebnih podatkov (ZVOP), Zakon o elektronskem podpisu in elektronskem poslovanju

(ZEPEP), Uradni list: banke, borzno-posredniške družbe, zavarovalnice.

• revizijskih standardi:

o mednarodni: ISACA4, IIA5, ISO 17799 itd. Mednarodne organizacije na področju revidiranja izdajajo standarde (kot je ISO 17779), po katerih se mora ravnati revizor informacijskih sistemov in kateri so mu v pomoč pri revidiranju.

o slovenski: Slovenski inštitut za revizijo (SIR) v Sloveniji skrbi za strokovnost pri revidiranju z izdajanjem in prevajanjem tujih standardov. Razdeljen je na več sekcij, ki vsaka skrbi za svoje področje revidiranja.

• revizijske smernice: o mednarodne: COBIT, CONCT6 (ISACA/F), Basel Committe7.

Različne mednarodne smernice so navodila za revidiranje na posameznem področju in navodila za uvedbo kontrol in nadzora.

o slovenske: Slovenski inštitut za revizijo. Podobno kot za standarde je tudi za smernice, ki so povezane z revidiranjem, pristojen Slovenski inštitut za revizijo.

Za pomoč pri dejanskem revidiranju lahko revizor uporabi računalniško podprta orodja, katerih uporaba skrajša čas revidiranja in tako tudi stroške za naročnika. Programi (Moškon, 2006a, 12):

• revizijski programi: o AIS (Audit Information System – SAP8) je orodje namenjeno revizorjem

SAP sistemov. Vsebuje mnogo kontrol, ki jih mora upoštevati revizor v SAP okoljih.

o OICM (Oracle Internal Controls Manager) je zbirka orodij in postopkov namenjenim upravljanju notranjih kontrol v Oracle aplikacijah.

4 Information Systems Audit and Control Association 5 The Institut for Internal Auditors 6 Control Objectives for Net Centric Technologies 7 namenjen poslovanju bank 8 Systems, Applications And Products in Data Processing

20

• CAAT (Computer Assisted Audit Techniques9): o Računalniško podprto revidiranje, o ACL10 in IDEA11 sta orodji, ki kontrolirata pravilno obdelovanje podatkov

v poslovnih programih. Revizor lahko z njima podatke razvršča po kriterijih, jih sešteva, naredi statistične vzorce in izdeluje poročila.

• Stalni nadzor (Contiuous Monitoring), • Dnevnik varnosti (LOG datoteke), • Dokumentacija.

Revizorju v postopku presojanja informacijskega sistema pomagajo tudi sistemski dnevniki operacijskih sistemov, kamor se zapisujejo aktivnosti uporabnikov ter administratorjev. Prav tako so mu v pomoč priročniki in navodila (dokumentacija) za aplikacije in operacijske sisteme. 3.3.2 Postopek revizije informacijskega sistema12 Revizijski pregled se sestoji iz načrtovanja, izvedbe pregleda, poročanja o ugotovitvah, ter spremljanja korekcijskih ukrepanj. Odgovornost revizorjev je, da načrtujejo in izvedejo revizijske preglede, ki jih naročniki revizije naročijo. Katere revizijske cilje bodo postavili naročniki, je odvisno od tega ali so izvedli analizo tveganj. Pri analizi so ugotovili največja tveganja in temu primemo določili revizijske cilje. Če analiza tveganj ni bila opravljena, bo revizor informacijskih sistemov v prvi fazi revizije skupaj z naročnikom določil revizijske cilje in kasneje pri izvedbi opredelil tudi tveganja. Če so tako ugotovljena tveganja visoka, potem bo revizor na osnovi strokovne skrbnosti in izkušenj naročniku predlagal podrobnejši pregled. Splošni pristop k izvedbi revizije Revizijska metodologija je nabor dokumentiranih revizijskih procedur namenjenih za dosego načrtovanih revizijskih ciljev. Revizor informacijskih sistemov sledi fazam revizijskega pristopa z namenom, da pridobi razumevanje o predmetu revizije, da lahko oceni kontrolno strukturo, preizkusi in ovrednoti kontrole. Če naročnik ni opravil analize tveganja, revizor informacijskih sistemov za posamezne revizijske cilje šele po končanem pregledu oceni velikost in materialnost tveganja in jo v poročilu ustrezno dokumentira. Revizijski pristop na osnovi ocene tveganj V primeru izdelane ocene tveganj, naročnik izbere na osnovi ocene tveganj ustrezne revizijske cilje. Revizor pristopi k razumevanju sistema internih kontrol, ocen tveganj in prične s preizkušanjem skladnosti kontrol oziroma detajlnim preizkušanjem v kolikor je to potrebno. 9 Računalniško podprte tehnike 10 Audit Control Language 11 Interactive Data Extraction and Analysis 12 Povzeto po: (Potočnik, 2003, 107)

21

Proces revizije IS sestavljajo naslednje faze (Pivka, 2000, 1): • priprava revizije, • izvedba, • preverjanje - vrednotenje rezultatov, • poročanje, • nadaljnje aktivnosti.

3.3.2.1 Priprava revizije

Pred pričetkom izvajanja postopkov zbiranja dokazov, ki jih revizor potrebuje, če želi podati mnenje o kakovosti informacijskega sistema, mora najprej določiti podrobnost, natančnost pregleda, ki jo bo pri delu upošteval. Pri določanju podrobnosti pregleda bi moral revizor vnaprej vedeti, katere poenostavitve bo predvidel in kako bodo vplivale na zanesljivost njegovih ugotovitev v zvezi z delovanjem avtomatiziranih funkcij. Določanje podrobnosti pregleda se nanaša na vse stopnje revizije in je zato ponavljajoč proces. Določanje podrobnosti pregleda ni preprosto opravilo, in je zato zelo pomembno. Premajhna podrobnost lahko pripelje do sklepov ali trditev, ki niso pravilne ali pa je revizijsko mnenje premalo podkrepljeno, prepodroben pregled pa lahko zamegli celovit pogled na predmet revizije in revizija lahko postane neučinkovita. Priporočljivo je, da se na začetku revizijskega dela skupaj s stranko določi glavne parametre, ki se nanašajo na podrobnost pregleda in sicer (Skitek, 2001, 303):

• cilji naročnika, • vrsta revizijskega poročila, ki ga zahteva uporabnik, • višina razpoložljivih sredstev, • obdobje, na katerega se poročilo nanaša, • usposobljenost revizorja; in • obstoj standardov s področja, ki se revidira.

Cilji stranke so pomembni pri določanju podrobnosti revizijskega pregleda. Opredeliti mora za katero področje (uporabnost informacijskega sistema, ustreznost tehnične izvedbe,...) pričakuje mnenje. Revizijsko poročilo npr. o kakovosti računalniškega programa, izdano v komercialne namene je popolnoma druge narave, kot npr. za kvalitativne presoje kritičnih točk računalniškega operacijskega sistema. V prvem primeru se izrazi le nekaj predlogov ali zadržkov glede operacijskega sistema, v katerem bo program deloval, v drugem primeru pa je predmet pregleda in ocenjevanja celotno okolje delovanja sistema. (Skitek, 2001, 303) Vrsta revizijskega poročila, ki ga zahtevajo uporabniki poročila tudi vpliva na podrobnost pregleda. Vsaka stranka, ki želi izjavo o uporabnosti računalniškega programa, ne zahteva vedno npr. poglobljene analize o tem, kako se odziva operacijski sistem, ko računalniški program deluje. (Skitek, 2001, 303) Višina razpoložljivih sredstev je najbolj pogosta omejitev, ki vpliva na določitev podrobnosti

22

pregleda. Revizijske postopke lahko izvajamo na različno velikem vzorcu, zato cena, ki smo jo pripravljeni plačati za revizijo, igra odločilno vlogo pri tem, kako podrobno bomo revizijo opravili. (Skitek, 2001, 303) Obdobje, na katerega se poročilo nanaša pomembno vpliva na podrobnost pregleda. Kar se tiče obsežnosti pregleda je enostavneje, če mora revizor dati zagotovilo o kakovosti informacijskega sistema na določen dan, kakor pa, za določeno obdobje. Podaljševanje obdobja, za katerega revizor daje mnenje, zahteva od revizorja obsežnejše preglede. (Skitek, 2001, 303) Usposobljenost revizorja je odločilen omejitveni dejavnik, ki vpliva na podrobnost revizijskega pregleda. Preverjanja informacijskega sistema se lahko lotimo na njegovih različnih nivojih, odvisno od usposobljenosti in izkušenosti revizorja. (Skitek, 2001, 303) Obstoj standardov s področja revidiranja, ki omogočajo, da je lahko revizija dovolj podrobna. (Skitek, 2001, 303)

3.3.2.2 Revizijski kriteriji13 Revizor si pri ocenjevanju kakovosti informacijskega sistema venomer zastavlja vprašanje, kaj za uporabnika poročila pomeni kakovost, zato je pri ocenjevanju izrednega pomena poznavanje uporabnika, okolja v katerem bo informacijski sistem uporabljen in namen njegove uporabe. Za ocenjevanje kakovosti ima revizor na razpolago vrsto revizijskih kriterijev, ki jih v postopku revidiranja ovrednoti in na podlagi tega izda svoje mnenje. Glede na značilnosti informacijskega sistema, pa jim lahko določi tudi ponderje, ki mu pomagajo pri ocenjevanju in ki so postavljeni na podlagi poznavanja okolja delovanja in namena uporabe informacijskega sistema. Poglejmo nekaj najpogostejših kriterijev, ki jih revizor uporablja pri preizkušanju kakovosti informacijskega sistema. Razpoložljivost informacij oz. neprekinjenost delovanja sistema. Omenjena kriterija navajamo skupaj, saj sta tesno povezana, kajti samo stalno delujoči sistem lahko nudi informacije ob vsakem trenutku. To je eden najpomembnejših kriterijev, glede na to, da lahko v primeru prekinitve procesiranja podatkov pride do motenj pri vodenju poslovanja v družbi (npr. letalski sistem rezervacij). Nedostopnost informacij. Nanaša se na omogočanje dodajanja, spreminjanja, prepisovanja, branja ali brisanja podatkov v sistemu le določenim skupinam oseb. Neoporečnost podatkov. S tem mislimo na lastnost podatkov, da se obravnavajo, kot je predvideno, in da se niti slučajno niti namerno ne spremenijo, uničijo ali razkrijejo. Preverljivost informacij in informacijskega sistema. Pri tem kriteriju je prva pozornost namenjena temu, da revizor lahko odkrije, kako so informacijski sistem in njegovi deli sestavljeni, za kar potrebuje kakovostno dokumentacijo, ki ga opisuje. Dalje je pomembno

13 Povzeto po: (Skitek, 2001, 293)

23

vedeti, ali smo s procesiranjem podatkov prišli do pričakovanih rezultatov. Učinkovitost obdelovanja podatkov. Glavna skrb pri tem kriteriju je dobiti želeno informacijo ob pravem času in s primernimi stroški, zato kriterij učinkovitosti predstavlja tudi ekonomski pritisk. Učinkovitost je možno izboljšati z modernejšo opremo vendar se s tem povečajo stroški obdelovanja podatkov, lahko pa maksimalno izboljšamo oziroma optimiziramo programsko opremo ter spremenimo oz. prilagodimo strukturo datotek. Zato v želji po spreminjanju učinkovitosti pogosto naletimo na zelo zapletena tehnična vprašanja. Uspešnost obdelovanja podatkov. V tem primeru revizor ugotavlja, do katere mere obdelava podatkov in pripadajoči avtomatizirani postopki zadovoljijo pričakovanja končnih uporabnikov. Varovanje premoženje. V okviru tega kriterija revizor preverja ustreznost varovanja premoženja organizacije pred izgubami, krajami ali uničenjem. Premoženje v tem kontekstu ne pomeni samo materialnega premoženja, temveč tudi nematerialno, kot je npr. znanje, rezultati raziskav, računalniški programi, podatki, informacije in podobno. Varovanje nematerialnega premoženja je daleč najpomembnejše, saj je veliko težje nadomestljivo, kot materialno. Varovanje premoženja vključuje zakonske, organizacijske in strokovne vidike, ki so po naravi precej zapleteni. Vendar pa omenjeni kriterij v primerjavi s kriterijema neprekinjenosti delovanja in nedostopnosti informacij, ni enakovreden, saj revizor pri ocenjevanju kakovosti upošteva predvsem slednja. Omenjeni kriteriji predstavljajo spekter možnih kriterijev, pomembnih za presojo kakovosti informacijskega sistema.

3.3.2.3 Revizijske sledi Revizijska sled je skupek vseh informacij, ki so potrebne, da se predstavi zgodovinski zapis o vseh pomembnejših dogodkih oz. aktivnostih povezanih s shranjenimi podatki in informacijami in s sistemi za zbiranje, obdelovanje in arhiviranje podatkov. Revizijsko sled sestavljajo vidni podatki in informacije, ki omogočajo identificirati posamezne transakcije, določiti njihovo veljavnost, pravilnost in celovitost izkazovanja v računovodskih izkazih ter dejanskost izvedbe kontrol. Namen revizijske sledi (Moškon, 2006b, 11):

• zagotavljanje točnosti in nepotvorljivosti podatkov, • dokumentiranost okolja v katerem so transakcije nastale, • predstavitev zgodovinskega zaporedja transakcij o poslovnem dogodku, • nadzor nad izvedbami kontrol.

Revizijska sled je orodje revizorjev, kontrolorjev in vodij. Vloga in naloge revizorja v razvoju ali reviziji IS v povezavi z revizijskimi sledmi (Javornik, 2005, 9):

• dokazljivost delovanja kontrol, kontrola nastajanja revizijskih sledi, zagotavljanje posebnih funkcionalnosti pregledovanja revizijskih sledi;

24

• popolnost testiranja delovanja pri prevzemnem testu, celovitost testov ob vsaki spremembi, dokumentiranost in hramba testa;

• uvedba neodvisnega “upravljavca knjižnic”, kontrolni mehanizmi za upravljanje s spremembami, vodenje in hramba verzij, neodvisno kontroliranje “istovetnosti verzij izvornih kod in izvajalnih kod”.

Pri zagotavljanju revizijske sledi nam pomagajo dnevniki kot so (Moškon, 2006b, 12):

• dnevniki operacijskih sistemov, • dnevniki podatkovnih zbirk, • dnevniki transakcij (uporabniških aktivnosti), • sistemski dnevniki SAP, • dnevniki upravljanja sprememb, • dnevniki sprememb konfiguracijskih tabel, • dnevniki sprememb profilov in avtorizacij.

3.3.2.4 Revizijsko poročilo

Poročilo predstavi revizijske ugotovitve jasno in razumljivo. Revizijske ugotovitve so podprte z revizijskimi dokazi. V poročilu so nakazane usmeritve s priporočili za izboljšave. Glavni namen poročanja je prikazati pomanjkljivosti v informacijskem sistemu in predstaviti priporočila za zmanjšanje tveganj. Revizijsko poročilo ima tri funkcije:

• komunikacijsko, • razlagalno in • prepričevalno.

Poročilo mora doseči tri osnovne namene. Osnovni nameni so (Tajnik, 2004, 242):

• informiranje - povemo, kaj smo odkrili, • prepričevanje - prepričati poslovodstvo o pravilnosti odkritij, • akcija - usmeriti poslovodstvo k izboljšavam in spremembam, odpraviti

pomanjkljivosti in nepravilnosti. Sporočilna vrednost revizijskih priporočil je odvisna tudi od (Podgoršek, 2003, 239):

• oblike in sestave revizijskega poročila, • načina podajanja dejstev, sloga pisanja, • ocen, ki omogočajo primerjavo z najboljšo prakso oziroma z vnaprej določenimi

kriteriji

3.3.2.5 Revizorjevo mnenje 14 Revizorjevo delo je pri ocenjevanju kakovosti informacijskega sistema sestavljeno iz pregleda določene komponente ali aktivnosti glede izpolnjevanja enega ali več revizijskih kriterijev. Rezultat preiskave naj bi bilo mnenje, namenjeno določenim uporabnikom revizijskega poročila.

14 Povzeto po: Skitek, 2001, 305

25

Revizorjevo mnenje je lahko: 1. Pozitivno mnenje To pomeni, da so bili v zvezi s predmeti revidiranja povezani revizijski kriteriji ustrezno ocenjeni in da je revizor pridobil zadostna zagotovila, da lahko informacijski sistem oceni kot kakovosten. 2. Zavrnitev mnenja Revizor pri ocenjevanju revizijskih kriterijev zaradi določenih okoliščin ni uspel zbrati zadosti revizijskih dokazov, da bi izdal kakršnokoli mnenje v zvezi s predmetom revidiranja. Zavrnitev mnenja ne zmanjša kakovosti revizijskega poročila. V takem primeru obstajajo omejitve, najpogosteje je to v majhnem računalniškem informacijskem okolju, ki preprečujejo revizorju, da bi pridobil zadovoljiv vpogled v sistem ter napisal ustrezno poročilo. Vseeno pa je koristno, da v takem poročilu revizor omeni vsaj tiste dele sistema, pri katerih je pridobil zadostna zagotovila, da ustrezajo vsem revizijskim kriterijem. 3. Negativno mnenje V tem primeru revizor z revizijskimi postopki ni uspel zbrati zadostnih revizijskih dokazov za potrditev, da predmet revidiranja ustreza vsem proučevanim revizijskim kriterijem. Podajanje negativnega mnenja uporabnikom poročila, ki niso hkrati tudi naročniki revizije, ima lahko daljnosežne posledice, ker se z njim zelo spodkoplje zaupanje v revidirani informacijski sistem. 3.4 Ugotovitve 3. poglavja Dandanes so podjetja vedno bolj odvisna od obvladovanja »mehkih« virov, kot so informacije, ki vključujejo strateški know-how podjetja in podpirajo poslovne odločitve, obvladovanje kvalitete in ustreznosti ključnih kadrov, obvladovanje poslovnih tveganj ter od podpornih sistemov informacijske tehnologije. Namen revidiranja informacijskega sistema je oceniti zanesljivost delovanja sistema in predvideti potencialne nevarnosti v prihodnosti. Prav tako je namen presojati izvajanje in upravičenosti obstoječih kontrol ter presojati potrebe po vzpostavitvi novih kontrol. Revizorji informacijskih sistemov so posamezniki z veliko specialističnih znanj s področja uporabe informacijske tehnologije, dolgoletnimi izkušnjami s področja uporabe, razvoja in upravljanja z informacijskimi sistemi, usposobili pa so se tudi za dodatno ocenjevanje tveganj pri poslovanju in varnem delovanju informacijskega sistema. Njihove naloge so predvsem pregledovanje računalniške in programske opreme, varnostni pregledi in svetovanje. Glavni proces revizije je sestavljen iz štirih faz, in sicer priprave, izvedbe, preverjanja in poročanja. Na koncu revizor poda svoje mnenje o ustreznosti informacijskega sistema. Pri tem mora upoštevati oz. uporabiti: mednarodno oz. slovensko zakonodajo, revizijske standarde in smernice ter revizijske programe.

26

4 STANDARDI IN SMERNICE ZA REVIDIRANJE IS Z VIDIKA VARNOSTI Nekaj standardov in smernic je že bilo omenjeno v prejšnjih poglavjih, tule pa bodo podrobno predstavljene. Danes obstaja veliko standardov in smernic, ki zagotavljajo varnost in zaščito informacijskih sistemov, programske in strojne opreme itd. Vsak standard pokriva svoje specifično področje, smernice pa dajejo navodila za uskladitev postopkov za uvedbo celostne zaščite v organizaciji oz. v podjetju. 4.1 Pregled nekaterih standardov in smernic namenjenih varnosti IS15 4.1.1 ISO standardi

• ISO 9000 standard razširja pomen kakovosti na življenjski cikel izdelovanja programske opreme in sicer v standardih (ISO 9000 – del 3, ISO 12207 in ISO 15288).

