Embed Size (px)
Citation preview
VZORČNA NOTRANJA PRAVILA
RAZLIČICA 1.0
ENOTNA INFORMACIJSKA VARNOSTNA POLITIKA ZA PODJETJA
Domžale, junij 2009
1/36
1. VZPOSTAVITEV IN VODENJE SISTEMA UPRAVLJANJA VAROVANJA INFORMACIJ (SUVI)
(1) Ta Enotna informacijska varnostna politika je del sistema RedIT (Redit 2008-1) in je usklajena z veljavnimi evropskimi in slovenskimi predpisi (davčni predpisi, predpisi glede varstva osebnih podatkov, varstva poslovnih skrivnosti, varstva dokumentarnega gradiva in podobno). Namenjena je upravljanju varovanja informacij v podjetjih, ki k njej pristopijo in jo s tem prevzamejo za svoja notranja pravila na področju informacijske varnosti. Obvezna je za vse zaposlene in zunanje sodelavce.
(2) Enotna informacijska varnostna politika skupaj z Enotnimi pravili za varstvo gradiva sistema RedIT 2008-1 predstavlja v skladu z Zakonom o varstvu dokumentarnega in arhivskega gradiva ter arhivih (Uradni list RS, št. 30/2006) tudi potrjena vzorčna notranja pravila (odločba Arhiva RS št. …. z dne ….) ter skupaj s predpisanimi drugimi internimi akti posameznega podjetja (npr. aktom o sistemizaciji delovnih mest) tvori tudi celoto notranjih pravil za elektronsko hrambo.
(3) Sestavni del te Enotne informacijske varnostne politike so tudi tehnična navodila, ki jih za posamezno informacijsko rešitev ali storitev pripravijo partnerji sistema RedIT in so javno objavljena na www.redit.si. Sestavni del te Enotne informacijske varnostne politike so tudi priloge.
(4) Na podlagi te Enotne informacijske varnostne politike v podjetju razvijemo in vzpostavimo dokumentiran sistem za upravljanje celovitega varovanja informacij (v nadaljevanju: SUVI). S pomočjo takšnega sistema ščitimo naša informacijska sredstva pred nevarnostmi, bodisi notranjimi ali zunanjimi, namernimi ali naključnimi, obvladujemo tveganja ter za doseganje opredeljenih ciljev izvajamo primerne varnostne ukrepe. Pri tem smo upoštevali zahteve poslovnih procesov ter ocenili tveganja, s katerimi se soočamo.
(5) V okviru vzpostavitve SUVI smo se v podjetju seznanili s področji njegove veljavnosti in preverili, da ustreza poslovanju našega podjetja ter sredstvom in tehnologijam, s katerimi razpolagamo. Preučili smo analizo tveganj, ki je bila pripravljena na naslednji način:
identificirana, analizirana in ocenjena so bila tveganja; identificirani in ovrednoteni so bili možni načini za obvladovanje tveganj; izbrani so bili cilji in ukrepi za obvladovanje tveganj; preostala tveganja so bila odobrena kot sprejemljiva.
(6) S pristopom k tej Enotni informacijski varnostni politiki (v nadaljevanju: Varnostna politika) je naše poslovodstvo potrdilo, da bomo v podjetju ravnali v skladu z njo.
(7) S pomočjo navodil in pomoči v sklopu sistema RedIT smo uvedli način dela in posamezne organizacijske in tehnološke ukrepe, s katerimi zagotavljamo skladnost s to Varnostno politiko in s tem varnost naših informacij. Skrbimo za nenehno seznanjanje naših zaposlenih s področjem varovanja informacij, tveganji in potrebnimi ukrepi za dvig zavesti o pomenu celovitega varovanja. Redno jih seznanjamo s podrobnostmi vzpostavljenega SUVI, novostmi v Varnostni politiki, z izvedenimi ukrepi ter njihovo osebno odgovornostjo za varovanje. Podrobnejši opisi
2/36
Splošno
Vzpostavitev SUVI
Uvedba in izvajanje SUVI
izvedenih organizacijskih in tehničnih ukrepov sledijo v poglavjih Organizacijski varnostni ukrepi in Tehnični varnostni ukrepi tega dokumenta.
(8) Poslovodstvo odločno podpira SUVI, kot ga določa standard ISO 27001:2005 in za to v smiselnem obsegu na podlagi nepristranskih strokovnih ocen zagotavlja potrebne vire in sredstva (finance, kadri, infrastruktura in drugo).
(9) Poslovodstvo nadzoruje izvajanje SUVI v skladu z vnaprej pripravljenimi načrti občasnih pregledov. S tem v podjetju zagotavljamo stalno ustreznost in učinkovitost izvajanja Varnostne politike ter s tem izpolnjevanje veljavnih predpisov, standardov in naših notranje zastavljenih ciljev varovanja. Poslovodstvo hkrati tudi ocenjuje potrebe po spremembah sistema ter možnosti izboljšav. Kot določa ta Varnostna politika, se vsi takšni vodstveni pregledi ustrezno dokumentirajo (zapisi o vodstvenih pregledih).
(10) Upravljanje z informacijsko varnostjo razumemo kot stalen proces, ki zajema načrtovanje, izvajanje, nadzor in ukrepanje, s katerim nenehno dvigujemo raven varovanja informacij. S tem tudi hkrati zagotavljamo stalno odkrivanje šibkosti, zaznavanje varnostnih dogodkov (incidentov), se prilagajamo poslovnim potrebam, zahtevam veljavnih predpisov in zunanjemu ter notranjemu okolju.
(11) SUVI pregledujemo najmanj enkrat letno, po potrebi pa tudi večkrat, samostojno ali pa v povezavi z ostalimi pregledi in sicer v okviru notranjih presoj. Pri tem ocenjujemo in ugotavljamo učinkovitost izvedenih ukrepov ter ocenjujemo tveganja.
(12) Samo sprejem Varnostne politike ne zadošča. Naše podjetje se stalno prilagaja in spreminja. Zato imamo vzpostavljene posebne postopke za izvajanje sprememb (v notranji organizaciji, delovnih procesih, na strojni in programski opremi), ki morajo biti formalizirani, nadzorovani, konsistentni v celotnem podjetju in v celoti dokumentirani (t.i. upravljanje sprememb).
(13) S to Varnostno politiko se določa Splošen postopek izvajanja sprememb in nadgradenj informacijskega sistema, ki mora potekati v skladu z naslednjimi zahtevami:
načrtovane spremembe morajo biti odobrene s strani pooblaščenih oseb (pri večjih spremembah je to poslovodstvo podjetja),
pred vsako izvedbo spremembe morajo biti o njej obveščene vse odgovorne osebe za področja, na katere sprememba vpliva, ter z njimi usklajene spremembe in postopki za vzpostavitev želenega stanja;
pred vsako izvedbo spremembe morajo biti preverjene varnostne kontrole in izvedeni postopki za preverjanje pravilnosti delovanja sistema po spremembi;
preveriti je potrebno, ali je kot posledica spremembe potrebna sprememba ali dopolnitev notranjih pravil;
preveriti je potrebno, ali je kot posledica spremembe potrebna dodatna prilagoditev kateregakoli dela sistema;
vse spremembe v zvezi z informacijsko tehnologijo morajo biti, preden se izvedejo v produkcijskem okolju, preverjene v testnem okolju ter zagotovljena možnost vrnitve sistema v prejšnje delujoče stanje;
pri vsaki zahtevani in izvedeni spremembi mora biti zagotovljeno vodenje dnevnika dela in dopolnitev dokumentacije sistema oz. njegovih sestavnih delov;
ob veljavnosti posamezne spremembe, ki vpliva na delo uporabnikov, je potrebno prizadete uporabnike obvestiti o začetku veljavnosti spremembe, njenem namenu in o morebitnih vplivih na njihovo delo, vključno z
3/36
Zaveza poslovodstva
Vodstveni pregled
Nadzor in pregledovanje
Upravljanje s spremembami
morebitno potrebnim dodatnim usposabljanjem.