• ISO 13335 – upravljanje varnosti informacijske tehnologije (IT) standard se

osredotoča na navodila za upravljanje varnosti IT glede na varnost tehničnih kontrol.

• ISO 15408 – skupni kriteriji proizvodi, ki so ovrednoteni pod skupnimi kriteriji,

imajo določeno stopnjo varnosti, ki je priznana po celem svetu.

• ISO 15489 – upravljanje s podatki prvi del obravnava ogrodje za shranjevanje podatkov, pomembnost upravljanja s podatki itd.; drugi del daje praktična in bolj podrobna navodila kako uvesti ogrodje v prvem delu.

• ISO 18043 obravnava varovanje proti nepooblaščenimi vdori v računalniški in

mrežni sistem.

• ISO/IEC TR 18044 podaja najboljšo prakso pri odzivu na varnostne incidente.

• ISO 19770 uvaja dobro prakso pri upravljanju procesov premoženja programske opreme.

• ITIL je najbolj priznan pristop po svetu za upravljanje storitev v IT, ITIL spada pod

okrilje ISO 20000.

• ISO 21827 poudarja arhitekturno gradnjo sistemov varnosti.

15 povzeto po: ISO 27001 Security

27

4.1.2 Ostale metodologije in standardi

• COBIT v4.0 orodje in ogrodje za vodenje IT, ki omogoča upravljavcem, da uspešno povežejo potrebe kontrol, tehnične potrebe in poslovno tveganje.

• TickIT je shema za ocenjevanje in certificiranje upravljavskega sistema za kakovost programske opreme v podjetju.

• NIST Ameriški inštitut za standarde in tehnologijo je znan po velikem obsegu dobro napisanih, jasnih in razumljivih tehničnih standardov. Standardi so primarno namenjeni vladi Združenih držav, vojski in komercialnim namenom. Za razliko od ISO, so brezplačni. Standardi namenjeni varovanju IS, spadajo v družino SP 800.

V naslednjih treh poglavij bosta podrobneje predstavljeni dve najpogostejši metodologij, ki se uporabljata po svetu na področju informacijske tehnologije COBIT in ITIL, ter standard ISO 17799, ki je namenjen izključno varnosti informacijskih sistemov. 4.2 Standard ISO 17799 Standard je namenjen varovanju sestavin informacijskega sistema. Osnovni cilj nadzorstev, ki jih ISO/IEC16 17799 predlaga so (Moškon, 2006a, 37):

• zaupnost – občutljive informacije so dostopne samo pooblaščenim uporabnikom; • celovitost – informacije oz. druge dobrine informacijskega sistema niso bile

nepooblaščeno spremenjene; informacije kakor tudi postopki za njihovo obdelavo so točni in popolni;

• razpoložljivost – informacije oz. druge dobrine IS so dostopne pooblaščenim uporabnikom kjerkoli in kadarkoli jih le-ti potrebujejo.

ISO/IEC 17799:2005 definira 133 varnostnih kontrol v obsegu 11 glavnih poglavij, ki pomagajo prepoznati tipične varnostne kontrole, ki so potrebne v določenih podjetjih. Te varnostne kontrole vsebujejo dodatne podrobne kontrole, ki skupaj štejejo več kot 5000 kontrol in korakov najboljše prakse. (Gamma, 2006) Standard poudarja pomembnost upravljanja tveganja in jasno določa, da ni potrebno uporabiti vseh navodil, ampak samo tiste, ki so pomembne za določen primer. Standard obsega vse vidike informacij, od zvokov in slike do mobilnih telefon in faksov. Najnovejša verzija standarda vsebuje modernejše poslovanje, kot so e-poslovanje, internet, delo na daljavo itd. (Gamma, 2006)

16 ISO – International organization for standarization IEC – Inernational Electrotehnical Commision

28

Standard ISO 17799 izhaja iz standarda BS17 7799, ki je izšel leta 1995. Leta 1998 je izšel standard BS 7799-2 (drugi del), ki je z vmesnimi spremembami postal leta 2005 ISO 27001 (Navodila in določila za uspešno pridobitev certifikata). (povzeto po: Gamma, 2006). Prav tako se je BS 7799-1(prvi del) leta 2000 preimenoval v ISO 17799:2000, kasneje v ISO 17799:2002 in je trenutno ISO 17799:2005 (Smernice za varovanje namenjene managementu varnosti IS). V aprilu 2007 se bo preimenoval v ISO 27002 in bo spadal pod skupino standardov 27000. (povzeto po: Gamma, 2006). 4.2.1 Zgradba standarda Standard je sestavljen iz 15 poglavij od tega so 4 uvodna poglavja in sicer: 0. Uvod (Introduction), 1. Namen standarda (Scope), 2. Pojmi in definicije (Terms and Definitions), 3. Struktura standarda (Structure of this Standard), 4. Ocenjevanje in obravnavanje tveganj (Risk Assessment and Treatment). V naslednjih poglavjih so obdelana posamezna področja informacijske varnosti:18 5. Varnostna politika (Security Policy):

• Politika varovanja informacij. 6. Organiziranje informacijske varnosti (Organising of Information Security):

• Notranja organizacija, • Zunanji udeleženci.

7. Ravnanje z dobrinami (Asset Management):

• Odgovornost za sredstva, • Klasifikacija informacij.

8. Varovanje v zvezi s človeškimi viri (Human Resources Security):

• Pomembnejše zaposlitve, • Med zaposlitvijo, • Prekinitev ali sprememba zaposlitve.

9. Fizično in okoljsko varovanje (Physical and Environmental Security):

• Varovana področja, • Varovanje opreme.

10. Upravljanje komunikacij in obratovanja (Communications & Operations Management):

• Postopki in odgovornosti produkcije, 17 British standards 18 Povzeto po Praxiom

29

• Upravljanje oskrbe zunanjih servisov, • Načrtovanje in sprejem sistema, • Zaščita pred zlonamerno in mobilno programsko opremo, • Varnostne kopije, • Upravljanje omrežne varnosti, • Ravnanje z nosilci podatkov, • Izmenjava informacij, • Servisi elektronskega poslovanja, • Spremljanje.

11. Obvladovanje dostopa (Access Control):

• Poslovne zahteve pri nadzoru dostopa, • Upravljanje dostopa uporabnikov, • Odgovornost uporabnikov, • Nadzor dostopa do omrežja, • Nadzor dostopa do operacijskega sistema, • Nadzor dostopa do aplikacij in informacij, • Prenosna računalniška oprema in delo na daljavo.

12. Nabava, razvoj in vzdrževanje informacijskega sistema (Information Systems Acquisition, Development and Maintenance):

• Varnostne zahteve informacijskih sistemov, • Pravilnost obdelave v aplikacijah, • Kriptografske kontrole, • Varovanje sistemskih datotek, • Varnost v razvojnih in vzdrževalnih procesih, • Upravljanje tehnične ranljivosti.

13. Ravnanje ob varnostnih incidentih (Information Security Incident Management):

• Poročanje o dogodkih informacijske varnosti in pomanjkljivostih, • Upravljanje incidentov informacijske varnosti in izboljšave.

14. Upravljanje neprekinjenega poslovanja (Business Continuity Management):

• Pregled informacijske varnosti upravljanja neprekinjenega poslovanja. 15. Usklajenost (Compliance):

• Združljivost z zakonskimi zahtevami, • Združljivost z varnostno politiko in standardi ter tehnična združljivost, • Revizija informacijskih sistemov.

4.2.2 ISO/IEC 27001 ISO 27001 (znan tudi pod imenom BS 7799 – del 2), opredeljuje postavitev sistema za upravljanje informacijske varnosti (ISMS – Information Security Management System). Le-ta je potreben za stalen odziv na varnostna dogajanja, ki spremljajo vsakdanje poslovne

30

aktivnosti. Če upoštevamo standard, moramo postavljeno varnostno politiko (Zupan, 2005, 264):

• izvajati, • nadzorovati njeno izvajanje, • prilagajati spremenjenim potrebam, • določiti postopke za izvajanje, • dokumentirati dejansko dogajanje, • določiti odgovornosti in pooblastila.

Vpeljava standarda zahteva (Zupan, 2005, 264):

• zavezanost vodstva organizacije, • določitev obsega varovanja, • oceno tveganj, • upravljanje s tveganjem.

in na tej podlagi izbiro ustreznih nadzorstev, ki temeljijo na načelih najboljše prakse. Standard vpeljuje pomemben princip, imenovan PDCA (Plan – Načrtuj, Do – Izvedi, Check – Preveri, Act – Ukrepaj), ki zagotavlja učinkovito obvladovanje tveganj.

Slika 3: Model PDCA za upravljanje informacijskih

4.2.3 Prihodnost standarda Od ISO je bila rezervirana družina standardov s številko ISO/IEC 27000 za področje standardov v zvezi z upravljanjem varovanja informacij v podobni meri kot zelo uspešna ISO 9000 družina standardov za kakovost.

31

Naslednji standardi so že ali še bodo izdani (ISO 27001 Security):

• ISO 27000 – bo vseboval slovar in definicije oz. terminologijo za vse standarde upravljanja varovanja informacij.

• ISO 27001 – vsebuje specifikacije in določila s katerimi si lahko podjetja

zagotovijo certifikat ISO 27001.

• ISO 27002 – bo novo ime za sedanji ISO 17799 oz. prvotno znan BS 7799, 1. del. To je najboljša praksa za vodenje informacijske varnosti, ki vsebuje obširen niz kontrolnih ciljev informacijske varnosti in seznam varnostih kontrol najboljše prakse.

• ISO 27003 – bodo navodila za uvedbo.

• ISO 27004 – bo standard namenjen merjenju informacijske varnosti, ki bo

omogočal izmeriti uspešnost informacijske varnosti.

• ISO 27005 – bo namenjen upravljanju tveganja informacijske varnosti.

• ISO 27006 – bodo navodila za registracijski oz. certifikacijski proces (za podjetja, ki bodo izdajala certifikate).

4.3 ITIL Metodologija ITIL (Information Technology Infrastructure Library) temelji na procesnem pristopu in kot taka omogoča tesno povezovanje in visoko integracijo procesov IT v celotno notranje okolje delovanja organizacije. Metodologija ima še eno pomembno lastnost; je prilagodljiva tipu in velikosti organizacije, kar zagotavlja primernost uporabe v organizacijah vseh velikosti, od mikro do največjih mednarodnih organizacij. Zaradi tega je ITIL na področju upravljanja informacijskih sistemov ena izmed vodilnih metodologij na svetu. (Pušnik, 2005, 272) ITIL je nastala leta 1980 kot poskus britanske vlade, da razvije pristop za bolj uspešno in stroškovno učinkovito uporabo njenih mnogih IT virov. Z izkušnjami in strokovnostjo uspešnih IT strokovnjakov, je vladna agencija CCTA19 razvila in izdala serijo knjig o najboljši praksi. Vsaka knjiga se osredotoča na drug IT proces. Od takrat je ITIL postala celota organizacij, orodij, svetovalnih storitev, povezovalnih ogrodij in publikacij. Vsak proces v sklopu ITIL ima tri nivoje (Weil, 2004):

• strateški, ki določa organizacijske cilje vključno z metodami za doseganje teh ciljev;

• taktični, pri katerem je strategija vključena v organizacijsko strukturo in v specifične načrte, ki predpisujejo kateri procesi se morajo izvesti, katera sredstva se bodo uporabila in kakšni bodo izidi teh procesov;

19 The Central Computer and Telecommunications Agency

32

• operativni, kjer se izvedejo taktični načrti in strateški cilji v določenem časovnem obdobju.

4.3.1 Zgradba ITIL Metodologija ITIL zajema 7 področij oz. procesov (Slika 4: Zgradba ITIL (Chorus Systems, 2005)):

• Upravljanje s storitvami: • Podpora storitvam, • Zagotavljanje storitev. • Upravljanje varnosti (Security Management), • Upravljanje poslovnega vidika (Business Perspective Set), • Upravljanje infrastrukture (ICT Infrastructure Management), • Upravljanje aplikacij (Applications Management), • Upravljanje implementacije storitev (Planning to Implement Service Management).

Slika 4: Zgradba ITIL (Chorus Systems, 2005)

ITIL procesi pokrivajo področji upravljanja in vzdrževanja storitev IT na strukturiran način, ki omogoča hiter, pregleden in nadzorovan razvoj IT, s tem pa je zagotovljeno ustrezno okolje, ki prinaša zmanjšanje števila prekinitev delovanja storitev IT. Na ta način je zagotovljena razpoložljivost IT podpore za ostala ključna funkcijska področja delovanja organizacije. Upravljanje IT tako predstavlja nepogrešljivi del poslovanja organizacije, ki ga je potrebno upravljati učinkovito in produktivno ter ga usmerjati v delovanje skladno s cilji, ki jih organizacija uresničuje.

33

Osrednji področji metodologije ITIL sta področji upravljanja podpore storitvam in zagotavljanja storitev. Podpora storitvam zajema predvsem okvir dnevnega operativnega dela in uporabniško podporo storitvam IT, medtem ko zagotavljanje storitev ureja področje dolgoročnega načrtovanja in izboljševanja kvalitete storitev, ki jih IT organizacija mora zagotavljati in nuditi vsakodnevno. Procesi področja podpora storitvam IT (Pušnik, 2005, 272-273):

• Podpora uporabnikom (Service Desk); funkcija, s katero se zagotavlja enotno mesto komunikacije med uporabniki in IT oddelkom.

• Upravljanje incidentov20 (Incident Management); proces, s katerim se zagotavlja vzpostavljanje normalnega delovanja v čim krajšem času po prijavi incidenta.

• Upravljanje problemov (Problem Management); proces, s katerim se odkrivajo vzroki za incidente, ki jih zajame Podpora uporabnikom.

• Upravljanje infrastrukture (Configuration Management), zagotavlja logični model infrastrukture oziroma storitev z določanjem, kontrolo, vzdrževanjem in potrjevanjem elementov konfiguracije (configuration items).

• Upravljanje sprememb (Change Management); proces, s katerim se zagotavljajo standardizirane metode in postopke upravljanja sprememb, z namenom minimiziranja vplivov na poslovanje oziroma pojav incidentov.

• Upravljanje verzij (Release Management); proces celovito obravnava uvajanje novih verzij izdelkov ali storitev in s tem zagotavlja upoštevanje vseh vidikov vplivanja - tehničnih in netehničnih.

Procesi področja zagotavljanje storitev IT (Pušnik, 2005, 272-273):

• Upravljanje zmogljivosti (Capacity Management); proces, s katerim se upravlja vire, potrebne za normalno delovanje in ugotavlja prihodnje kritične trenutke, ko bo potrebno zagotoviti dodatne vire.

• Finančno upravljanje storitev IT (Financial Management for IT Services); proces s katerim se ureja IT proračun ter IT računovodenje in obračunavanje storitev, ki so bile izvedene v preteklem obdobju. Kot tak je ta proces neposredno vezan na celotno finančno funkcijo organizacije.

• Upravljanje razpoložljivosti (Availability Management); cilj tega procesa je vzdrževanje in optimizacija IT infrastrukture in njene storitvene podpore za celotno organizacijo z namenom doseganja poslovnih ciljev.

• Upravljanje ravni storitev (Service Level Management); s tem procesom se zagotavlja in izboljšuje kakovost IT storitev. Ciklično izvajanje dogovarjanja, nadzorovanja in poročanje dosežkov, omogoča odkrivanje šibkih členov izvajanja storitev in zagotavlja oblikovanje kakovostnih procesov sodelovanja med IT in uporabniki.

• Upravljanje stalnosti storitev (IT Service Continuity Management); proces zajema upravljanje in organiziranje možnosti za nemoteno zagotavljanje nivoja storitev, kakor je predvideno z ostalimi procesi. V okviru tega procesa je potrebno zagotavljati pogoje za neprekinjeno delovanje v skladu s poslovnimi določili organizacije.

20 Kot incident razumemo katerikoli dogodek, ki ni del standardnega delovanja storitve in ki povzroči, ali

lahko povzroči, prekinitev ali zmanjšanje kakovosti te storitve.

34

4.3.2 ITIL in varnost informacijskih sistemov Bolj podrobno poglejmo kako ITIL definira področje varnosti informacijskih sistemov. Namen ITIL je, da zagotovi, da se učinkovite informacijsko varnostne zahteve opredeljujejo na strateški, taktični in operativni ravni. Informacijski sistem je obravnavan kot celoviti proces, ki mora biti kontroliran, načrtovan, uveden, ocenjen in vzdrževan. ITIL deli informacijsko varnost na:

• politiko – okvirni cilji, ki jih želi organizacija doseči, • procese – kaj se mora zgoditi, da se cilji dosežejo, • postopke – kdo kaj naredi in kdaj, da se dosežejo cilji, • delovna navodila – navodila za določene aktivnosti.

Informacijsko varnost definira kot celoten zaključen proces s sprotnim pregledovanjem in izboljšavami, kot je prikazano na sliki 5.

Slika 5: INFORMACIJSKI VARNOSTNI PROCES (Weil, 2004)

Proces informacijske varnosti se lahko razdeli na sedem podprocesov in sicer (Weil, 2004):

1. Z uporabo analize tveganja, uporabniki informacijske tehnologije (IT) identificirajo svoje varnostne potrebe.

2. IT oddelek določi možnosti potreb in jih primerja z ravnijo informacijske varnosti v podjetju.

3. Uporabniki in IT organizacija se sporazumejo in določijo nivo storitev (SLA21), ki obsega definicije potreb informacijske varnosti v merljivih enotah in določijo če so lahko doseženi.

21 Service level agreement

35

4. Na operativnem nivoju (OLA22), ki zagotavlja podrobne opise o zagotavljanju informacijsko varnostnih storitev, se definirajo dogovori v IT organizaciji.

5. SLA in OLA se uvedeta in spremljata. 6. Uporabniki dobivajo redna poročila o učinkovitosti in stanju uvedenih

informacijsko varnostnih storitev. 7. SLA in OLA se po potrebi spreminjata.

4.3.3 Prednosti ITIL metodologije ITIL omogoča sistematičen in strokoven pristop k upravljanju IT storitev. Uvedba ITIL metodologije pokaže svoje prednosti pri (ITIL Monkey, 2006):

• zmanjšanju stroškov, • izboljšanju IT storitev preko procesov, ki temeljijo na najboljši praksi, • izboljšanju zadovoljstva uporabnikov preko boljšega pristopa pri posredovanju

storitev, • standardih in navodilih, • izboljšani produktivnosti, • izboljšanju strokovnosti in izkušenosti itd.