(14) Pripravljavcem sistema RedIT zaupamo, da Varnostno politiko redno in tekoče izboljšujejo na podlagi preventivnih in korektivnih ukrepov (npr. sprememba pravil ob pojavu novih vrst groženj, prilagoditev pravil novim tehnologijam ali dognanjem stroke in podobno), s katerimi nam pomagajo uveljavljati načela Varnostne politike ter uresničevati zastavljene cilje varovanja.
(15) Za učinkovito delovanje SUVI je zelo pomembno primerno ravnanje z dokumentacijo. V nadaljevanju so zato določena pravila glede dokumentacije, ki jih moramo spoštovati, če v podjetju še nimamo uveljavljenega enega od sistemov kakovosti (ISO 9001) in s tem tudi že določenih pravil za dokumentacijo.
(16) V okviru SUVI vodimo dokumente in drugo gradivo, s katerimi dokazujemo izvajanje določil te Varnostne politike (prikaz organizacije upravljanja vključno z Varnostno politiko, navodila in postopke za izvedbo ukrepov in odgovornosti, izvedene ukrepe in nadzorne aktivnosti).
(17) V okviru SUVI imamo vzpostavljen in vzdrževan proces dokumentiranja, s katerim obvladujemo tudi vso dokumentacijo in s tem zagotavljamo, da:
je vedno dostopna, je periodično pregledana in po potrebi revidirana v skladu z Varnostno
politiko, vsaka veljavna različica je sproti pregledana in potrjena s strani
poslovodstva ali od poslovodstva pooblaščene osebe in velja šele po takšni potrditvi in ko je dostopna vsem, ki jih obvezuje;
je vzdrževana na takšen način, da so jasno označene zaporedne različice in razlike med njimi (obvladovanje različic), ter dostopna na vseh lokacijah, kjer se izvajajo aktivnosti, ki so bistvene za učinkovito delovanje SUVI,
so sprotno umaknjene stare, neveljavne različice, ki pa so shranjene tako, da so vedno dostopne (npr. za primer različnih uradnih postopkov,…).
(18) Zadnja veljavna dokumentacija SUVI je zaposlenim dostopna na intranetu, oglasni deski ali na drug primeren način (obvezno potrjena in datirana).
(19) V okviru dokumentiranega sistema vzdržujemo različne zapise, s katerimi dokazujemo izvajanje postopkov v SUVI in dokazujemo skladnost z zahtevami veljavnih predpisov ter standardov. V okviru sistema je vzpostavljen in vzdrževan postopek za identifikacijo, vzdrževanje, hrambo in odstranjevanje zapisov.
(20) Pripravljavcem sistema RedIT zaupamo, da je sama Varnostna politika v skladu s slovensko ustavo ter sprejetimi zakonskimi in podzakonskimi akti, z ratificiranimi mednarodnimi pogodbami ter s primarno in sekundarno zakonodajo EU. Prav tako Varnostno politiko sproti prilagajajo slovenskim, evropskim in mednarodnim standardom ter najnovejšim dognanjem različnih strok. V našem podjetju pa skrbimo, da je izvajanje Varnostne politike skladno z vsem naštetim. Za to je zadolžen in odgovoren naš delavec, ki ga za skrb za skladnost izvajanja notranjih pravil z zakonodajo in standardi s sklepom pooblasti poslovodstvo. Med drugim skrbi tudi, da so vsi varnostni postopki usklajeni z Varnostno politiko in izpeljani v skladu z njo ter o ugotovitvah poroča neposredno poslovodstvu podjetja, po potrebi pa se posvetuje tudi s pripravljavci sistema RedIT.
(21) V skladu z obvladovanjem tveganj so dovoljena določena odstopanja, opustitve ali izjeme v Varnostni politiki. Zahteva in odobritev vsakega odstopanja, opustitve ali izjeme v odnosu do Varnostne politike mora biti podana pisno in dokumentirana.