4.4 COBIT Metodologija COBIT23 ali kontrolni cilji za informacijsko tehnologijo je ogrodje, ki vsebuje podporna orodja za upravljavce, da lažje povežejo kontrolne zahteve, tehnične zadeve in poslovno tveganje, in jih pravilno predstavijo lastnikom oz. delničarjem (Žabkar, 2005, 257). COBIT omogoča razvoj transparentne politike in dobre prakse za informacijsko tehnologijo (IT) skozi celotno organizacijo. COBIT se vseskozi dopolnjuje in je harmoniziran z ostalimi standardi, zato je COBIT postal združevalec najboljše prakse na IT področju in "dežnik" za IT vodenje, ki pomaga pri razumevanju in vodenju ter tveganjih in priložnostih povezanih z IT. Procesna struktura COBIT-a in usmerjenost na visok nivo poslovanja omogoča celosten pogled na IT in odločitve v povezavi z IT. (IT Governance Institute, 2005, 10) COBIT je zrelo ogrodje, prvič izdano leta 1996 pri Information System Audit and Control Association (ISACA). Od takrat se je razvilo v drugo izdajo leta 1998, tretjo leta 2000 in pred kratkim v najnovejšo četrto izdajo. Prav tako se je spremenil glavni izdajatelj, ki je sedaj ITGI.24 (IT governance institute, 2006) 4.4.1 Zgradba Če pogledamo bolj podrobno je ogrodje COBIT-a sestavljeno iz procesnega modela štirih področij, ki vsebujejo 34 splošnih procesov, kateri upravljajo vire IT, da zagotovijo dostop

22 Operational level agreements 23 Control Objectives for Information and related technology 24 IT Governance Institute

36

do informacij glede na poslovne in upravljavske potrebe. Slika 6: COBIT OGRODJE (IT Governace Institute – Cobit 4.0, 2005) prikazuje grafični prikaz zgradbe metodologije COBIT. Vsak proces je opisan z naslednjimi značilnostmi (IT Governance Institute – Cobit Mapping, 2006, 14):

• visoko-nivojski kontrolni cilji (domene): to so štirje glavni kontrolni cilji in sicer: planiranje in organizacija, pridobitev in uvedba, dostava in podpora ter nadzor.

• podrobni kontrolni cilji: vsak visoko-nivojski kontrolni cilj vsebuje več podrobnih kontrolnih ciljev, kot je prikazano na sliki ogrodja COBIT.

• informacijski kriteriji na katere vpliva proces: informacijski kriteriji so učinkovitost, uspešnost, zaupnost, celovitost, dostopnost, združljivost in zanesljivost.

• IT viri, ki jih uporablja proces: viri informacijske tehnologije so: ljudje, programska oprema, tehnika in informacije. Slika 6: COBIT OGRODJE (IT Governace Institute – Cobit 4.0, 2005) prikazuje zgoraj naštete dele COBIT-a v medsebojnem razmerju in povezanosti. Vse sestavine pa so odvisne od poslovnih in upravljavskih ciljev.

• stopnja razvojnega modela:

razvojni model je odvisen od: statusa organizacije, trenutnega položaja v gospodarstvu (primerjava na trgu), mednarodnih smernic (dodatna primerjava) in strategije organizacije v prihodnje. Vsakemu procesu se lahko po teh kriterijih določi mesto na lestvici (od 1 – proces ne obstaja do 5 – najboljša praksa se pri procesu optimalno upošteva).

• aktivnostni cilji (kritični faktorji uspeha v COBIT-u 3): definirajo največje pomembnosti in aktivnosti za vodstvo, ki želi doseči kontrolo nad in v procesih informacijske tehnologije, s strateškega, tehničnega in organizacijskega vidika.

• ključni kazalci zmogljivosti: definirajo merila, ki določajo, kako dobro IT procesi delujejo pri doseganju ciljev. To so kazalci, ki pokažejo s kakšno verjetnostjo bo proces dosegel določen cilj in so tako dobri indikatorji zmožnosti, praktičnosti in strokovnosti.

• ključni aktivnostni kazalci: sporočajo vodstvu ali je proces dosegel zadovoljivo raven poslovnih zahtev. Pri tem se upoštevajo: razpoložljivost potrebnih informacij procesa, zmanjšanje tveganj pri celovitosti in zaupnosti in stroškovna učinkovitost procesov.

37

Slika 6: COBIT OGRODJE (IT Governace Institute – Cobit 4.0, 2005)

38

4.4.1.1 Informacijski kriteriji Informacije, ki so posredovane v jedro poslovnih procesov morajo zadostovati določenim kriterijem, ki jih lahko povzamemo v tri področja zahtev (IT Governance Institute – Cobit Mapping, 2006, 14):

• Kvalitetne zahteve: o učinkovitost določa pomembnost in primernost informacij za poslovni

proces, kot tudi za pravočasnost, skladnost in uporabnost, o uspešnost skrbi za optimalno porabo virov pri priskrbi informacij (za

največjo produktivnost in ekonomičnost).

• Varnostne zahteve: o zaupnost skrbi za zaščito občutljivih informacij pred nepooblaščenimi

vpogledi, o celovitost je pomembna pri natančnosti in celovitosti informacij, kot tudi za

potrditev glede poslovnih koristi in pričakovanj, o dostopnost pomeni dostopnost informacij, ko to zahteva poslovni proces

sedaj in v bodoče. Skrbi tudi za varnost virov in pomožnih dejavnosti.

• Zahteve po zanesljivosti: o skladnost mora biti odločilnega pomena, ker morajo biti posli skladni z

zakoni, regulativami in dogovori, kar se mora odražati tudi v notranji politiki podjetja,

o zanesljivost pomeni zagotavljanje pravih informacij upravljavcem za upravljanje in vodenje.

4.4.1.2 IT viri

IT viri se po COBIT-u definirajo tako (IT Governance Institute – Cobit Mapping, 2006, 15):

• Programi so avtomatski uporabniški sistemi ali ročni postopki, ki predelujejo informacije;

• Informacije v vseh oblikah, ki vstopajo, se predelajo in izstopajo iz informacijskega sistema;

• Tehnologija zajema tehnološke vire, kot so strojna oprema, operacijski sistemi, upravljanje baz, omrežja, multimedija itd. ter okolje, ki vse to omogoča, omogočajo delovanje programov;

• Ljudje oz. zaposleni, ki so potrebni za načrtovanje, organiziranje, pridobitev, uvedbo, dostavo, podporo, nadzor in ocenjevanje informacijskih sistemov in storitev. Lahko so notranji, zunanji ali pogodbeni.

39

4.4.2 Kocka COBIT Komponente omenjene v prejšnjih podpoglavjih (IT procesi, informacijski kriteriji in viri) so 3 dimenzionalni, in tako predstavljajo IT funkcijo. Za lažjo predstavo, se lahko te dimenzije predstavijo v kocki COBIT.

Slika 7: KOCKA COBIT (Žabkar, 2005, 259)

40

4.5 Ugotovitve 4. poglavja Na področju varovanja informacijskih sistemov obstaja veliko število standardov in metodologij, ki pokrivajo svoje specifično področje. Obstajajo pa tudi takšni, ki so namenjeni upravljanju celotne informacijske tehnologije in sistemov v podjetju. V tem poglavju so bili proučeni trije, ki spadajo med najboljše na področju varovanja in zaščite informacijskih sistemov, standard ISO 17799 ter metodologiji COBIT in ITIL. ISO 17799 ima v primerjavi s COBIT-om in ITIL glavni poudarek na varnosti informacijskih sistemov, zaostaja pa za procesnim vidikom obeh ostalih metodologij. Glavna razlika med ITIL in ISO 17799 je, da je ITIL procesna naravnana metodologija, ki zagotavlja integracijo procesov informacijske tehnologije v zvezi s upravljanjem in podporo storitvam z ostalimi procesi organizacije, vendar se ne osredotoča na samo varnost informacijskih sistemov. ITIL posreduje napotke za procese upravljanja, zagotavljanja in podporo storitvam. Ne posreduje napotkov za celotno področje IT in ne za celotno področje procesov v podjetju. Medtem, ko je ISO 17799 namenjen in je najmočnejši prav v varnosti informacijske tehnologije, je nekoliko omejen z procesnega vidika. COBIT omogoča povezavo med poslovnimi in finančnimi cilji, politiko planiranja ter postopki in procesi skozi celotno IT strukturo. Združuje niz splošno sprejetih kontrolnih ciljev za vsakodnevno uporabo upravljavcem poslovnih procesov in upravljavcem IT, ima pa omejitve glede varnosti.

41

5 REVIZIJA VARNOSTI INFORMACIJSKEGA SISTEMA V PODJETJU "X" 5.1 Priprava na revidiranje Ključni razlog za revizijo informacijskega sistema v podjetju "X" je bila želja vodstva tega podjetja, da se preveri in pregleda ustreznost zaščite in varnost njihovega informacijskega sistema. Namen revizijskega pregleda je bil z ugotovitvijo trenutnega stanja in s podanimi priporočili pomagati tako administratorjem kot vodstvu podjetja "X" priti do ustrezno zavarovanega in zaščitenega informacijskega sistema. Cilji revizije:

• ugotoviti stanje informacijskega sistema (s poudarkom na varnosti), • glede na stanje podati priporočila za izboljšanje varovanja informacijskega sistema.

Načrt revizije:

• sestaviti vprašalnik (na osnovi standarda ISO 17799:2005), • opraviti več sestankov z administratorjem, vodstvom in zaposlenimi v podjetju "X"

(v roku enega meseca), • izvedeti in preučiti trenutno stanje na področju varnosti informacijskega sistema v

podjetju, • na podlagi ugotovitev napisati priporočila za izboljšavo (ki temeljijo na določilih

oz. dobri praksi standarda ISO 17799:2005). 5.2 Izvedba Revizija je potekala v tem vrstnem redu:

• seznanitev zaposlenih z načinom revizije, • sestava vprašalnika, • pregled informacijskega sistema (pregled infrastrukture in programske opreme), • izvedba intervjujev z vodstvom, administratorjem in vodji oddelkov na osnovi

vprašalnika (vprašalnik z rezultati je priložen v prilogi), • izdelava poročila (zapis ugotovitev in priporočil za izboljšave), • predstavitev poročila s priporočili vodstvu podjetja.

42

5.3 Poročilo 5.3.1 Zgradba informacijskega sistema

Slika 8: Osnovna zgradba informacijskega sistema v podjetju "X"

Podjetje ima svoje lokalne omrežje (intranet) zavarovano s usmerjevalnikom (prav tako ima s usmerjevalnikom zavarovane dostope do delovnih postaj zunanjih enot). Povezave med podjetjem in zunanjimi enotami ter vzdrževalci in delom od doma potekajo po širokopasovnih povezavah, ki so vedno vzpostavljene. Delovne postaje in strežniki so v podjetju med sabo povezani preko razdelilnika oz. switcha. V glavni enoti je 50 delovnih postaj in 2 strežnika, v zunanjih enotah ima manjše število delovnih postaj (skupaj 10). Na strežnikih so naslednje aplikacije: Microsoft Windows 2003 Server, Internet Infromation Server (IIS), poštni strežnik, share point team services (intranet), dokument server, sql strežnik 2005, domenski strežnik, sistem za arhiviranje. Na delovnih postajah so: Microsoft Windows XP, Microsoft Office 2003 (pisarniški paket), Acrobat reader, posebna aplikacija za kataster – ESRI ArcGis, aplikacije za nadzor senzorjev.

43

5.3.2 Varnostna politika

5.3.2.1 Dokumenti o varnostni politiki v podjetju Ugotovitve: V podjetju ne obstaja dokument o varnostni politiki. Priporočila: Dokument varnostne politike naj izdela vodstvo in naj predstavlja pogled vodstva na upravljanje varnosti informacijskega sistema. Dokument naj vsebuje naslednje postavke:

• definicijo informacijske varnosti in glavne cilje, • usklajenost ciljev informacijske varnosti s poslovnimi cilji, • ogrodje za vzpostavitev ciljev, kontrol, vključno z oceno in upravljanjem tveganja, • kratko razlago varnostnih pravil in standardov, ki so pomembni za podjetje, • definiranje glavnih in specifičnih odgovornosti v zvezi z informacijsko varnostjo in

poročanje o incidentih, • seznam dokumentov, ki vsebujejo bolj natančna navodila in postopke za specifične

dele informacijskega sistema. Takšen dokument bi moral biti v jasni in razumljivi obliki dostopen vsem zaposlenim v podjetju.

5.3.2.2 Pregled in ocenjevanje varnostne politike Ugotovitve: Podjetje nima vzpostavljene varnostne politike. Priporočila: Podjetje naj določi lastnika oz. odgovorno osebo za informacijsko varnostno politiko, ki bo odgovarjala za razvoj, pregled in ocenjevanje varnostne politike. Pregled naj se osredotoča na spremembe glede varnostne politike, spremembe v okolju podjetja, poslovnih okoliščin, zakonskih predpisov in tehničnega okolja. Pregledi naj se opravljajo v določenem časovnem razmaku, ki je odvisen od dejavnikov sprememb. 5.3.3 Organiziranje varnosti informacijskega sistema

5.3.3.1 Sestava organiziranosti varovanja informacijskega sistema Ugotovitve:

1. Podjetje nima skupine oz. foruma za upravljanje varovanja informacij. 2. V podjetju obstaja relativna usklajenost med upravljavci, uporabniki in

administratorji glede informacijske varnosti. 3. Odgovornosti pri zaščiti posameznih dobrin in sredstev podjetja so relativno

določene. 4. Obstaja postopek pri nabavah novih naprav informacijske tehnologije.

V podjetju interno naročilo oddajo vodje posameznih oddelkov, nadalje pa se nabava ureja glede na pravilnik o javnih naročilih, ki temelji na zakonu o javnih

44

naročilih. Sistem naročanja za male (do 500.000 sit) vrednosti temelji na dveh ali večih ponudbah. Pri tem se preverja skladnost nove strojne in programske opreme z obstoječimi prvinami v podjetju, prav tako se preverja skladnost zasebne oz. domače opreme, čeprav se ta redko uporablja.

5. Stopnja zaupnosti informacij je določena v pravilniku podjetja, le-ta temelji na zakonu o varovanju osebnih podatkov. V pogodbi o zaposlitvi, ki jo podpišejo zaposleni obstaja člen, ki določa zaupnost poslovnih informacij. Jasne so tudi odgovornosti zaposlenih pri objavljanju zaupnih informacij. Podjetje pa nima uvedenega formalnega postopka, če pride do nepooblaščenega razkritja informacij.

6. Podjetje ima stike z določenimi organizacijami ob primerih incidentov oz. napak, vendar do kakšnih večjih napak oz. nesreč še ni prišlo.

7. Podjetje oz. administrator v podjetju je seznanjen s aktualnimi informacijami glede informacijske varnosti, prav tako ima stike s strokovnjaki s tega področja. Administrator ima stike z strokovnjaki na področju informacijske tehnologije in je obveščen o aktualnih informacijah v zvezi s varnostjo informacijskega sistema. Udeležuje se seminarjev in sestankov s tega področja in navezuje stike s ostalimi podobnimi podjetji.

8. Neodvisno presojanje varnosti informacijskega sistema se ne izvaja. Priporočila:

1. Podjetje naj ustanovi forum (skupino), v kateri bodo vodje oddelkov, ki bo zagotavljal jasno usmeritev pri informacijski varnosti. Glavne naloge foruma naj bodo:

a. skrb za za določitev ciljev informacijske varnosti in integriranost v ključne procese,

b. določanje, pregledovanje in odobravanje politike informacijske varnosti, c. skrb za vire informacijske varnosti, d. skrb za načrte in programe, ki so pomembni za ozaveščenost informacijske

varnosti. 2. Glede na velikost podjetja se bo koordinacija in usklajenost med upravljavci,

uporabniki ter administratorji povečala z uvedbo foruma. 3. Jasno se mora določiti odgovornost in raven pooblastil na področju informacijske

varnosti. Pooblastiti se mora osebo, ki bo celovito odgovarjala za razvoj in vpeljavo varnosti in kontrole. Raven pooblastil in odgovornosti se mora dokumentirati.

4. Nakupi nove strojne in programske opreme naj bodo skladni s poslovnimi potrebami podjetja. Vsako novo opremo naj pregleda pooblaščenec za informacijsko varnost, da preveri njeno ustreznost varnostnim zahtevam.

5. Poleg zaposlenih, bi morali dogovor o zaupnosti in varovanju zaupnih informacij podpisati tudi študentje ipd. S tem bi se zavezali k zaupnosti in nerazkritju informacij s katerimi delajo. Zaposleni se zavedajo kakšne so sankcije v primeru nepooblaščenih razkritij zaupnih informacij, vendar bi morali postopek in kazni tudi formalno zapisati.

6. Podjetje naj zapiše postopke ravnanja v primeru nesreč (požarov, potresov...). S temi navodili naj bodo seznanjeni vsi redno zaposleni in prav tako honorarni delavci oz. študenti.

7. Podjetje mora s izobraževanji (internimi ali zunanjimi) povišati izobrazbo in ozaveščenost zaposlenih glede varnosti informacijskega sistema.

45

8. Varnost informacijskega sistema naj bi se revidirala ob načrtovanih časovnih intervalih in takrat, ko bi prišlo do velikih sprememb pri implementaciji rešitev. Pregled naj vsebuje ocenitev priložnosti za izboljšanje in potrebe po spremembah varnosti, vključno s politiko in glavnimi cilji. Takšno revizijo naj opravi objektiven revizor, ki mora imeti potrebna znanja in izkušnje. Zaradi velikosti podjetja, naj presojanja opravlja zunanji revizor, ker ni stroškovne osnove za notranjo revizijsko službo.

5.3.3.2 Dostopanje zunanji partnerjev, strank in izvajalcev

Ugotovitve: Fizično imajo dostop do sistema vzdrževalci, inštalaterji in priložnostni študentje, medtem ko se preko mreže povezujejo in dostopajo do sistema izključno pogodbeni izvajalci oz. vzdrževalci programske opreme. To so pogodbeni izvajalci oz. programerji, ki do informacijskega sistema dostopajo največ 2x na mesec, v primeru večjih sprememb (primer: sprememba valut iz SIT v EUR) pa večkrat na teden. Stranke oz. kupci ne dostopajo do informacijskega sistema podjetja. Odgovornosti in pravice poslovnih partnerjev in izvajalcev, ki dostopajo v informacijskih sistem so zapisane v pogodbah, niso pa jasna oz. definirana tveganja, ki so možna pri takšnem dostopu. Prav tako je v pogodbah zapisana odgovornost partnerjev v primeru incidentov (do katerih do sedaj ni prihajalo). Priporočila: Potrebno bi bilo narediti analizo tveganja pri dostopu tretjih strani do informacijskega sistema, da bi se identificirale kakršnekoli potrebe po specifičnih kontrolah. To vključuje:

• del informacijskega sistema oz. vrsto informacij do katerih ima tretja stran omogočen dostop,

• kakšen dostop je dovoljen tretjim stranem (fizični dostop, mrežno povezovanje), • zaščita informacij, ki niso namenjene tretjim stranem, • definiranje postopkov v primeru varnostnih incidentov.

Dostop tretjih oseb naj bi bil onemogočen, dokler se ne vzpostavijo zadovoljive kontrole in nadzor ter sklene pogodba, ki definira pogoje in stanje povezave oz. dostopa do informacijskega sistema. 5.3.4 Upravljanje s dobrinami

5.3.4.1 Odgovornost za sredstva in dobrine Ugotovitve:

1. Podjetje popisuje fizična sredstva v zvezi s informacijsko tehnologijo, vendar samo v osnovni obliki, brez podrobnosti (kot so: datum izdelave, serijska številka, lastnika itd.). Ostale sestavine informacijske tehnologije (podatkovne baze, sistemska dokumentacija, razvojna orodja, programska oprema, človeške dobrine) se ne popisujejo.

2. Lastniki informacijskih dobrin za posamezne oddelke so vodje oddelka, medtem ko je za celoten informacijski sistem (za njegovo učinkovitost in uspešno delovanje) odgovoren administrator.

46

3. V podjetju obstaja pravilnik za uporabo interneta in elektronske pošte, vendar se uporaba le-te preverja le vodjem oddelkov, medtem ko se ostalim zaposlenim uporaba ne kontrolira, čeprav imajo neomejen dostop. Pravilnik o ravnanju z mobilnimi napravami zunaj podjetja ne obstaja. Takšne naprave imajo samo vodje oddelkov, zato so ti odgovorni za njih.

Priporočila:

1. Podjetje naj pri popisu fizičnih sredstev informacijske tehnologije upošteva tudi: • vrsto dobrine, • lokacijo, • podatke o lastništvu. Prav tako naj naredi popis: • podatkovnih baz, • pogodb in dogovorov, • sistemske dokumentacije, • uporabniških priročnikov, • programske opreme (programov, razvojnih orodij in pripomočkov), • storitev (komunikacijskih, splošnih: ogrevanje, elektrika, klimatske naprave).

2. Vodje oddelkov naj periodično pregledujejo delovanje kontrol zaščite in dostopov. 3. Potrebno bi bilo omejiti dostop zaposlenim do interneta (kljub temu pa omogočiti

prosti dostop do pomembnih in potrebnih internetnih strani). Tako bi se zmanjšalo tveganje prejetja zlonamerne kode, kot so črvi in virusi. Podjetje naj sestavi formalna navodila za ravnanje z mobilnimi napravami na terenu oz. pri delu od doma. Tako bi se zmanjšala nepravilna uporaba in s tem možnost okuženja z zlonamerno kodo in krajo opreme.

5.3.4.2 Razvrstitev informacij

Ugotovitve:

1. Podjetje nima uvedenih smernic za razvrščanje informacij. 2. V podjetju ne označujejo oz. klasificirajo informacij.

Priporočila:

1. Organizacija naj izdela klasifikacijski načrt, s katerim postavi klasifikacijo, s tem pa poenostavi odločanje, kako ravnati z informacijami in kako jih zaščititi. Klasifikacijski načrt naj bo v pisni obliki in na voljo vsem, ki so pooblaščeni za njegovo uporabo. Informacije je potrebno klasificirati glede na njihovo vrednost in občutljivost za organizacijo. Določi naj se tudi trajanje klasifikacije, kajti informacija čez čas zgubi vrednost in občutljivost, pa tudi stroški počasi postanejo neopravičljivi. Predlagamo preprosto klasifikacijo z največ tremi stopnjami: • javno, • zaupno, • poslovna skrivnost. Vsaka stopnja naj bo jasno in nedvoumno opredeljena, da odgovorni pri izbiri klasifikacije ne bi imeli težav. Za klasifikacijo informacij naj bodo odgovorni lastniki informacij oz. vodje oddelkov.

2. Organizacija naj izdela postopke za označevanje in ravnanje z informacijami, ki naj

47

bodo v skladu s klasifikacijskim načrtom. Iz oznak naj bo razvidna klasifikacija informacij. Najprimernejša oblika označevanja so fizične oznake. Kadar to ni mogoče (elektronska oblika), naj se uporabi elektronsko označevanje (napis na ekranu).

5.3.5 Varovanje z vidika zaposlenih

5.3.5.1 Pred zaposlitvijo Ugotovitve:

1. Odgovornosti in vloge zaposlenih glede varnosti informacijskega sistema niso zapisane oz. dokumentirane.

2. Podjetje pred zaposlitvijo novih kandidatov preverja njihovo formalno izobrazbo ter njihove izkušnje na prejšnjih delovnih mestih.

3. Zaposleni in tretje osebe, ki dostopajo do informacijskega sistema in informacij podjetja, imajo v pogodbah člen o zaupnosti informacij.

Priporočila:

1. Varnostne vloge in odgovornosti naj bodo zapisane v opisu del in nalog določenega delovnega mesta. Dokument mora biti podpisan tako s strani vodstva kot s strani zaposlenega, ki s podpisom sprejema naloge in odgovornosti.

2. Podjetje naj poleg izobrazbe preveri tudi: • identiteto kandidata, • življenjepis, • značajske lastnosti. Večjo odgovornost naj bi imel kandidat v podjetju, bolj podrobna naj bodo preverjanja. Podobno se naj preverjajo tudi tretje osebe oz. zunanji izvajalci s pomočjo državnih agencij.

3. Zaradi zaposlovanja študentov naj tudi ti podpišejo dogovor o zaupnosti in varovanju informacij. Pomembno je tudi, da redno zaposleni periodično podpisujejo dogovore o zaupnosti (vsako leto).

5.3.5.2 Med zaposlitvijo

Ugotovitve:

1. Vodstvo podjetja ne poudarja posebej odgovornosti zaposlenih glede informacij in informacijskega sistema.

2. Vodstvo ne skrbi za izobraževanje zaposlenih na varnostnih področjih. Samoiniciativno se z novostmi seznanja le administrator.

3. Formalni disciplinski postopek ne obstaja. V primeru incidenta dobi odgovorna oseba samo ustni opomin.

Priporočila:

1. Vodstvo naj poskrbi, da bodo zaposleni in tretje osebe obveščeni o njihovi odgovornosti glede varnosti, preden bodo dobili dostop do informacij; da imajo navodila in smernice za pravilno varovanje; da bodo ozaveščeni o varnostni odgovornosti, ki sovpada njihovemu položaju; da bodo zaposleni motivirani pri varovanju informacij in informacijske tehnologije. S tem bo vodstvo zmanjšalo

48

možnosti, da pride do napak in poškodb zaradi nepravilne uporabe zaposlenih. 2. Vodstvo naj za zaposlene organizira usposabljanje za osnovno varovanje

(seznanjanje s varnostno politiko podjetja, odgovornostjo, pravilno uporabo informacijske tehnologije).

3. Podjetje naj uvede formalni disciplinski postopek, ki naj vsebuje: narava in obseg incidenta, ali je to prvi ali večkratni prekršek zaposlenega, ali je bil zaposleni pravilno usposobljen, ostale zakonske in pogodbene regulative. Formalni postopek glede kršitev naj bo predstavljen vsem zaposlenim.

5.3.5.3 Prekinitev in menjava zaposlitve

Ugotovitve:

1. Zaposleni ne podpišejo in niso seznanjeni s odgovornostmi glede zaupnosti in varovanja informacij po prekinitvi zaposlitve.

2. Uradni postopek za vračanje informacijske opreme zaposlenega, ki prekinja zaposlitev, ne obstaja.

3. Ob prekinitvi zaposlitve se uporabniško ime in pravice uporabnika odstrani iz sistema. V primeru, da se na njegovo mesto zaposli drug delavec, se pravice ohranijo, spremenita pa se uporabniško ime in geslo.

Priporočila:

1. Odgovornosti zaposlenih glede varovanja zaupnih in pomembnih informacij po prekinitvi zaposlitve morajo biti jasno definirane v pogodbi o zaposlitvi, kjer naj bo tudi določen rok trajanja zaupnosti informacij.

2. V podjetju naj obstaja postopek, ki ureja izdajo in vračilo informacijske opreme (mobilne naprave, kreditne kartice, programe, priročnike) zaposlenega ob prekinitvi zaposlitve.

3. Ta postavka je usklajena s standardom. 5.3.6 Fizična zaščita in zaščita okolja

5.3.6.1 Varovana področja Ugotovitve:

1. Soba, kjer sta postavljena glavni strežnik s podatkovno bazo in domenski strežnik za prijavo, je ločena od ostalih prostorov, je klimatizirana in z oknom, ki gleda na dvorišče podjetja. Soba je zaklenjena in se odklepa takrat, ko je potrebno vzdrževanje. Celotna stavba je zavarovana s elektronsko ključavnico s kodo, ki jo ima vsak zaposlen, v stavbi pa so postavljeni senzorji gibanja.

2. Dostopi do pomembne informacijske opreme se ne evidentirajo oz. beležijo. Do strežnikov imata dostop administrator in direktor, ki imata edina ključ.

3. Zaposleni svoje pisarne po končanem delovnem času zaklepajo. 4. Stavba je ustrezno zaščitena pred naravnimi nesrečami, po stavbi so tudi ustrezno

razporejeni gasilni aparati za primer požara. 5. Podjetje nima urejenih navodil za delo v varnostnih območjih. Delo na teh

območjih je izjemoma, v primeru vzdrževanj in popravil, ki pa se ne zabeležijo. 6. Prostori za prevzeme in dostave so ločeni od stavbe, tako da tretje osebe nimajo

dostopa do pomembne informacijske opreme.

49

Priporočila:

1. Podjetje naj podrobneje definira varovan pas, ki bo obsegal vso kritično informacijsko opremo. V sobo s strežniki je potrebno namestiti nadzorne kamere. Okno, ki gleda na dvorišče bi bilo potrebno zazidati zaradi omejitve dostopa v strežniško sobo.

2. Potrebno bi bilo redno beležiti dostope do pomembne opreme in sicer uro in datum prihoda in odhoda.

3. Za večjo dorečenost varovanja pisarn in opreme v pisarnah naj podjetje uvede navodila, ki bodo vsebovala odgovornosti zaposlenih pri varovanju svojih pisarn.

4. Večja pozornost naj bo namenjena nevarnemu materialu in delu z njim, ki je relativno blizu kritične opreme.

5. Podjetje naj najprej uvede smernice za delo v varovanih območjih, ki naj med drugimi opredeljujejo tudi: redno beleženje dostopov in nadzor dela, prepoved nošenja določene opreme v varovanih območjih (kamere, mobilne naprave), redni nadzor nad zaklepanjem sobe itd. Ta navodila naj veljajo tako za zaposlene kot tretje osebe (vzdrževalce).

6. Podjetje naj poskrbi, da bo gibanje dostavnih služb in strank omejeno in nadzorovano.

5.3.6.2 Varnost opreme

Ugotovitve:

1. Do strežnika, ki vsebuje podatkovno bazo in domenskega strežnika je dostop ustrezno omejen, ločen od ostale opreme in ustrezno varovan pred nesrečami in nevarnostmi. Medtem, ko ni ustrezno zaščitena ostala pomembna oprema, kot so računalniki s pomembnimi in kritičnimi senzorji. Podjetje nima navodil glede prehrane in pitja v bližini opreme in prav tako ne spremlja temperature in vlage v bližini kritične opreme. Stavba pa je zavarovana pred udarom strele.

2. Podjetje ima naprave za nemoteno oskrbo z energijo (UPS), ki pa se ne redno testirajo za pravilno delovanje. Podjetje nima svojega električnega generatorja.

3. Podjetje ima kable za električno energijo in telekomunikacije speljane pod zemljo. V samem podjetju pa potekajo v posebnih kanalih. Dostop do njih ni omejen.

4. Oprema se vzdržuje v skladu z navodili proizvajalcev. Opremo vzdržuje za to usposobljeno osebje, vendar se poročila o vzdrževanjih in okvarah ne zapisujejo.

5. Podjetje nima določil za varovanje opreme na terenu, prišlo je že do manjših kraj oz. izgube opreme.

6. Podjetje ne preveri, ali so informacije in podatki na nosilcih ustrezno izbrisani in neobnovljivi, niti se ne uporabljajo pravilni postopki pri dokončnem brisanju informacij.

7. Za odnašanje opreme domov imajo pooblastila samo vodje oddelkov. Odnašajo se različni mediji (elektronski in papirnati) in prenosni računalniki, vendar se odnašanje in vračanje opreme ne beleži.

Priporočila:

1. Podjetje naj ustrezno zaščiti računalnike s pomembnimi senzorji. Uvede naj smernice glede prepovedi prehrane in pijače v bližini pomembne opreme. Posebno pozornost naj nameni ustrezni temperaturi in vlagi na kritični opremi, saj bo tako

50

le-ta optimalno delovala. 2. Podjetje naj redno preverja ustreznost in pravilno delovanje naprav za neprekinjeno

delovanje, čeprav do sedaj ni bilo problemov s energijo. Podjetje naj preveri koliko naprav lahko vzdržujejo s temi napravami in koliko časa.

3. Podjetje naj poskrbi, da bodo kabli primerno zaščiteni in da bo dostop do njih omejen.

4. Podjetje naj beleži vse sume, dejanske okvare, popravila in preventivna vzdrževalna dela. Na opremi, ki se vzdržuje izven podjetja, se naj zagotovi ustrezno varovanje informacij.

5. Podjetje naj določi navodila in odgovornosti zaposlenega kateremu je zaupana oprema, ki se uporablja na terenu (mobilne naprave). Zaposleni ne sme nikoli pustiti opreme same in brez nadzora. Priporočeno je, da se takšna oprema tudi ustrezno zavaruje proti kraji in poškodbam.

6. Potrebno je uvesti politiko pravilnega brisanja in uničevanja podatkov, tako papirnatih kot elektronskih. Pomembno je, da se podatki iz elektronskih medijev pravilno in dokončno izbrišejo oz. fizično uničijo.

7. Podjetje naj ima seznam celotne opreme, ki se odnaša domov oz. iz podjetja. Mora se vedeti kateri podatki in informacije so na takšni opremi. Priporočeno je, da postane nekdo odgovoren in pri katerem bi se prijavljalo odnašanje in vračanje opreme (tudi ob prekinitvi zaposlenosti). Ta oseba bi vsak dogodek zabeležila in v primeru incidentov tudi ustrezno ukrepala.

5.3.7 Upravljanje s komunikacijami in obratovanjem

5.3.7.1 Postopki in odgovornosti pri obratovanju Ugotovitve:

1. Podjetje nima varnostne politike, zato tudi nima dokumentiranih postopkov za obdelovanje informacij.

2. Podjetje preveri oz. stestira vsako novo spremembo v programski opremi (nadgradnje). Spremembe se ne zabeležujejo redno in se ne zapisujejo. Nezaželene spremembe se lahko odpravijo s vzpostavitvijo prejšnjega stanja.

3. Ločevanje nalog na področju informacijskega sistema ne obstaja. Za večino nalog je odgovorna le ena oseba.

4. Razvoj programske opreme v podjetju je minimalen in velja zgolj za nekritične dele informacijskega sistema. Prenos sprememb v produkcijsko okolje je takojšen s pomočjo zunanjih izvajalcev oz. pogodbenih partnerjev.

Priporočila:

1. Podjetje naj pri izdelavi varnostne politike dokumentira tudi vse postopke pri obdelavi informacij, kot so: • procesiranje in ravnanje z informacijami, • arhiviranje, • navodila za ravnanje v primeru napak med delom, • ravnanje z mediji, • pravilni postopki za varno prižiganje in ugašanje računalnika.

2. Potrebno je redno zapisovanje ob vsaki programski spremembi, ki posega v informacijskih sistem in ki lahko ima nezaželene učinke. Poleg predhodnega

51

testiranja bi bilo priporočljivo dodati tudi oceno tveganja za informacijski sistem. Prav tako je priporočljivo nadgrajevati sistem samo takrat, ko je to nujno potrebno in pri tem upoštevati združljivost s starejšo programsko opremo.

3. Zaradi velikosti podjetja ni smotrno ločevanje nalog na področju informatike, vendar je zaradi tega potreben večji nadzor nad opravljanjem nalog in redni pregled oz. revizija.

4. Takojšen prenos sprememb v produkcijo je velika grožnja stabilnosti informacijskega sistema in ob večjih nepredvidenih spremembah tudi zastoj dela. Zato je potreben večji nadzor nad delom zunanjih programerjev in medsebojno usklajevanje.

5.3.7.2 Upravljanje storitev zunanjih izvajalcev

Ugotovitve: Zunanji izvajalci so programerji, ki vzdržujejo in posodabljajo celovito programsko rešitev v podjetju. Nadzor nad njihovim delom sicer obstaja, vendar večinoma temelji na zaupanju. Njihove pravice se ne prilagajajo spremembam in ostajajo vseskozi enake. Priporočila: Podjetje naj ima bolj urejena določila glede odgovornosti in pravic zunanjih izvajalcev. Tudi nadzor in kontrola nad njihovim delom bi morala biti bolj poostrena. Vodstvo podjetja bi moralo poskrbeti, da se dolžnosti zunanjih izvajalcev pravilno in pravočasno izpolnjujejo. Zaradi večje varnosti se naj pravice dostopanja do sistema redno pregledujejo in po potrebi spreminjajo.

5.3.7.3 Sistemsko načrtovanje in odobravanje Ugotovitve:

1. Zmogljivost in izkoriščenost kapacitet se spremlja, vendar ne obstajajo načrtovanje zmogljivosti kapacitet v prihodnosti.

2. Podjetje nima kriterijev pri uvedbi sprememb. Funkcionalnost nove opreme se predhodno stestira.

Priporočila:

1. Zaradi nenačrtovanja kapacitet za v prihodnje prihaja do nezaželenih zastojev, ki bi se jih dalo odpraviti, če bi potrebe po novih sredstvih planirali vnaprej. Pri tem je potrebno upoštevati časovni zamik, ki nastane pri dobavi nove opreme.

2. Podjetje naj uvede kriterije pri nadgradnji sistema (strojna zmogljivost, odkrivanje in preprečevanje napak, priprava in testiranje, nadzorne kontrole, dokazila, da nadgradnja ne bo negativno vplivala na obstoječ sistem).

5.3.7.4 Zaščita pred zlonamerno in prenosljivo kodo

Ugotovitve: Podjetje nima formalnih postopkov glede zlonamerne kode. Se pa uporablja redna kontrola pri delu z elektronsko pošto in internetom in sicer z požarnimi zidi in protivirusnimi programi, ki so na delovnih postajah samodejno vklopljeni, vendar zaposleni niso usposobljeni za odstranjevanje zlonamerne kode na svojih delovnih postajah. Zaposlene se

52

uradno ne obvešča o potencialnih virusih in nevarnostih. Strežniki se ne pregledujejo dovolj redno. Prav tako ne obstaja načrt reševanja podatkov v primeru ogroženosti le-teh zaradi zlonamerne kode. Priporočila: Podjetje naj bolj obvešča zaposlene o ravnanju z zlonamerno kodo, saj je to edini način za večjo varnost informacijskega sistema. Še posebej naj jih opozori na načine, s katerimi se lahko zlonamerna koda prenese v sistem in ga okuži ter kako preprečiti takšna dejanja. Delovne postaje in strežniki se morajo redno (večkrat na teden, ponoči) v celoti pregledovati. Prav tako se morajo vsak dan osveževati definicije virusov v protivirusnih programih. Za večjo zaščito je priporočena uporaba večih protivirusnih programov.

5.3.7.5 Varnostne kopije Ugotovitve: Varnostne kopije se avtomatsko naredijo po končanem delovnem času oz. ponoči, ko sistem ni obremenjen. Arhiv ostane na strežniškem disku, konec meseca pa se posname na magnetni trak, ki se prenese v ločeno zgradbo, kjer je varno zavarovan. Ne obstajajo formalni načrti in postopki arhiviranja niti postopek vračanja podatkov nazaj v sistem v primeru nesreče. Varnostne kopije se ne pregledujejo. Priporočila: Podjetje naj dokumentira postopke potrebne za arhiviranje podatkov in njihovo vračanje v sistem. Podatki se morajo pogosteje shranjevati na prenosljive medije katere je potrebno shranjevati na varnih mestih (varnih pred nesrečami in nepooblaščenimi dostopi). Pravilno delovanje arhivov je potrebno redno pregledovati. Določiti se mora tudi čas, ki je potreben za hrambo arhiva (določa tudi zakon).

5.3.7.6 Upravljanje varnosti omrežja Ugotovitve:

1. Kontrole za nadzorovanje omrežja so ustrezne, vendar se dejavnosti ne dokumentirajo in beležijo. Podatki, ki tečejo skozi omrežja so ustrezno zaščiteni.

2. Podjetje nima varnostnih pravil o omrežnih storitvah, niti nima določenih teh pravil v pogodbah zunanjih izvajalcev. Zaščita je ustrezna in sicer s požarnimi zidi in avtentičnostjo prijave.

Priporočila:

1. Podjetje mora dokumentirati postopke in odgovornosti v zvezi z upravljanjem mobilne opreme in povezave do omrežja podjetja. Potrebno je uvesti sredstva, ki bi beležila in nadzorovala pomembna varnostna dejanja.