4/36
Dokumentacija glede SUVI
Varstvo zapisov
Skladnost politike z zakonodajo in stroko
Odstopanja, opustitve in izjeme
Vzdrževanje in izboljševanje
(22) Vsako odstopanje, opustitev ali izjemo od zahtev Varnostne politike natančno analiziramo, da ugotovimo, če ima to odstopanje, opustitev ali izjema kakršenkoli vpliv na varnost naših informacijskih sredstev ali drugih sredstev, do katerih dostopamo. Poslovodstvo lahko odobri takšno odstopanje, opustitev ali izjemo, če to nima vpliva na varnost informacijskih sredstev. Vsi potrebni postopki in koraki, da se ugodi zahtevi, morajo biti evidentirani. Če poslovodstvo oceni, da bi ta odstopanja, opustitve in izjeme lahko imele določene negativne posledice za varnost oziroma se teh posledic ne more oceniti, se od zahtev Varnostne politike ne sme odstopiti.
2. ORGANIZACIJA INFORMACIJSKE VARNOSTI
(1) Izvajanje Varnostne politike je odobrilo poslovodstvo podjetja z namenom izboljšati varovanje informacij, z njeno uvedbo pa dvigniti zavest zaposlenih glede varovanja informacij.
(2) S potrditvijo Varnostne politike želi poslovodstvo postaviti jasen in pregleden sistem temeljnih načel (glej v nadaljevanju - Temeljna načela) ter podati jasne usmeritve za izvajanje vseh ukrepov na področju varovanja informacij. Na ta način poslovodstvo izkazuje nedvoumno zavzetost varovanju vseh informacij ter podpira izvajanje ukrepov.
(3) Informacijsko varnost dosegamo z zagotavljanjem celovitosti (varovanje podatkov in informacij pred neavtoriziranimi spremembami, zagotavljanje dokazljivosti izvora in verodostojnosti – točnosti, popolnosti in nespremenljivosti informacij in postopkov procesiranja), zaupnosti (varovanje poslovnih in osebnih podatkov ter informacij pred razkritjem nepooblaščenim osebam in zagotavljanje odgovornosti za dejanja pooblaščenih oseb) in razpoložljivosti (zagotavljanje, da imajo pooblaščeni uporabniki dostop do informacij in pripadajočih sredstev, ko jih potrebujejo).
(4) Z Varnostno politiko so določena minimalna obvezujoča pravila in predpisi, ki se nanašajo na splošne principe ravnanja, dostopa, obdelave, shranjevanja, prenosa in uničenja informacijskih podatkov znotraj podjetja. Le-to vključuje na primer podatke o zaposlenih, pogodbe, načrte, izpise, statistične podatke itd.
(5) Varnostna politika velja za vse zaposlene in zunanje sodelavce. Vsa določila, ki se nanašajo na osebe in so zapisana v moški slovnični obliki so uporabljena kot nevtralna za ženski in moški spol.
(6) Obseg SUVI je določen z različnih vidikov z namenom, da dosežemo nedvoumnost, kaj je v okviru obsega SUVI in kaj ne. Na mestih, kjer so postavljene meje in se informacije izmenjujejo z zunanjim svetom, je delovanje vmesnikov opisano.
(7) V obseg SUVI podjetja spadajo:
1. Ljudje: vsi zaposleni v podjetju in zunanji sodelavci (pogodbeni sodelavci, sodelavci zunanjih izvajalcev, študentje, dijaki, prostovoljci)
2. Objekti: sedež in vse morebitne lokacije podjetja3. Omrežje4. Sredstva:
informacijska sredstva (datoteke in baze podatkov, sistemska dokumentacija, uporabniški priročniki, učni materiali, delovni postopki,
5/36
Potrditev s strani poslovodstva
Definicija in obseg veljavnosti
Obseg SUVI
načrt neprekinjenega poslovanja...), papirni dokumenti (pogodbe, navodila, poročila...), programska oprema (aplikacijska, sistemska, razvojna orodja...),
fizična sredstva: računalniška oprema (osebni računalniki, strežniki, tiskalniki...), komunikacijska oprema (usmerjevalniki, modemi, kabli, telefoni,
faksimilne naprave...), prenosni mediji (zgoščenke, diskete, trakovi...), tehnična oprema (sistemi neprekinjenega napajanja, klimatske
naprave ...), pohištvo, prostori, oprema... prenosna komunikacijsko računalniška oprema.