2. Potrebno je uvesti pravila o varovanju mrežnih storitev, tako pri dostopanju znotraj podjetja kot od zunaj. Priporočeno je tudi kodiranje podatkov z varnostnimi ključi.

5.3.7.7 Ravnanje s nosilci podatkov

Ugotovitve:

1. Podjetje nima dokumentiranih postopkov za varovanje in uporabo s nosilci

53

podatkov. Nosilce z varnostnimi kopijami se hrani v posebni železni omari (preden se prenesejo na varno lokacijo), medtem ko se nosilci s programsko opremo hranijo v za to namenjenih predalih skupaj s navodili in priročniki.

2. Pravila za odstranjevanje nosilcev podatkov ne obstajajo. Zamenljivi nosilci se uničijo s zdrobljenjem, kar je dovolj učinkovito in varno.

3. Podjetje nima uradnih postopkov za ravnanje z informacijami. 4. Sistemska dokumentacija in priročniki so ustrezno zaščiteni in shranjeni, ni pa

pravil o tem. Priporočila:

1. V podjetju je potrebno dokumentirati postopke ravnanja z zamenljivimi nosilci podatkov, njihovo pravilno uporabo in varovanje.

2. Potrebno je opredeliti pravila za formalno odstranjevanje zamenljivih nosilcev ter nosilcev, ki gredo v nadaljnjo uporabo. Poleg tega je potrebno uničevanje tudi dokumentirati in beležiti.

3. Podjetje naj uvede postopke ravnanja z informacijami, njihovo razvrščanje ter kontrole nad različnimi vrstami informacij. Vedeti se mora, kdo je odgovoren za določeno informacijo.

4. Dostop do dokumentacije mora biti omejen, tako fizičen dostop, kot elektronski dostop, za tisto dokumentacijo, ki je v takšni obliki. Prav tako morajo obstajati pravila o formalnem ravnanju s njo.

5.3.7.8 Izmenjava informacij

Ugotovitve:

1. Podjetje nima uvedenih postopkov, sporazumov in pogodb o izmenjavi informacij. 2. Podjetje nima formalnega postopka, kako varno ravnati s nosilci podatkov med

prevozom in transportom. 3. Ni uvedene politike varovanja elektronskih poročil, vendar je storitev relativno

stabilna in usklajena s potrebami podjetja. 4. Podjetje nima politike izmenjave informacij med uporabniki v informacijskem

sitemu, niti ne obstajajo kontrole nadzora. Priporočila:

1. Podjetje naj ugotovi, s katerimi organizacijami izmenjuje občutljive informacije. Nato naj z njimi sklene pogodbe, ki naj vključujejo potrebne varnostne kontrole. Preveri naj, kako te organizacije varujejo informacije, ki so jim jih zaupali. To še posebej velja za organizacije, ki so razvile programsko opremo in zaradi vzdrževanja ali testiranja dostopajo do njihovih podatkov. Zagotoviti je potrebno tudi primerna pogodbena razmerja in kontrole z zunanjimi serviserji informacijskih sredstev.

2. Podjetje naj uvede potrebne postopke za varovanje informacij med prevozom (določila glede izbire prevoznika, pravilnega pakiranja itd.). Za zaupne podatke na medijih je potrebno tudi šifriranje za onemogočitev dostopa nepooblaščenim osebam.

3. Podjetje naj uvede politiko varovanja elektronskih sporočil, kjer bo določeno: varovanje sporočil pred nepooblaščenim dostopom in spremembami, stabilnost in razpoložljivost, zakonske regulative in uporabljeni mehanizmi varovanja. Prav tako

54

je priporočeno, da se opravi analiza tveganja pri uporabi elektronske pošte in na podlagi tega uvedejo zadostne kontrole.

4. V politiki je potrebno upoštevati znane varnostne pomanjkljivosti pri izmenjavi med računovodskimi in administrativnim delom, varnostna določila glede uporabe telefonov, faksov, odpiranja in posredovanja pošte, shranjevanje zbirnikov ter ljudi, odgovorne za določene informacije. To bo omogočilo, da se bodo informacije prenašale varno in bolj učinkovito.

5.3.7.9 Storitve elektronskega poslovanja

Ugotovitve:

1. Podjetje elektronsko posluje s različnimi bankami in vladnimi oz. državnimi agencijami. Zaščita takšnega poslovanja je urejena s certifikati, sam prenos je šifriran. Nima pa urejene politike o varnem elektronskem poslovanju.

2. Podjetje ima objavljeno spletno stran, ki je v celoti ločena od informacijskega sistema in je postavljena na strežniku zunanjega ponudnika. Za objavo informacij na strani skrbi administrator, informacije pa predhodno odobri vodstvo. Za ustrezno zaščito je poskrbljeno, ni pa bilo naročenega predhodnega testiranja in preizkušanja varnosti.

Priporočila:

1. Organizacija naj izdela politiko elektronskega poslovanja, ki jo ščiti pred prevarami, pogodbenimi nesoglasji in razkritjem ali spremembo informacij. Vsebuje naj:

• seznam pooblastil za elektronsko poslovanje, • proces za izdajo teh pooblastil, • način ločevanja nalog za preprečitev prevar, • ustrezne kriptografske kontrole, • kontrole za spremljanje in zaščito poslovanja, • določila glede shranjevanja podatkov o transakcijah.

Organizacije, ki med seboj elektronsko poslujejo, naj se pisno zavežejo k uresničevanju sklenjenih dogovorov. 2. Potrebno je bolj podrobno sodelovati s zunanjim ponudnikom, ki daje prostor za

javno spletno stran, tako da bi se napake, zaradi katerih stran ni dosegljiva, hitro odpravljale.

5.3.7.10 Spremljanje

Ugotovitve:

1. Spremljanje prijav in uporabe sistema je ustrezno s standardom. Beležijo se ura in datum prijave, uporabnik, čas seje, do katerih podatkov se je dostopalo. Vendar se ti dnevniki ne pregledujejo redno, ampak le v primeru, ko je že prišlo do kakšne napake oz. incidenta.

2. Zaščita dnevnikov je ustrezna, podjetje ne spremlja kapacitete medijev na katerega se dnevniki shranjujejo. Tveganje obstaja, saj ima administrator možnost spreminjanja uporabniških dnevnikov.

3. Aktivnosti administratorja se ne beležijo, prav tako se ne vodi dnevnik administratorja.

55

4. Beleženje okvar se ne beleži, napake pa se rešujejo v odvisnosti od pomembnosti. 5. Ura na strežnikih se osvežuje preko interneta, prav tako na uporabniških delovnih

postajah, vendar uporabniki ure ne osvežujejo redno ter tudi niso medsebojno usklajene.

Priporočila:

1. Potrebno je narediti analizo tveganja, ki bo določila obseg spremljanja uporabe sistema in količino podatkov ter pogostost spremljanja. Priporočeno je spremljanje dnevnikov prijav in dela, vsaj konec dneva, da se hitro odkrijejo potencialne nevarnosti oz. zmote zaposlenih ali poseg v sistem od tretje osebe. Posebno pozornost je potrebno nameniti sistemskim opozorilom.

2. Potrebno je uvesti določila o hranjenju uporabniških dnevnikov (koliko časa jih je potrebno hraniti). Prav tako je potrebno spremljati kapacitete in funkcionalnost medijev kamor se dnevniki shranjujejo, saj se lahko zaradi prezasedenosti ali tehnične napake izgubijo pomembni podatki zapisani v dnevnikih. Vodja informatike se mora zavezati, da ne bo spreminjal podatkov v dnevnikih.

3. Dnevnik administratorja naj vsebuje: čas dogodka (pr. zagon ali izključitev sistema), napake v sistemu in reševanje, ime administratorja. Dnevnik administratorja morajo redno pregledovati njegovi nadrejeni.

4. Napake in okvare je potrebno spremljati. Zabeležiti je potrebno vsako prijavo napak od uporabnika, njegovo ime in ali se je napaka odpravila. Beleženje je pomembno tudi zaradi same funkcionalnosti sistema in njegovega pravilnega delovanja.

5. Na delovnih postajah je potrebno vzpostaviti avtomatsko osveževanje ure, saj uporabniki tega ne počnejo. Priporočeno je, da se delovne postaje nastavi tako, da se ura osvežuje z glavnim strežnikom, saj bo tako povsod usklajen čas.

5.3.8 Nadzor dostopa

5.3.8.1 Poslovne potrebe za nadzor dostopa Ugotovitve: Podjetje nima politike, ki bi urejala nadzor dostopa. Pravice pa so določene za posamezne uporabnike in skupine uporabnikov. Priporočila: Potrebno je sestaviti politiko dostopa nadzora, ki bo formalno urejala kontrolna pravila in pravice za vsakega posameznika in skupino uporabnikov. Politika naj med drugim ureja: varnostne zahteve za posamezne aplikacije, klasifikacijo informacij in avtorizacijo, potrebna zakonska pravila na tem področju in odvzemanje dostopnih pravic.

5.3.8.2 Upravljanje z dostopi uporabnikov Ugotovitve:

1. V podjetju ne obstaja formalni postopek registracije uporabnikov. Za uporabniška imena in gesla je odgovoren administrator. Vodje oddelkov za vsakega upravičenca oddajo prošnjo za uporabniško ime in geslo.

2. Nadzor nad posebnimi pravicami (pravice administratorjev) ni. Gesla za takšne pravice se shranjujejo v varovanem sefu oz. omari.

56

3. Dodeljevanje gesel ni del formalnega procesa. Gesla se sicer dodeljujejo pisno, vendar uporabniki tako napisanih gesel ne shranjujejo dovolj varno. Prav tako se ne zavedajo pomembnosti in zaupnosti glede varovanja svojih uporabniških imen in gesel.

4. Postopek za občasne preglede uporabniških pravic dostopa ne obstaja, niti se v praksi to ne izvršuje.

Priporočila:

1. Uvede se naj postopek, ki se ga morajo držati vsi zaposleni. Prav tako se naj sestavi uradni obrazec, ki bo omogočal dodeljevanje imen in gesel za dostop uporabnikov. Te dostope naj administrator oz. odgovorna oseba redno (1x na mesec) preverja. Ko se določen dostop več ne potrebuje, se naj nemudoma odstrani iz sistema.

2. Podjetje naj opredeli postopek in proces pridobitve in nadzora nad posebnimi pravicami. Tako omogočenih dostopov naj bo čim manj. Obvezno se morajo zabeleževati pravice in dostopi vzdrževalcev in serviserjev.

3. Potrebno je uvesti formalen postopek prenosa uporabniškega imena in gesla k uporabniku. Ta naj pri tem podpiše izjavo o zaupnosti in varovanju svojega imena in gesla.

4. Vodstvo naj uvede postopek, ki bo urejal redne preglede uporabniških pravic dostopa, za posebne pravice vsake 3 mesece, za ostale uporabnike pa na 6 mesecev. Določi se naj tudi odgovorna in pooblaščena oseba za te preglede.

5.3.8.3 Odgovornost uporabnikov

Ugotovitve:

1. Obstajajo navodila za pravilno shranjevanje gesel, vendar se jih uporabniki ne držijo vestno (gesla nalepijo na ekran, mizo in na ostala vidna mesta). Ne obstajajo pa navodila za redno spreminjanje gesel in ni določenega pravila kako naj bo geslo sestavljeno.

2. Uporabniki po končanem delovnem času ugašajo računalnike in zaklepajo svoje pisarne in tako varujejo svojo opremo v okviru svojih zmožnosti. Takšen način je tudi zapisan v pravilniku podjetja.

3. Zaposleni zaklepajo omare, predale po končani službi. Ne odjavijo pa se iz sistema, če trenutno zapustijo svoj prostor.

Priporočila:

1. Uvede naj se politika varovanja in uporabe gesel, kjer bo natančno opisana odgovornost vsakega zaposlenega. Določi naj se časovni okvir v katerem se mora geslo zamenjati, kako naj bo geslo sestavljeno in njegova dolžina.

2. Usklajeno s standardom. 3. Delovne postaje se naj nastavi, da se ob določenem času samodejno zaklenejo in da

je za odklep potreben vnos uporabniškega imena in gesla.

5.3.8.4 Obvladovanje mrežnega dostopa Ugotovitve:

1. V podjetju ne obstaja formalna politika uporabe mrežnih sredstev. Uporabniki pa imajo glede na svoje pravice omejen dostop do notranjega omrežja.

57

2. Iz zunanje lokacije dostopa veliko ljudi (od zaposlenih na terenu in zunanjih enotah, do vzdrževalcev in pogodbenikov). Vsak dostop je zavarovan z geslom, vendar se ne preverja, ali se je dejansko povezala določena oseba.

3. Za vzdrževalne namene podjetje odpre diagnostična vrata, ta so dovolj dobro fizično zavarovana za zaklenjenimi vrati v strežniški sobi.

4. Informacijski sistem podjetja se deli na dve domeni. Prva je interna in se uporablja izključno znotraj podjetja, druga pa je namenjena elektronskemu poslovanju, internetu in elektronski pošti. Celoten sistem varuje požarni zid in usmerjevalnik, tako strojni kot programski.

5. Za zaščito skrbijo programski požarni zid in usmerjevalniki, ki določajo dovoljen promet, ki lahko prihaja od zunaj in odhaja.

6. Računalniške povezave in tok informacij ne kršijo pravil dostopa do aplikacij. Usmerjevalniki imajo varnostne mehanizme, ki določajo naslove izvora in cilja po naslovu IP.

Priporočila:

1. Formalno se naj opredeli politika uporabe mrežnih sredstev. Točno se naj določi kateri uporabniki oz. skupine uporabnikov imajo dostop do določenih sredstev, še posebej se naj opredelijo pravice dostopa do glavnih strežnikov.

2. Podjetje naj preveri analizo tveganja glede točk dostopa in tako ugotovi ali so dostopi dovolj varovani. Prav tako naj opravi postopke prepoznavanja opreme pri zunanjem dostopu. Tako bi se zmanjšalo tveganje, ki je prisotno če nekdo nezakonito pridobi dostop do sistema.

3. Preverja in beleži se naj uporabo in dostop do diagnostični vrat. Potrebno je stestirati varnost in zaščito diagnostičnih vrat za optimalno delovanje.

4. Potrebno je natančno dokumentirati obe domeni in določiti kaj točno katera zajema. Tako bo tudi lažje razvidno tveganje pred ranljivostjo od zunaj.

5. Uporablja se naj čim manj odprtih povezav in le nujno potrebna, saj na tak način obstaja manjše tveganje vdora v sistem od zunaj. Dokumentira se naj vsaka povezava in kontrola.

6. Usmerjevanje omrežja je usklajeno s standardom.

5.3.8.5 Kontrola dostopa do operacijskega sistema Ugotovitve:

1. Možnost prijave v sistem ne razkriva potencialne informacije, ki bi omogočile nepooblaščen dostop do sistema.

2. Uporabniki za dostop do sistema uporabljajo svoje uporabniško ime in geslo, tako se lahko po geslu in imenu izsledi uporabnika in čas dostopa do sistema.

3. V podjetju ne obstaja sistem, ki bi avtomatsko preverjal kakovost in pogostost menjave gesel. Uporabniki po prejemu gesla, le-tega ne spreminjajo.

4. V podjetju se uporabljajo sistemski programi, ki zaobidejo standardne kontrole. Uporabijo se v primeru težav in vzdrževanj.

5. Večina delovnih postaj se ne odjavi samodejno in prekine povezave, ko so dalj časa nedejavne.

Priporočila:

1. Prijave naj bodo omejene na samo nekaj poskusov, med neuspelimi prijavami se

58

naj podaljšujejo časovna čakanja na vnos gesla. Nepravilni vnosi se naj beležijo in pregledujejo.

2. Posebej naj bodo pod nadzorom dostopi s uporabniški imeni in gesli vodje oddelkov in administratorjev, ker imajo le-ti večje pravice in dostop.

3. Zaradi večje zaščite bi se moral izvrševati vsaj ročni nadzor administratorja nad ustreznostjo gesel in njihovih periodičnih spreminjanj. V veliko pomoč bi bil urejen in zapisan postopek upravljanja s gesli, zato je priporočeno, da ga podjetje uvede. V njem naj bo določeno: pogostost spreminjanja, sestavljenost, dolžina, skupna gesla in uporabniška imena.

4. Poostri se naj nadzor nad takšnimi programi, saj predstavljajo tveganje za celoten sistem, ker se izognejo kontrolam. Podjetje naj s pomočjo analize tveganja preveri kakšno stopnjo tveganja imajo takšni programi.

5. Na mestih, kjer je omogočen javen dostop (tajnica, pisarne, kjer sprejemajo stranke), je potrebno nastaviti računalnike, da se po določenem času zaklenejo in zavarujejo z geslom. Naj se tudi preverja, da uporabniki na takšnih mestih dosledno upoštevajo to. Prav tako je pomembno, da pri oddaljenem delu s strežniki ti samodejno prekinejo povezavo, če je ta dalj časa neaktivna.

5.3.8.6 Kontrola dostopa do aplikacij in informacij

Ugotovitve:

1. Podjetje skrbi, da imajo zaposleni in uporabniki omejen dostop do aplikacij in informacij, do katerih niso upravičeni.

2. Podjetje nima tako občutljivih sistemov oz. aplikacij, da bi potrebovali posebno, izolirano računalniško okolje.

Priporočila:

1. Potreben je večji nadzor nad dostopnimi pravicami uporabnikov pri branju, pisanju, brisanju in zaganjanju aplikacij glede na poslovne zahteve.

5.3.8.7 Prenosne računalniške naprave in oddaljeno delo

Ugotovitve:

1. Obstajajo neformalna pravila za uporabo prenosnih naprav. Tisti, ki so upravičeni do svojih mobilnih naprav (vodje oddelkov), bi lahko bili bolje seznanjeni s pravilno in varno uporabo mobilnih naprav.

2. Uporabniki, ki so upravičeni za delo na daljavo (od doma) niso ustrezno obveščeni o potrebnem varovanju in pravilni uporabi. Podjetje tudi nima pravil glede tega.

Priporočila:

1. Potrebno je uvesti uradna pravila glede ravnanja s mobilnimi napravami s katerimi naj bodo seznanjeni vsi uporabniki takšnih naprav. Tako naj bo v pravilih določeno: fizična zaščita, varovanje dostopa, tehnike šifriranja, izdelovanje arhivov in zaščita pred virusi.

2. Podjetje naj v pravilih točno določi, kdo je lahko upravičen do dela na daljavo. Poleg tega naj pravila določajo: ustrezno mesto za delo, ustrezno omrežje, varnostna določila povezave, sankcije pri nepooblaščenih dostopih in malomarnosti, zaščita pred virusi in zlonamerno kodo. S temi pravili naj podjetje

59

ustrezno seznani zaposlene, ki uporabljajo oddaljen dostop. 5.3.9 Nabava, razvoj in vzdrževanje informacijskega sistema

5.3.9.1 Varnostne zahteve za informacijske sisteme Ugotovitve: Pri razvoju aplikacij in pri nadgradnji obstoječih sistemov podjetje posveča premalo pozornosti varnostnim zahtevam. Priporočila: Podjetje naj pri razvoju novih aplikacij in nadgradnji obstoječih posveti več pozornosti pri sami opredelitvi varnostnih zahtev. Pri tem si naj pomaga z analizo tveganja. Pri izdelavi aplikacij zunanjih izvajalcev naj natančno preverja in se dogovarja o varnostnih zahtevah v aplikacijah.

5.3.9.2 Pravilno funkcioniranje programske opreme Ugotovitve:

1. Vse važne aplikacije imajo vgrajene kontrole vhodnih podatkov. 2. V pomembnejših aplikacijah je vgrajen nadzor nad obdelavo podatkov. 3. Overjanje sporočil se uporablja pri poslovanju z bankami, ne pa pri poslovanjih z

zunanjimi partnerji in izvajalci. 4. Točnost izhodnih podatkov se ne preverja.

Priporočila:

1. Podjetje naj določi najvažnejše in najpomembnejše aplikacije in jih periodično nadzira, če delujejo pravilno. Priporočeno bi bilo, da se v aplikacije vgradi podrobnejša funkcija spremljanja napačnih vnosov.

2. Podobno kot za točko 1, se naj redno spremlja tudi pravilno delovanje kritičnih aplikacij. Poleg tega je potrebno spremljati tudi strojno opremo, saj lahko prihaja do napak pri obdelavi podatkov tudi zaradi tehničnih problemov na opremi. Potrebno je ugotoviti vse možne oz. potencialne napake pri obdelavi podatkov.

3. Podjetje naj na podlagi analize tveganj ugotovi stopnjo zaščite sporočil pri poslovanju s partnerji in sporočila na podlagi tega ustrezno zaščiti s kriptografskimi metodami.

4. Praviloma velja, da so podatki točni, če se preverjajo podatki na vhodu in pri obdelavi, vendar to ni nujno res. Predlagamo periodično pregledovanje izhodnih podatkov glede na smiselnost, pravilnost, celovitost.

5.3.9.3 Kontrola šifriranja

Ugotovitve: V podjetju ne obstaja formalna politika uporabe šifriranja. Samo šifriranje se sicer uporablja pri transakcijah s bankami. Digitalni ključi, podpisi in certifikati so premalo zaščiteni pred nepooblaščenimi pregledi.

60

Priporočila: Za boljše poznavanje in obvladovanje naj podjetje uvede ustrezno politiko na tem področju. Le-ta naj zajema analizo tveganja, ki naj ugotovi pri katerih transakcijah se naj uporablja šifriranje ter odgovornosti glede uporabe šifriranja in digitalnih ključev. Še posebej se naj pozornost posveti pravilnemu shranjevanju in zaščiti delovnih postaj, na katerih se uporabljajo digitalni ključi.

5.3.9.4 Zaščita sistemskih datotek Ugotovitve:

1. V podjetju ne obstaja varnostni postopek za nameščanje programske opreme. Takšno opremo nameščajo samo izkušeni administratorji, ki pa pred tem ne opravijo temeljitega testiranja, ki je potrebno, da ne bi prihajalo do kakršnihkoli nekompatibilnosti.

2. Podjetje uporablja standardne testne podatke. Nima pa uvedenih pravil za njihovo zaščito in nadzor.

3. Dostop do izvorne kode programov je premalo zaščiten. Dostopanje do programskih knjižnic, načrtov in izvorne kode se ne nadzoruje niti se ne zabeleži.

Priporočila:

1. Podjetje naj uvede varnostno politiko glede varne namestitve programske opreme. Vzpostavitev nove programske opreme se naj opravi šele po temeljitem testiranju, ki bo dalo zanesljivo oceno ali je oprema združljiva z že obstoječo programsko in strojno opremo. Sama namestitev se mora beležiti. Potrebno je uvesti strategijo, ki bo omogočala vrnitev na originalno konfiguracijo v primeru težav.

2. Podjetje naj v pravilih zajame: pravilne kontrole za testne podatke, pridobivanje pooblastil za testiranje in beleženje informacij, ki bodo omogočale revizijsko sled.

3. Podjetje naj po možnosti izvorno kodo shranjuje na sistemih, ki niso povezani z informacijskim sistemom. Za kodo, ki se izvaja v realnem času se naj vzpostavijo pravice dostopa do izvorne kode in beleži vsa dostopanja do nje.

5.3.9.5 Varnost v razvojnih in podpornih procesih

Ugotovitve:

1. Podjetje nima politike o spremembah kontrol v informacijskem sistemu, zato se tudi spremembe ne kontrolirajo in zabeležijo.

2. Programska oprema se po uvedbi novega operacijskega sistema preveri in stestira, vendar podjetje nima urejenega formalnega postopka o tem.

3. Spremembe pri uporabljeni programski opremi so pogoste, vendar se ne zabeležujejo redno niti ni navedenih omejitev sprememb.

4. V podjetju se za iskanje trojanskih konjev oz. programov za uhajanje informacij uporabljajo programi znanih svetovnih programerskih hiš. Vendar se ti programi ne posodabljajo v zaželenem roku. Pregledi so redni samo na strežnikih, medtem ko na delovnih postajah zaposleni ne opravljajo pregledov.

5. Podjetje uporablja celovito programsko rešitev zunanjega izvajalca. Večino njihovega dela se ne nadzira, temelji na zaupanju.

61

Priporočila: 1. Formalne spremembe kontrol se naj dokumentirajo in vzpostavijo. S tem se

zmanjšajo napake v informacijskem sistemu. Postopek naj vključuje analizo tveganja. Poskrbi se naj, da se bodo spremembe beležile in shranjevale za možnost nadaljnjega vpogleda.

2. Postopek naj vključuje: analiza tveganja, plan prehoda, pregled kontrol aplikacije v novem sistemu.

3. Programski paketi se naj čim manj spreminjajo, v vsakem primeru je potrebno soglasje izdelovalca programa. Spremembe se morajo preveriti in kontrolirati.

4. Programe je potrebno osveževati redno in tako pridobivati informacije o novih potencialnih nevarnostih. Redno je potrebno pregledovati tudi delovne postaje saj imajo neomejen dostop do interneta.

5. Potreben je večji nadzor nad delom zunanjega izvajalca. Podjetje naj redno spremlja napredek in določene roke. Potrebno je tudi večje testiranje programske opreme, ko se vključi v sistem, da se morebitne napake takoj odkrijejo.

5.3.9.6 Upravljanje tehnične ranljivosti

Ugotovitve: V podjetju ne obstaja inventura programske opreme, ki omogoča nadzor nad ranljivostjo. Priporočila: Za inventuro je potrebno imeti sestavljen popis vseh dobrin podjetja (ki ga podjetje nima). Podjetje naj sestavi pravila, ki bodo urejala vloge in odgovornosti povezane s tehnično ranljivostjo, vire informacij in popravkov, ki se jih bo uporabljalo za določeno tehnično ranljivost, katere je potrebno redno obnavljati, ter postopke in ravnanja, ki se morajo upoštevati ob odkritju ranljivosti Ker je reševanje težav ranljivosti zelo pomembno, naj podjetje temu nameni veliko pozornost. 5.3.10 Upravljanje z incidenti informacijske varnosti

5.3.10.1 Poročanje o incidentih informacijske varnosti in pomanjkljivostih Ugotovitve:

1. V podjetju ne obstaja formalen postopek prijave incidentov informacijske varnosti. 2. Vsi uporabniki informacijskega sistema po svojih možnosti poročajo o napakah in

pomanjkljivostih. Priporočila:

1. Podjetje naj ustanovi formalni postopek prijavljanja incidentov informacijske varnosti. Ta naj vsebuje tudi navodila in izvedbo, ki so potrebna za ukrepanje. Za ta postopek naj bodo obveščeni vsi zaposleni in zunanji izvajalci. V podjetju se naj vzpostavi točko, kjer se bodo informacije o incidentih zbirale. Primeri incidentov so: izguba storitev ali opreme, nepravilno obratovanje ali preobremenitve, malomarnost, vdori, napake na strojni ali programski opremi itd. Za pravilno ravnanje je priporočeno izvajanje vaj, ki bodo omogočale pravilno reagiranje v primeru incidentov.

2. Poročanje bi se izboljšalo s formalnim postopkom omenjenim pod točko 1.

62

5.3.10.2 Poročanje o incidentih informacijske varnosti in izboljšave

Ugotovitve:

1. Podjetje nima postopkov za hitro in učinkovito reagiranje na varnostne incidente. Sistemi, alarmi in ranljivosti v programski opremi se nadzirajo, vendar ne tako pogosto kot bi bilo potrebno.

2. Podjetje nima mehanizmov, ki bi učinkovito vrednotili tip in obseg vrednosti stroškov povezanih s varnostnimi incidenti.

3. V primeru kršitve zakonskih regulativ se v podjetju zbirajo dokazi o kršitvah. Priporočila:

1. Vodstvo naj uredi postopke, s pomočjo katerih bi v primerih incidentov hitro in učinkovito reševali probleme.

2. Varnostna politika naj opredeli navodila za ocenjevanje incidentov. Za takšno ocenjevanje bo morda potrebno nastaviti boljše kontrole, s pomočjo katerih se bodo takšni podatki zbirali.

3. Originalni papirni dokazi naj bodo varno shranjeni s podatki: kdo je našel dokument, kdaj, kje in katere so priče. Originalni elektronski podatki naj bodo prav tako varno shranjeni s vsemi dnevniki in logi. Vsa naknadna opravila in dostopanja naj bodo opravljena na kopijah.

5.3.11 Upravljanje neprekinjenega poslovanja Ugotovitve: Podjetje nima vzpostavljene politike neprekinjenega poslovanja. Priporočila: Organizacija naj analizira tveganja in posledice ter na osnovi tega izdela načrt neprekinjenega poslovanja. Obseg načrta naj bo skladen z varnostnimi in poslovnimi zahtevami. Organizacija naj izdela načrte za vzdrževanje in pravočasno obnovo poslovnih procesov po prekinitvi, motnji, okvari ali katastrofi. Ti načrti naj vsebujejo natančna navodila, ki jih je potrebno izvesti v primeru prekinitve poslovanja. Točno naj se tudi določi, kdo je odgovoren za izvajanje teh ukrepov. Zagotovi naj se, da bodo vsi zaposleni primerno ozaveščeni in usposobljeni. Po vpeljavi načrta naj se zagotovi, da se ta redno testira in dopolnjuje v skladu z varnostnimi in poslovnimi zahtevami. 5.3.12 Združljivost

5.3.12.1 Združljivost s zakonskimi zahtevami Ugotovitve:

1. Podjetje ima definirane in posebej dokumentirane zakonske in pogodbene obveznosti pomembne pri poslovanju podjetja.

2. V podjetju se uporablja licenčna programska oprema. Ne obstajajo pa seznami, ki bi kazali, na katerih postajah so ti programi nameščeni. Ne obstaja redno preverjanje delovnih postaj v zvezi z nelicenčno programsko opremo.

63

3. Pomembni zapisi (računovodski, davčni itd.) so primerno shranjeni, vendar se ne preverja berljivost medijev na katerih so zapisi.

4. Osebni podatki so uradno zaščiteni na podlagi zakona o varovanju osebnih podatkov, v praksi pa zaščita še ni v celoti uvedena.

5. Nepooblaščena uporaba elektronske pošte in interneta se pri zaposlenih ne preverja, elektronska pošta se preverja le pri vodjah oddelkov. Zaposleni imajo samo določen dostop do celovite programske rešitve, ki jo uporabljajo v podjetju, kar je odvisno od njihovega uporabniškega imena.

6. Kontrole se uporabljajo pri poslovanjih s bankami in državnimi agencijami. Priporočila:

1. Podjetje naj določi odgovorno osebo, ki bo redno spremljala spremembe v zakonih in k temu prilagajala poslovanje podjetja.

2. Za podjetje je zelo pomembno, da strogo nadzoruje delovne postaje in preverja uporabo nelicenčnih programov. Vodstvo mora biti ozaveščeno, da je uporaba nelicenčne programske opreme kazniva.

3. Podjetje naj klasificira informacije. Na podlagi tega se naj določi tip medija, vrsto shranjevanja in interval izdelovanja arhivov. Izbira medijev naj bo skladna s potrebami državnih agencij.

4. Podjetje oz. odgovorne osebe naj redno preverjajo, če zaščita ustreza pravilniku podjetja oz. zakonu o varovanju osebnih podatkov. Vodstvo mora tudi tu biti pozorno za pravilno izpolnjevanje, saj je za nepravilnosti kazensko odgovorno.

5. Podjetje naj redno preverja uporabo opreme in v primeru nepooblaščene uporabe se naj uvedejo sankcije. Zaposleni naj bodo pravilno seznanjeni s sankcijami v primeru incidentov.

6. Podjetje naj preuči zakonske podlage pri uporabi šifriranih oz. kriptografskih kontrol. V primeru poslovanja s tujino, se je potrebno prepričati, da so zakonske podlage medsebojno usklajene.

5.3.12.2 Združljivost varnostne politike s standardi in tehnično ustreznostjo

Ugotovitve:

1. Podjetje nima uvedene varnostne politike. 2. Podjetje ne pregleduje tehnične ustreznosti s standardi, naredilo pa je nekaj testov v

zvezi z varnostjo omrežja. Priporočila:

1. Podjetje naj po uvedbi varnostne politike uredi postopke, na podlagi katerih bodo odgovorne osebe redno in ustrezno pregledovale združljivost varnostne politike s standardi s področja varnosti informacijskega sistema.

2. Podjetje naj naredi načrte po katerih se bo redno pregledovala tehnična ustreznost informacijske opreme. Periodičnost pregledovanja naj bo odvisna od narejene analize tveganja.

5.3.12.3 Pregledovanje informacijskih sistemov

Ugotovitve: V podjetju se ne izvaja pregledovanje informacijskega sistema.

64

Priporočila: Podjetje naj naredi načrte za pregledovanje informacijskega sistema, tako da pregledovanje ne bo prekinjalo poslovnega procesa. Za večjo objektivnost je priporočena zunanja revizija. Orodja za pregledovanje morajo biti ustrezna in dostop do njih zaščiten za nepooblaščene. Rezultati se naj pregledajo in dokumentirajo in ustrezno upoštevajo. Ugotovitve 5. poglavja Primer revizije varnosti informacijskega sistema v podjetju "X", ki je temeljila na standardu ISO 17799 je pokazala, kar lahko velja za marsikatero srednje in tudi veliko podjetje, da je varovanje sistema pred vdori preko mrežnih povezav sicer zadovoljivo, vendar bi moralo podjetje več pozornosti posvetiti fizičnemu varovanju pomembne informacijske opreme, poleg tega v podjetju ni dokumentirane varnostne politike in napisanih postopkov za določene naloge in odgovornosti, prav tako daje premalo poudarka pri ozaveščanju zaposlenih s problemi in rešitvami glede varnosti informacijskega sistema in nima uvedenega upravljanja neprekinjenega poslovanja. Vodstvo podjetja bi s formalno uvedbo varnostne politike zaobjelo celoten proces varovanja in zaščite informacijskega sistema v podjetju in tako pripomoglo k zmanjšanju nevarnosti, tako namernih kot nenamernih, ki kompromirajo učinkovito delovanje informacijskega sistema in tako celotnega poslovanja podjetja.

65

6 SKLEPNE UGOTOVITVE V uvodu smo si zastavili cilj, da dokažemo pomembno vlogo revizije informacijskih sistemov pri zmanjševanju tveganj in ranljivosti informacijskega sistema v podjetjih. Tako smo v diplomski nalogi najprej proučili značilnosti informacijskih sistemov v zvezi z varnostjo in ugotovili, da je informacijski sistem poglavitni del organizacije, ki povezuje poslovne procese v podjetju in skrbi za tekoče poslovanje. Prav zaradi pomembnosti informacijskih sistemov z vidika poslovanja podjetij mora biti njihova varnost prva naloga vodstva podjetja, ki pa težko vrednoti informacijske vire v podjetju, ki se ne zajamejo v računovodskih izkazih, vendar predstavljajo pomembna tveganja za poslovanje. Za preverjanje varnosti informacijskih sistemov je zato potrebna celovita revizija. Ugotovili smo, da ima revizija informacijskih sistemov z vidika varnosti pomembno vlogo pri zmanjševanju tveganj in nevarnosti v podjetju. Namen revidiranja informacijskega sistema je oceniti zanesljivost delovanja sistema in predvideti potencialne nevarnosti v prihodnosti. Naloga revizije informacijskih sistemov je tudi preverjanje obstoječih kontrol in vpeljava novih. Zaradi hitrih sprememb na področju informacijske tehnologije mora imeti revizor informacijskih sistemov veliko specialističnih znanj s področja uporabe informacijske tehnologije in dolgoletne izkušnje s področja uporabe, razvoja in upravljanja z informacijskimi sistemi. Da bi zadostili optimalni varnosti v podjetju je potrebno revizijo opravljati periodično in redno ugotavljati skladnost s obstoječimi standardi in smernicami. V diplomski nalogi smo spoznali standard ISO 17799 ter metodologiji COBIT in ITIL. To so vodilne smernice v svetu, na podlagi katerih se opravljajo revizije informacijskih sistemov. Ugotovili smo, da je za potrebe varnosti najbolj primeren ISO 17799, ki obsega dobro prakso na področju varnosti in zaščite informacijskih sistemov. Z zgoraj navedenimi ugotovitvami smo dokazali, da igra revizija informacijskih sistemov zelo pomembno vlogo pri varovanju informacijskega sistema in s tem prispeva k izboljšanju varnosti celotnega podjetja in pripadajočih procesov Naslednji cilj, ki smo si si ga zastavili v uvodu je bil, da z revizijo informacijskega sistema v izbranem podjetju dokažemo, da ima to podjetje za svoje potrebe dovolj varen in zaščiten informacijskih sistem. Revizija je pokazala, da je sistem dobro zaščiten pred nepooblašenimi dostopi preko mreže, premalo poudarka pa je namenjeno samemu fizičnemu varovanju pomembne opreme. Poleg tega ni dokumentirane varnostne politike, obstaja minimalna ozaveščenost zaposlenih s problemi in rešitvami glede varnosti informacijskega sistema in ni uvedenega upravljanja neprekinjenega poslovanja v podjetju. Z ugotovitvami revizije, ki so navedene v zgornjem odstavku, zastavljenega cilja ni bilo mogoče dokazati, saj podjetje nima optimalno zaščitenega in varnega informacijskega sistema.