5. Storitve in preskrba (računalniške in komunikacijske storitve, druga tehnična preskrba (ogrevanje, razsvetljava, elektrika, klimatizacija...)
6. Vhodne točke, kjer je podjetje povezano z okoljem: sprejemna pisarna, vstopne točke omrežja (priključki na ponudnike komunikacijskih storitev), priključek na telefonsko omrežje, vhodi, izhodi in fizične meje prostorov.
(8) Cilji te Varnostne politike so:
preprečitev nepooblaščenih dostopov do informacijskih sredstev in informacij, njihovega uničenja, odtujitve ali razkritja nepooblaščenim osebam zaradi nevednosti ali malomarnosti,
varovanje zaupnosti in celovitosti informacij, programske opreme, omrežnih storitev in podporne infrastrukture,
omogočanje razpoložljivosti informacij in virov, ko jih pooblaščeni potrebujejo,
zagotavljanje primerne ravni varovanja celotne infrastrukture, zaposlenih in informacij oz. dostopa do njih,
dvig zavesti zaposlenih za varovanje informacij ter njihovo stalno usposabljanje o informacijski varnosti,
zmanjševanje tveganj človeških napak, kraje, prevare ali zlorabe naprav, škode varnostnih incidentov in okvar,
zagotavljanje skladnosti z zahtevami veljavne slovenske zakonodaje in zakonodaje EU,
uvajanje in izvajanje dobre prakse na področju varovanja informacij.
(9) S potrditvijo Varnostne politike je vsem zaposlenim sporočena zaveza poslovodstva k reševanju varnostnih vprašanj. Vsi zaposleni morajo biti seznanjeni s to Varnostno politiko in njenimi cilji. Sposobni morajo biti pravilno ter učinkovito izvrševati svoje naloge, kadar zadevajo varnost podjetja.
(10) Varnostna politika vsebuje pravila glede varovanja informacij in zato ne ureja nekaterih drugih, prav tako zelo pomembnih varnostnih vidikov, kot na primer varnost in zdravje pri delu, varovanje finančnih transakcij, (visoka) razpoložljivost, splošno ukrepanje ob nujnih primerih (požar, potres, druge naravne nesreče).
(11) Varnostna politika je namenjena predvsem zagotavljanju informacijske varnosti, vendar pa varnost ni sama sebi namen, temveč je povezana s siceršnjim delovanjem podjetja. Za vsa informacijska varnostna pravila veljajo - skladno z njihovim pomenom – v nadaljevanju navedena načela.
(12) Varovane informacije se lahko berejo, zapisujejo, spreminjajo ali prenašajo samo v zvezi s poslovnimi potrebami podjetja, ki so skladne z veljavnimi predpisi. Ob prenehanju pravnih podlag ali poslovnih potreb prenehajo tudi pooblastila
6/36
Cilji Varnostne politike
Temeljna načela
Zakonitost in poslovne potrebe
Cilji izven obsega Varnostne politike
oziroma se varovani podatki izbrišejo.
(13) Z varovanimi podatki je vsak zaposlen dolžan ravnati z najvišjo, za njega primerno stopnjo pazljivosti. To zajema tudi točnost podatkov. Na primer, zaposleni kršijo svojo dolžnost, če pustijo varovan podatek neovirano ležati naokoli ali ga vržejo v koš, če posojajo svoja gesla ali pustijo svoja delovna mesta brez kakršnekoli zaščite (dokumenti, računalniki).
(14) Načelo strokovnosti terja od vseh zaposlenih ter tudi od vseh zunanjih sodelavcev visoko raven strokovnosti in profesionalnosti ter temu ustrezno poklicno skrbnost. Za izvajanje tega načela v praksi je zelo pomembno zaposlovanje ustrezno izobraženih ljudi ter hkrati nenehno usposabljanje, ki ga mora zagotavljati poslovodstvo podjetja za vse svoje zaposlene.