66

7 POVZETEK IN KLJUČNE BESEDE Informacijski sistem je vitalni del vsakega podjetja. S pomočjo informacijske tehnike, programske opreme in ljudi se po njemu pretakajo pomembne informacije in podatki za podjetje, zato je v interesu podjetja, da ga pravilno zaščiti in varuje. Zaradi nevarnosti vse pogostejših kraj informacij, vdorov, pa tudi malomarnosti postaja revizija informacijskih sistemov vse nujnejša in pogostejša. Z revizijo podjetje ugotovi možne nevarnosti in negotovosti na področju varnosti informacijskega sistema. Za pravilno opravljeno in uspešno revizijo mora imeti revizor informacijskih sistemov dolgoletne izkušnje ter strokovno znanje iz področja uporabe, razvoja in upravljanja z informacijskimi sistemi. Proces revizije je sestavljen iz pripravljalne in izvedbene faze, preverjanja ugotovitev in poročanja. Revizija se lahko opravi na podlagi več standardov, smernic ali metodologij, ki so v pomoč revizorju, saj vsebujejo priporočila pri revidiranju. V diplomski nalogi je proučen standard ISO 17799 in metodologiji ITIL in COBIT. ISO 17799 vsebuje najboljšo prakso pri varovanju informacijskih sistemov in je v celoti namenjen njihovi zaščiti, medtem ko sta ITIL in COBIT procesno usmerjena, ITIL s poudarkom na podporo storitvam uporabnikov, COBIT pa na kontroli procesov. Na podlagi standarda ISO 17799 je bila opravljena tudi revizija informacijskega sistema v podjetju "X" Ključne besede: informacijski sistem, revizija informacijskih sistemov, analiza tveganja, revizor, varovanje informacij, ISO 17799 (27002), COBIT, ITIL, varnostne kontrole, PDCA, varnostna politika, obvladovanje tveganja

67

8 ABSTRACT AND KEYWORDS Information system is a important part of every company. With support of information technology, software and people important data and information are flowing through it and therefore is in interest of every company to secure it and protect it. There is a danger of stealing informations, security breaches and possible negligence, therefore information system audit is becoming more necessarily and inevitably. With information system audit company identify possible dangers and insecurity in information system security area. For correct and successful audit auditor of information systems must have years of experience and expert knowledge of usage, development and management regarding information system. Main phases of audit process are preparation, realization, checking results and reporting. Audit could be made on a basis of many standards or methodologies consisting of many references, which are important guidelines for any auditor. In this research we made a more detailed look on standard ISO 17799 and methodologies ITIL and COBIT. ISO 17799 includes the best practise regarding information system security and is entirely written for purpose to protect information systems. On other hand are ITIL and COBIT more process oriented, ITIL more on users service support, COBIT more on process control. Information system audit, which was performed in company "X" is based on standard ISO 17799. Keywords: information system, information system audit, risk analysis, auditor, information security, ISO 17799 (27002), COBIT, ITIL, security controls, PDCA; security policy, risk management

68

9 VIRI IN LITERATURA

1. Bobek, Samo in Lesjak, Dušan. 1995. Informatika za ekonomiste. Maribor: Ekonomska-poslovna fakulteta

2. Chorus System. (2005). ITIL Overview (online). Dostopno na:

http://www.chorussystems.com/resources/ITIL.html [30.10.2006]

3. Gamma. (2006). How 27000 Works (online). Dostopno na: http://www.gammassl.co.uk/bs7799/works.html [29.6.2006]

4. Gradišar, Miro, Gortan Resinovič. 1998. Informatika v organizaciji. Kranj:Založba

Moderna organizacija

5. ISACA. (2006). Revizija IS. (online). Dostopno na: http://www.si-revizija.si/isaca/revizija_IS.php [14.06.2006]

6. ISO 27001 Security. (2006). Other security standards (online). Dostopno na:

http://www.iso27001security.com/html/others.html [29.6.2006]

7. IT Governance (2006). IT Governance and Cobit (online) Dostopno na: http://itgovernance.politicalinformation.com/cob.htm [02.11.2006]

8. IT Governance Institute. (2005) Cobit 4.0 (online). Dostopno na:

http://www.isaca.org/Template.cfm?Section=COBIT6&Template=/TaggedPage/TaggedPageDisplay.cfm&TPLID=55&ContentID=7981 [02.11.2006]

9. IT Governance Institute. (2006) Cobit Mapping, (online). Dostopno na:

http://www.itgi.org/AMTemplate.cfm?Section=Deliverables&Template=/ContentManagement/ContentDisplay.cfm&ContentID=24759 [02.11.2006]

10. ITIL Monkey (2006). About ITIL (online). Dostopno na:

http://www.itilmonkey.com/content/view/11/25/ [31.10.2006]

11. Javornik, Boža. (2003). Revizijske sledi (online). Dostopno na: http://www.si-revizija.si/isaca/datoteke/rev_sled_0503.ppt [22.10.2006]

12. Koletnik, Franc in Pivka, Marjan. 2000. Raziskovanje in dosežki v reviziji,

raziskovalno področje: Presojanje računalniško podprtega informacijskega sistema. Ekonomska-poslovna fakulteta. Maribor.

13. Moškon, Stane. (2006a). Revizija in varnost informacijskih sistemov (online).

Dostopno na: http://www.netis.si/files/ISACA.pdf [21.10.2006]

14. Moškon, Stane. (2006b). Vloga revizorja informacijskih sistemov pri implementaciji ERP sistema (online). Dostopno na: http://www.sapforum.si/predavanja/1dan/pdf/24_Vloga%20IT%20revizorja.PDF [22.10.2006]

69

15. O'Brien, A. James. 2003. Intruduction to Information Systems. Boston: McGraw-

Hill Irwin.

16. Pivka, Marjan. (2000). Izvedba revizije - gradivo za predavanja (online). Dostopno na: http://epf-oi.uni-mb.si:8000/clani/pivka/rac-podp-revizija/revizija-izvedba.ppt [22.10.2006]

17. Podgoršek, Urška. 2003. Revizijsko poročilo – kako zagotoviti vodstvu njegovo

sporočilnost.12 mednarodna konferenca o revidiranju in kontroli informacijskih sistemov: Slovenski inštitut za revizijo. 229-240

18. Potočnik, Konrad in Tajnik, Franci. 2003. Uporaba modela COBIT za načrtovanje

in izvedbo revizije. 11 mednarodna konferenca o revidiranju in kontroli informacijskih sistemov: Slovenski inštitut za revizijo. 105-124

19. Praxiom (2006).Overview of the ISO 17799 2005 Information Security Standard

(online). Dostopno na: http://www.praxiom.com/iso-17799-overview.htm [29.6.2006]

20. Pušnik, Matjaž in Krajnc, Tomaž. 2005. Uporaba ITIL v IT organizaciji.Zbornik

posvetovanja: Dnevi slovenske informatike 2005. Slovensko društvo: INFORMATIKA: 271-279

21. Skitek, Mitja. 2001. Revizorjevo poročilo o kakovosti računalniškega

informacijskega sistema. 33 Simpozij o sodobnih metodah v računovodstvu, financah in reviziji: Zveza ekonomistov Slovenije in Zveze računovodij, finančnikov in revizorjev Slovenije, 289-309

22. Slak, Uroš. 2005. Varnost informacijskih sistemov. Zbornik posvetovanja: Dnevi

slovenske informatike 2005. Slovensko društvo: INFORMATIKA. 322-328

23. Tajnik, Franci. 2004. Revizijsko poročanje in uporaba COBIT metodologije.12 mednarodna konferenca o revidiranju in kontroli informacijskih sistemov: Slovenski inštitut za revizijo. 241-251

24. Vozlič, Andrej. (2003). Pomen revizije informacijskih sistemov v gospodarskih

družbah (online). Dostopno na: http://tux.kabi.si/katalog/rr-co/docs/Pomen_revizije_IS.pdf [14.6.2006]

25. Weil, Steven. (2004). How ITIL Can Improve Information Security (online).

Dostopno na: http://www.securityfocus.com/infocus/1815 [30.10.2006]

26. Zupan, Lucija. 2005. Uporaba orodij pri vzpostavitvi sistema za upravljanje varovanja informacij (ISMS) v skladu s standardom BS7799:2-2002. Zbornik posvetovanja: Dnevi slovenske informatike 2005. Slovensko društvo: INFORMATIKA: 263-270

70

27. Žabkar, Nataša in Mahnič, Viljan. 2005. Uporaba modela COBIT pri razvoju programske opreme. Zbornik posvetovanja: Dnevi slovenske informatike 2005. Slovensko društvo: INFORMATIKA 257-262

1

PRILOGA Vprašalnik za revizijo informacijskega sistema v podjetju "X", sestavljen na podlagi standarda ISO 17799. 1 Varnostna politika Namen: Zagotavljati vodstvu podporo in navodila za varnost informacijskega sistema v zvezi z potrebami poslovanja in bistvenimi zakoni in regulativami. Številka poglavja v standardu: 5. Št. Oddelek Vprašanje Stanje 5.1 Varnostna politika informacijskega sistema 5.1.1 Dokumenti o varnostni

politiki v podjetju Ali obstaja dokument o varnostni politiki v podjetju, ki ga je odobrilo vodstvo?

NE

So z njim seznanjeni vsi zaposleni? / Ali dokument določa odgovornost vodstva

glede nadzora in organiziranja upravljanja varnostne politike?

/

5.1.2 Pregled in ocenjevanje

varnostne politike Ali ima varnostna politika odgovorno osebo, ki skrbi za njeno vzdrževanje in osveževanje ter vodi in spreminja dokumentacijo varnostne politike?

NE

Ali obstajajo postopki za spremembe v varnostni politiki ob nepredvidljivih dogodkih (nesreče, vdori, poškodbe itd.)

NE

2

2 Organiziranje varnosti informacijskega sistema Namen: Poudariti pomembnost pravilnega organiziranja vodstva na področju varnosti informacijskega sistema. Številka poglavja v standardu: 6 Št. Oddelek Vprašanje Stanje 6.1 Sestava organiziranosti varovanja informacijskega sistema 6.1.1 Forum za upravljanje

varovanja informacij Ali v podjetju obstaja forum, ki zagotavlja jasno usmeritev in podporo vodstvu na področju varovanja informacij?

NE

6.1.2 Koordinacija informacijske varnosti

Ali v podjetju obstaja usklajenost upravljavcev, uporabnikov in administratorjev pri varnostnih predpisih in pogojih?

DA

6.1.3 Razporeditev odgovornosti za varovanje informacij

Ali so odgovornosti pri zaščiti posameznih dobrin in sredstev podjetja ter izvajanje procesov za zaščito jasno določene?

DA

6.1.4 Proces uvedbe za naprave informacijske tehnologije

Ali obstaja postopek pri dogodku nabav za nove naprave informacijske tehnologije, za strojno in programsko opremo?

DA

Ali se preverja skladnost nove strojne in programske opreme z obstoječimi prvinami v podjetju?

DA

Ali se preverja skladnost zasebne opreme (prenosniki, domači računalniki, druge naprave) pri uporabi v informacijskem sistemu?

DA

6.1.5 Dogovori o zaupnosti Ali je določeno katere informacije morajo biti zaupne?

DA

Ali zaposleni ob sklenitvi delovnega razmerja podpišejo dokument o zaupnosti poslovnih informacij?

DA

Ali so določene odgovornosti zaposlenih pri objavljanju zaupnih informacij?

DA

Ali je znan postopek, pri nepooblaščenem razkritju zaupnih informacij?

NE

6.1.6 Povezave z ostalimi organizacijami

Ali ima podjetje stike z ostalimi organizacijami ob primeru različnih incidentov in posredovanju informacij (državnimi organi, ponudniki računalniških

DA

3

storitev, telekomunikacij)? 6.1.7 Stiki z strokovnjaki Ali ima podjetje povezave s strokovnjaki na

področju varnosti informacijske tehnologije, s katerimi si izmenjuje izkušnje?

DA

Ali podjetje dobiva aktualne informacije o varovanju informacijskih sistemov in tehnologije?

DA

6.1.8 Neodvisno pregledovanje informacijskega sistema

Ali obstaja periodična zunanja revizija informacijskega sistema?

NE

6.2 Zunanji partnerji 6.2.1 Prepoznavanje tveganj

povezanih s zunanjimi partnerji

Ali so znana tveganja pri poslovanju s zunanjo stranko in ali so uvedene varnostne kontrole?

DA

Ali se dostop zunanjih partnerjev beleži in kontrolira?

DA

Ali je določena odgovornost zunanjih partnerjev v primeru incidenta?

DA

6.2.2 Prepoznavanje tveganj pri poslovanju z strankami

Ali so uvedeni postopki za varovanje in odkrivanje poškodb dobrin informacijskega sistema v podjetju pri poslovanju z strankami?

NE

Ali so določeni nivoji pravic za nadzor nad dostopi strank?

NE

6.2.3 Varnostna določila v pogodbah z zunanjimi izvajalci (outsourcing)

Ali so prepoznana tveganja, ki so možna pri poslovanju z zunanjimi izvajalci?

NE

Ali so uvedene kontrole pri poslovanju z zunanjimi izvajalci?

DELNO

Ali so določene odgovornosti glede strojne in programske opreme?

DA

Ali so varnostna določila urejena s pogodbami?

DA

4

3 Upravljanje s dobrinami Namen:Zagotoviti potrebno varnost in odgovornost za zaščito sredstev v organizaciji. Številka poglavja v standardu: 7 Št. Oddelek Vprašanje Stanje 7.1 Odgovornost za dobrine in sredstva 7.1.1 Popisovanje sredstev Ali v podjetju popisujejo fizična sredstva

(računalniška oprema, komunikacijska oprema, nosilce podatkov)?

DA

Ali se v podjetju popisujejo informacijska sredstva (podatkovne baze, sistemska dokumentacija, uporabniški priročniki, načrti neprekinjenega poslovanja)?

NE

Ali se v podjetju popisujejo programska sredstva (aplikacijska in sistemska programska oprema, razvojna orodja, pripomočki)?

NE

Ali obstaja seznam ljudi, njihovih usposobljenosti, spretnosti in izkušenj?

NE

7.1.2 Lastništvo sredstev Ali imajo posamezna sredstva določenega lastnika?

DA

7.1.3 Primerna uporaba sredstev Ali so določena pravila za pravilno uporabo interneta in elektronske pošte?

DA

Ali so določena pravila za pravilno uporabo mobilnih naprav, še posebej zunaj podjetja?

NE

7.2 Razvrstitev informacij 7.2.1 Smernice za razvrstitev Ali ima podjetje uvedene smernice in

navodila za razvrščanje informacij? NE

7.2.2 Označevanje in ravnanje z informacijami

Ali se v podjetju označujejo oz. klasificirajo informacije (še posebej tiste, ki so zaupne narave)?

NE

5

4 Varovanje z vidika zaposlenih Namen: Zmanjšati tveganje zaradi človeških napak, kraje, poneverbe ali zlorabe zmogljivosti. Številka poglavja v standardu: 8 Št. Oddelek Vprašanje Stanje 8.1 Pred zaposlitvijo 8.1.1 Vloge in odgovornosti Ali so vloge in odgovornosti zaposlenih,

pogodbenikov oz. tretjih oseb dokumentirane in zapisane?

NE

8.1.2 Predhodni pregled kandidatov

Ali se preverjajo značilnosti kandidatov pred zaposlitvijo glede na zaupno naravo njihovega dela?

DA

8.1.3 Pogoji in zahteve zaposlitve

Ali morajo kandidati podpisati izjavo glede varovanja zaupnosti informacij?

DA

8.2 Med zaposlitvijo 8.2.1 Odgovornost vodstva Ali vodstvo skrbi, da so zaposleni

obveščeni in se zavedajo o varnosti informacijskega sistema?

NE

8.2.2 Ozaveščenost, učenje in usposabljanje

Ali zaposleni pridobivajo aktualna navodila glede varnosti IS in so ozaveščeni o varovanju?

NE

8.2.3 Disciplinski postopek Ali se izvaja disciplinski postopek na tistih zaposlenih, ki kršijo pravila varnosti?

NE

8.3 Prekinitev in menjava zaposlitve 8.3.1 Odgovornosti pri

prekinitvi Ali je določena odgovornost zaposlenega glede varovanja informacij?

NE

8.3.2 Vrnitev dobrin Ali je določen postopek vračanja fizičnih in informacijskih dobrin predhodno izdanih zaposlenemu?

NE

8.3.3 Odvzem dostopnih pravic Ali se ob prenehanju zaposlitve odvzamejo dostopne pravice do IS, ki so bile dane zaposlenemu?

DA

6

5 Fizična zaščita in zaščita okolja Namen: Preprečiti nepooblaščen fizični dostop, škodo in motnje v poslovnih prostorih in informacijah. Številka poglavja v standardu: 9 Št. Oddelek Vprašanje Stanje 9.1 Varovana področja 9.1.1 Fizičen varovan pas Ali so področja, ki so pomembna za

procesiranje informacij pravilno zavarovana?

DELNO

9.1.2 Nadzor fizičnega dostopa Ali se dostopi do prostorov evidentirajo? NE Ali so dostopi do prostorov omogočeni

samo pooblaščenim osebam? DA

9.1.3 Varovanje pisarn, sob in naprav

Ali so pisarne, sobe in naprave pravilno varovane?

DA

9.1.4 Varovanje pred zunanjimi grožnjami in grožnjami okolja

Ali je varovanje pred požari, potresi, poplavami in podobnimi nevarnostmi ustrezno?

DA

9.1.5 Delo na varovanih območjih

Ali so kontrole in nadzor delavcev v varovanih območjih ustrezne?

NE

9.1.6 Javno dostopna mesta, mesta za dostavo in odvoz

Ali takšna mesta omogočajo nepooblaščenim osebam dostop do informacijskih področij v podjetju?

NE

9.2 Varnost opreme 9.2.1 Varovanje opreme in

zaščita Ali je k opremi, ki vsebuje kritične informacije, omejen dostop iz drugih prostorov?

DA

Ali so deli, ki potrebujejo večjo zaščito, ločeni od ostale opreme?

NE

Ali obstaja varovanje, ki zmanjšuje tveganje pred požarom, krajo, eksplozijo, dimom, vodo, električnimi motnjami itd., na pomembni opremi?

DA

Ali so sprejeta navodila glede prehrane, pitja in kajenja v bližini pomembne opreme?

NE

Ali se spremljajo okoljske spremembe na opremi, kot je temperatura in vlaga?

NE

Ali je stavba, v kateri je oprema, zaščitena DA

7

pred udarom strele? 9.2.2 Oskrba z energijo Ali obstajajo naprave, ki srbijo za nemoteno

oskrbo z energijo v primeru električnega mrka?

DA

Ali se na takšnih napravah opravlja reden nadzor proti napakam oz. nepravilnemu delovanju?

NE

9.2.3 Zaščita kabelskih vodov Ali so električni in omrežni kabli zaščiteni pred poškodbami?

DA

Ali je dostop do mrežnih kablov omejen? NE 9.2.4 Vzdrževanje opreme Ali je oprema vzdrževana v skladu z

navodili proizvajalca? DA

Ali opremo vzdržujejo pooblaščeno in strokovno osebje?

DA

Ali se vodijo poročila o okvarah na opremi? NE 9.2.5 Varovanje opreme na

terenu Ali obstajajo določila za varovanje informacijske opreme na terenu?

NE

9.2.6 Varno uničenje ali ponovna uporaba opreme

Ali se ob odpisu preveri, če so informacije na podatkovnih nosilcih pravilno zbrisane in uničene?

NE

9.2.7 Odnašanje opreme Ali obstajajo odobritve za prenos opreme iz podjetja?

DA

Ali se zabeleži odstranitev in vrnitev opreme?

NE

8

6 Upravljanje s komunikacijami in obratovanjem Namen: Zagotoviti pravilno in varno delovanje zmogljivosti za obdelavo informacij, varovanje programske opreme, ohranjanje celovitosti procesov in komunikacij in varovanje prenosov podatkov in informacij v in iz podjetja. Številka poglavja v standardu: 10 Št. Oddelek Vprašanje Stanje 10.1 Postopki in odgovornosti pri obratovanju 10.1.1 Dokumentirani postopki Ali v varnostni politiki obstajajo

dokumentirani postopki za logiranje in ugašanje računalnikov, za arhiviranje, rokovanje z mediji?

NE

Ali so vsi zaposleni seznanjeni s temi postopki?

/

10.1.2 Upravljanje s spremembami

Ali se beležijo in nadzirajo spremembe na programski opremi?

NE

Ali se uvedba sprememb predhodno testira?

DA

Ali obstajajo postopki, ki vrnejo prvotno stanje pred spremembami, v primeru neželenih dogodkov?

DA

10.1.3 Ločevanje nalog Ali se naloge ločujejo tako, da se zmanjšajo možnosti nepooblaščenih oz. nenamernih dostopov oz. zlorab?

NE

10.1.4 Ločevanje razvoja, preizkušanja in mest obratovanja

Ali so postopki razvoja, preizkušanja in postopki na obratovalnih mestih ločeni?

NE

Ali so določena pravila za prenose med razvojnim in operativnim delom?

NE

Ali programi za razvoj tečejo na drugih računalniški sistemih, kot uporabniški programi?

NE

Ali se uporabljajo različna dostopna imena in gesla do razvojnih sistemov?

NE

10.2 Upravljanje storitev zunanjih izvajalcev 10.2.1 Dostava storitev Ali zunanji izvajalci opravljajo storitve za

podjetje? DA

10.2.2 Nadzor in pregled nad storitvami

Ali se izvaja nadzor nad izvajanjem storitev?

DELNO

9

10.2.3 Upravljanje s spremembami zunanjih storitev

Ali se določila varnosti prilagajajo spremembam v zvezi z zunanjimi storitvami?

NE

10.3 Sistemsko načrtovanje in odobravanje 10.3.1 Upravljanje s kapacitetami Ali se spremlja uporaba in izkoriščenost

kapacitet? DA

Ali obstajajo načrti povečanja kapacitet v prihodnosti glede na trenutno stanje?

NE

10.3.2 Odobravanje novih sistemov

Ali obstajajo kriteriji in postopki za nove informacijske sisteme, za nadgradnje in nove verzije?

NE

Ali se nova strojna in programska oprema preverja pred uvedbo v sistem?

NE

10.4 Zaščita pred zlonamerno in prenosljivo kodo 10.4.1 Kontrole pred zlonamerno

kodo Ali v podjetju obstajajo kontrole za odkrivanje in odstranjevanje zlonamerne kode?

DA

Ali obstajajo formalna navodila proti uporabi zlonamerne kode?

NE

Ali se v podjetju opravljajo redni pregledi računalniških sistemov in omrežij?

NE

Ali so zaposleni ustrezno usposobljeni za odstranjevanje na svojih delovnih postajah?

NE

Ali obstajajo načrti reševanja sistema zaradi zlonamerne kode?

NE

10.4.2 Kontrole pred prenosljivo kodo

Ali varnostna politika ureja področje zlonamerne prenosljive kode?

NE

10.5 Varnostne kopije 10.5.1 Varnostne kopije Ali se redno delajo varnostne kopije

informacij in podatkov? DA

Ali se varnostne kopije shranjujejo na varnih mestih, zaščitenih pred nesrečami in nepooblaščenimi dostopi?

DA

Ali se varnostne kopije in oprema redno preverjajo?

NE

10.6 Upravljanje varnosti omrežja 10.6.1 Kontrole omrežja Ali so uveljavljene ustrezne kontrole za

nadzor omrežja? DA

Ali so podatki, ki tečejo skozi javna ali DA

10

brezžična omrežja ustrezno zaščiteni? Ali se dejavnosti omrežja beležijo in

nadzirajo? NE

10.6.2 Varnost omrežnih storitev Ali obstajajo varnostna pravila o mrežnih storitvah?

NE

Ali so mrežne storitve zaščitene s ustreznimi sredstvi (požarni zid)?

DA

10.7 Ravnanje z nosilci podatkov 10.7.1 Upravljanje s prenosljivimi

nosilci Ali obstajajo pravila o uporabi in varovanju prenosljivih nosilcev?

NE

Ali se prenosljivi mediji shranjujejo na varnih mestih?

DA

10.7.2 Odstranjevanje nosilcev Ali se uporabljajo pravila za odstranjevanje nosilcev?

NE

Ali se nosilci z zaupnimi podatki odstranijo varno in učinkovito?

DA

10.7.3 Postopki o ravnanju z informacijami

Ali v podjetju obstajajo postopki o ravnanju, shranjevanju in posredovanju informacij?

NE

10.7.4. Varnost sistemske dokumentacije

Ali je sistemska dokumentacija pravilno zaščitena?

DA

10.8 Izmenjava informacij 10.8.1 Pravilniki in postopki o

izmenjavi informacij Ali so v podjetju uvedeni postopki in pravilniki o izmenjavi programske opreme in medijev?

NE

10.8.2 Dogovori o izmenjavi Ali obstajajo sporazumi pri prenašanju med podjetjem in ostalimi partnerji?

NE

10.8.3 Varnost nosilcev med transportom

Ali so uvedena pravila za varnost nosilcev med transportom izven podjetja?

NE

10.8.4 Elektronska sporočila Ali ima podjetje politiko varovanja elektronskih sporočil?

NE

Ali je storitev elektronskih sporočil zanesljiva in stabilna?

DA

10.8.5 Poslovni informacijski sistemi

Ali je urejena varnost povezav med večimi informacijskimi sistemi v podjetju?

NE

10.9 Storitve elektronskega poslovanja 10.9.1 Elektronsko poslovanje Ali so informacije, ki prehajajo v javna

omrežja pravilno zaščitena? DA

11

Ali obstajajo pogodbe oz. sporazumi med podjetjem in drugimi strankami glede načinov varovanja transakcij?

NE

Ali se uporablja kriptografija? DELNO10.9.2 Transakcije čez internet Ali se pri transakcijah uporabljajo

elektronski podpisi in certifikati? DA

Ali so prenosi šifrirani? DA Ali so podatki o transakcijah shranjeni na

varnem mestu? NE

10.9.3 Javno objavljene informacije

Ali so pomembne informacije zaščitene s pravilnimi mehanizmi (digitalnimi podpisi)?

DA

Ali so bili javni informacijski sistemi predhodno preizkušeni pred pomanjkljivostmi?

/

10.10 Spremljanje 10.10.1 Spremljanje prijav Ali se prijave v sistem shranjujejo v

dnevnike in pregledujejo? DA

10.10.2 Spremljanje uporabe sistema

Ali se spremlja uporaba sistema? DA

Ali se redno pregleduje? NE 10.10.3 Zaščita dnevnikov (logov) Ali so dnevniki zaščiteni pred

nepooblaščenim dostopom in spreminjanjem?

DELNO

10.10.4 Dnevniki operaterjev in administratorjev

Ali se aktivnosti operaterjev in administratorjev zapisujejo v dnevnike?

NE

10.10.5 Beleženje napak Ali se beležijo napake sporočene od uporabnikov ali programov?

NE

Ali se te napake rešujejo? DA 10.10.6 Sinhronizacija ure Ali se sistemska ura redno osvežuje s

standardnim časom določenim v podjetju?

NE

12

7 Nadzor dostopa Namen: Nadzor dostopa do informacij in poslovnih procesov upošteva poslovne potrebe in ureja odgovornosti uporabnikov pri dostopu do informacij in informacijskega sistema. Številka poglavja v standardu: 11 Št. Oddelek Vprašanje Stanje 11.1 Poslovne potrebe za nadzor dostopa 11.1.1 Politika nadzora dostopa Ali obstaja politika nadzora dostopa v

podjetju? NE

Ali so pravice določene za vsakega uporabnika oz. skupino uporabnikov?

DA

11.2 Upravljanje s dostopi uporabnikov 11.2.1 Registracija uporabnikov Ali obstaja postopek registracije

uporabnikov, ki daje pravice do informacijskega sistema?

NE

11.2.2 Ravnanje s posebnimi pravicami?

Ali je dodelitev posebnih pravic v večuporabniškem okolju informacijske tehnologije omejena in ustrezno kontrolirana?

NE

11.2.3 Upravljanje s uporabniškimi gesli

Ali je dodeljevanje gesel nadzirano skozi formalen upravljalen proces?

NE

Ali morajo uporabniki podpisati izjavo o zaupnosti svojih gesel?

NE

11.2.4 Pregled uporabniških pravic dostopa

Ali obstaja postopek za občasne preglede uporabniških pravic dostopa?

NE

11.3 Odgovornost uporabnikov 11.3.1 Uporaba gesel Ali obstajajo navodila za zaposlene za

pravilno ravnanje in upravljanje z gesli? DA

11.3.2 Oprema brez prisotnosti uporabnika

Ali so uporabniki seznanjeni s varnostnimi zahtevami in postopki ter svojo odgovornostjo pri varovanju opreme brez prisotnosti uporabnika?

DA

11.3.4 Politika čiste mize in čistega zaslona

Ali uporabniki zaklepajo pomembne nosilce podatkov in papirje na mizi?

DA

Ali se uporabniki odjavijo iz delovne postaje in jo zaščitijo z geslom, preden zapustijo svoje delovno mesto?

NE

11.4 Obvladovanje mrežnega dostopa 11.4.1 Politika uporabe mrežnih Ali obstaja politika uporabe mrežnih NE

13

sredstev sredstev (možnosti dostopa, avtorizacija)? 11.4.2 Preverjanje uporabnika pri

dostopu iz zunanje lokacijeAli obstajajo procedure preverjanja uporabnika pri dostopu iz oddaljene lokacije?

DA

11.4.3 Preverjanje naprav v omrežju

Ali obstaja samodejna prepoznava opreme pri zunanjem dostopu?

NE

11.4.4 Zaščita oddaljenih diagnostičnih in konfiguracijskih vrat

Ali so diagnostična vrata na računalnikih zavarovana s ustreznim mehanizmom?

DA

11.4.5 Ločevanje v omrežjih Ali je omrežje razdeljeno v več logičnih območij oz. domen, in ali so te domene ustrezno varovane s požarnimi zidi?

DA

11.4.6 Nadzor nad povezavami v omrežju

Ali obstajajo zaščite za deljena omrežja, še posebej tista, ki segajo izven podjetja?

DA

11.4.7 Usmerjevanje omrežja Ali obstaja postopek, ki zagotavlja, da računalniške povezave in tok informacij ne krši politike dostopa do aplikacij?

DA

Ali obstajajo varnostni mehanizmi, ki preverjajo naslove izvora in cilja?

DA

11.5 Kontrola dostopa do operacijskega sistema 11.5.1 Varnostna prijava v sistem Ali je ob prijavi v sistem mogoče

pridobiti kakršnekoli informacije v zvezi z dostopom?

NE

11.5.2 Prepoznavanje in overjanje uporabnikov

Ali ima vsak uporabnik svoje uporabniško ime in geslo za prijavo v sistem?

DA

11.5.3 Upravljanje z gesli Ali obstaja sistem za učinkovito upravljanje z gesli (periodično spreminjanje gesla, šifriranje gesla)?

NE

11.5.4 Uporaba sistemskih programov

Ali se uporaba sistemskih programov strogo nadzoruje?

NE

11.5.5 Časovna omejitev seje Ali se seja po določenem času samodejno prekine in odjavi?

NE

11.5.6 Časovna omejitev povezave

Ali obstaja omejevanje časa povezave za uporabniške programe z velikim tveganjem?

NE

11.6 Kontrola dostopa do aplikacij in informacij 11.6.1 Omejitev dostopa do

informacij Ali obstajajo omejitve dostopa do aplikacij in informacij za posamezne uporabnike ali skupine?

DA

11.6.2 Osamitev občutljivih Ali imajo posebni in namenski sistemi NE

14

sistemov svoje računalniško okolje? 11.7 Prenosne računalniške naprave in oddaljeno delo 11.7.1 Prenosni računalniki in

komunikacije Ali obstajajo pravila in varnostni postopki za zaščito pred tveganji pri delu s prenosnimi napravami?

NE

Ali so uporabniki seznanjeni s pravilno uporabo prenosnih naprav?

NE

11.7.2 Oddaljeno delo Ali obstajajo varnostna pravila pri oddaljenem delu, ki so skladna z varnostno politiko?

NE

Ali je mesto dela pravilno zavarovano (proti tatvinam, nepooblaščenim dostopom do informacij)?

DA

15

8 Nabava, razvoj in vzdrževanje informacijskega sistema Namen: Zagotoviti vgradnjo varnosti v informacijske sisteme, preprečiti izgube, zlorabe in spremembe podatkov, zaščiti zaupnost, verodostojnost in celovitost informacij in zagotoviti razvoj in podporo aktivnosti na varen način. Številka poglavja v standardu: 12 Št. Oddelek Vprašanje Stanje 12.1 Varnostne zahteve za informacijske sisteme 12.1.1 Analiza in opredelitev

varnostnih zahtev Ali se pri nadgradnji oz. razvoju novih aplikacij in sistemov upoštevajo varnostne zahteve?

DELNO

12.2 Pravilno funkcioniranje programske opreme 12.2.1 Preverjanje vhodnih

podatkov Ali ima podjetje v svojih programih potrebne kontrole za vnos podatkov?

DA

12.2.2 Notranje kontrole obdelave podatkov

Ali obstajajo kontrole za ugotavljanje napak ali namerno spreminjanje podatkov pri obdelavi podatkov?

DA

Ali so ugotovljene možne nevarnosti za pojav napak pri obdelavi podatkov?

NE

12.2.3 Verodostojnost sporočil Ali se preverja in ščiti verodostojnost sporočil v programih pri transakcijah?

DA

12.2.4 Preverjanje izhodnih podatkov?

Ali se preverja pravilnost in verodostojnost izhodnih podatkov?

NE

12.3 Kontrola šifriranja 12.3.1 Politika uporabe šifriranja Ali v podjetju obstaja politika šifriranja? NE 12.3.2 Upravljanje s ključi Ali v podjetju obstaja upravljanje s

digitalnimi ključi za šifriranje podatkov? DA

Ali so šifrirni ključi zaščiteni pred modifikacijami, izgubo in uničenjem ter nepooblaščenim vpogledom?

DELNO

12.4 Zaščita sistemskih datotek 12.4.1 Nadzor programske

opreme v operacijskih sistemih

Ali obstoja varnostni postopek za namestitev programske opreme?

NE

Ali nadgradnje programske opreme izvajajo samo izkušeni administratorji?

DA

Ali se programska oprema temeljito testira preden se namesti?

NE

12.4.2 Zaščita testnih sistemskih Ali so testni podatki pravilno izbrani, DELNO

16

podatkov zaščiteni in nadzorovani? 12.4.3 Nadzor do izvorne kode

programov Ali je dostop do izvorne kode programov dovolj zaščiten in nadzorovan?

NE

12.5 Varnost v razvojnih in podpornih procesih 12.5.1 Nadzor postopkov

sprememb Ali se izvedene spremembe v inf. sistemu kontrolirajo in zabeležijo?

NE

12.5.2 Tehnični pregledi v programih po spremembi sistema

Ali se programska oprema po uvedbi novega operacijskega sistema pregleda in testira?

DA

12.5.3 Omejitve pri spremembah programskih paketov

Ali obstajajo omejitve pri spremembah splošno uporabljene programske opreme?

NE

12.5.4 Uhajanje informacij Ali se programska oprema redno pregleduje pred uhajanjem informacij (trojanski konji)?

DELNO

12.5.5 Zunanji razvoj programske opreme

Ali podjetje nadzoruje in kontrolira razvoj programske opreme zunanjih izvajalcev?

NE

12.6 Upravljanje tehnične ranljivosti 12.6.1 Nadzor tehnične ranljivosti Ali v podjetju obstaja inventura

programske opreme, ki omogoča nadzor nad ranljivostjo programske opreme?

NE

17

9 Upravljanje s incidenti informacijske varnosti Namen: določitev postopkov za ravnanje in upravljanje ob uresničitvi grožnje varnosti. Številka poglavja v standardu: 13 Št. Oddelek Vprašanje Stanje 13.1 Poročanje o incidentih informacijske varnosti in pomanjkljivosti 13.1.1 Poročanje o incidentih

informacijske varnosti Ali obstaja formalni postopek za prijavo incidentov informacijske varnosti?

NE

Ali so zaposleni seznanjeni s postopkom prijave?

NE

13.1.2 Poročanje o pomanjkljivostih informacijskega sistema

Ali zaposleni ali zunanji sodelavci poročajo odgovornim o morebitnih opaženih varnostnih pomanjkljivostih informacijskega sistema?

DA

13.2 Poročanje o incidentih informacijske varnosti in izboljšave 13.2.1 Odgovornosti in postopki Ali obstajajo postopki, ki skrbijo za hitro

in učinkovito reagiranje na varnostne incidente?

NE

Ali se nadzirajo sistemi, alarmi in ranljivosti v programski opremi?

DA

13.2.2 Učenje iz incidentov Ali obstajajo mehanizmi, ki ocenijo in nadzirajo tip, obseg in vrednost stroškov pri incidentih informacijske varnosti?

NE

13.2.3 Zbiranje dokazov Ali obstaja postopek zbiranja dokazov v zvezi z incidenti informacijske varnosti za disciplinske postopke v podjetju?

DA

18

10 Upravljanje neprekinjenega poslovanja Namen: Zagotoviti neprekinjeno poslovanje in zaščititi kritične poslovne procese pred večjimi okvarami in nesrečami. Številka poglavja v standardu: 14 Št. Oddelek Vprašanje Stanje 14.1 Vidik informacijske varnosti pri neprekinjenem poslovanju 14.1.1 Vključevanje informacijske

varnosti v proces neprekinjenega poslovanja

Ali je vzpostavljen in voden proces razvijanja in vzdrževanja načrtov neprekinjenega poslovanja po vsej organizaciji?

NE

14.1.2 Neprekinjeno poslovanje in analiza tveganja

Ali se določijo dogodki ter verjetnost in posledice dogodkov, ki lahko prekinejo poslovni proces?

NE

14.1.3 Izdelava in uvedba načrtov za neprekinjeno poslovanje

Ali so razviti in uvedeni načrti, s pomočjo katerih se ob primeru prekinitve informacijskega sistema v določenem času obnovi poslovanje in omogoči posredovanje informacij?

NE

14.1.4 Okvir za načrtovanje neprekinjenega poslovanja

Ali obstaja enoten okvir načrtov neprekinjenega poslovanja?

NE

Ali se načrt redno preverja in vzdržuje? / Ali je razvidno, kdo je odgovoren za

načrt? /

14.1.5 Preverjanje, vzdrževanje in ponovno ocenjevanje načrtov za neprekinjeno poslovanje

Ali se načrti redno preverjajo in posodabljajo, da se zagotovi njihova učinkovitost?

/

Ali vsi odgovorni poznajo svoje naloge v primeru izvedbe načrta?

/

19

11 Združljivost Namen: Preprečiti kršitve civilnega in kazenskega prava, statutov, uredb, pravilnikov in pogodbenih obveznosti. Številka poglavja v standardu: 15 Št. Oddelek Vprašanje Stanje 15.1 Združljivost z zakonskimi zahtevami 15.1.1 Preverjanje veljavne

zakonodaje Ali so pomembne zakonske in pogodbene obveznosti definirane, dokumentirane in posodobljene?

DA

15.1.2 Intelektualna lastnina Ali obstajajo postopki, ki zagotavljajo skladnost z zakonskimi omejitvami glede uporabe gradiv in programske opreme?

DA

Ali se ti postopki redno izvajajo? NE 15.1.3 Varovanje organizacijskih

zapisov Ali so zapisi pravilno zaščiteni pred izgubo, uničenjem in poneverjanjem na podlagi zakonskih predpisov?

DELNO

15.1.4 Zaščita podatkov in varovanje osebnih podatkov

Ali so osebni in ostali podatki zaščiteni na podlagi predpisov in zakonov?

DELNO

15.1.5 Preprečevanje zlorabe opreme za obdelavo informacij

Ali je uporabnikom onemogočena uporaba opreme za nepooblaščeno delo?

DA

15.1.6 Urejanje kontrol šifriranja Ali je šifriranje v skladu s predpisi s tega področja in zakonskimi omejitvami?

DA

15.2 Združljivost s varnostnimi politikami, standardi in tehnično ustreznostjo

15.2.1 Združljivost s varnostnimi politikami in standardi

Ali so vsi postopki izvršeni v skladu s varnostnimi politikami in standardi?

NE

15.2.2 Preverjanje tehnične ustreznosti

Ali se skladnost informacijskega sistema z standardi redno pregleduje?

NE

15.3 Pregledovanje informacijskih sistemov 15.3.1 Informacijski sistem in

nadzor pregledovanja Ali je pregledovanje informacijskega sistema načrtovano?

NE

Ali pregledovanje ne prekinja poslovnega procesa?

/

15.3.2 Zaščita orodij za pregledovanje sistema

Ali je dostop do orodij za pregledovanje ustrezno zavarovan?

NE