(15) Do varovanih občutljivih podatkov (osebnih podatkov, poslovnih skrivnosti, …) ne sme imeti dostopa nobena nepooblaščena oseba. Dodeljevanje pooblastil mora biti razumljiv postopek.
(16) Pravico dodeljevanja pooblastil lahko posameznim delavcem dodeli ali odvzame le poslovodstvo podjetja. Pravica dodeljevanja pooblastil se dodeli s sklepom. Dodeljevanje pooblastil mora biti izvedeno po načelu »najmanjših privilegijev«.
(17) Ustrezni varnostni postopki (npr. prijava/odjava, dodeljevanje pooblastil,…) morajo biti urejeni tako, da je mogoče objektivno dokazati kdo, kako, za kakšen namen in kdaj je delal z varovanimi podatki. Sistemi za ustvarjanje zapisov morajo zagotavljati natančen čas in datum z vnaprej določeno maksimalno dovoljeno razliko.
(18) Varovanje informacij ob hkratnem zagotavljanju njihove kakovosti je ključno za zagotavljanje visoke ravni in zakonitosti poslovanja ter zagotavljanje družbene odgovornosti podjetja. Zato je usmeritev v varovanje informacij skladna in tesno povezana z usmeritvijo v sisteme upravljanja kakovosti, varstva okolja, korporativne odgovornosti ali sorodne sisteme v skladu z mednarodnimi standardi.
(19) Vsi zaposleni v podjetju in vsi zunanji sodelavci podjetja (pogodbeni sodelavci, sodelavci zunanjih izvajalcev, študentje, dijaki, prostovoljci) in drugi, ki imajo kakršenkoli stik z informacijskimi viri podjetja, ki spadajo v določeni obseg Sistema za upravljanje varovanja informacij (glej zgoraj - Obseg SUVI), so odgovorni za izvajanje Varnostne politike. Zato jim je ta posredovana v pisni obliki in interno objavljena (intranet ali interna oglasna deska). SUVI obsega vse informacijske vire na sedežu in drugih lokacijah podjetja.
(20) Varnostna politika je potrjena s strani poslovodstva podjetja, ki je odgovorno za njeno izvajanje. Organizacijska enota, ki izvaja naloge s kadrovskega področja, je s strani poslovodstva pooblaščena, da glede na tip kršitve Varnostne politike izpelje ustrezne postopke. V mikro ali majhnem podjetju (v nadaljevanju: manjše podjetje) je lahko za izpeljavo ustreznih postopkov glede na tip kršitve pooblaščen delavec, ki izvaja naloge s kadrovskega področja.
(21) Za koordiniranje vpeljave informacijsko-varnostnih kontrol in spremljanje izvajanja Varnostne politike je odgovorna organizacijska enota za informatiko. V manjšem podjetju je lahko za koordiniranje vpeljave informacijsko-varnostnih kontrol in spremljanje izvajanja Varnostne politike zadolžen delavec, odgovoren za informatiko. Organizacijska enota za informatiko ali delavec, odgovoren za informatiko, pomaga organizacijski enoti, ki izvaja naloge s kadrovskega področja oziroma delavcu, ki izvaja naloge s kadrovskega področja, pri odločitvi, če je
7/36
Skrbno izvajanje
Strokovnost
Dodeljevanje pooblastil
Nadzor in dokazljivost
Skladnost z drugimi sistemi
Odgovornost za izvajanje Varnostne politike
potrebno zaradi kršitve varnosti uvesti disciplinske ukrepe. Za informacijsko varnost posameznega področja so odgovorni skrbniki področij in sistemov. Odgovornosti so s sklepom poslovodstva dokumentirane in formalno potrjene. Strokovne nasvete glede varovanja informacij lahko nudijo tudi zunanji svetovalci. Njihovi nasveti se usklajujejo znotraj podjetja.
(22) Če pride do kršitve Varnostne politike, lahko kršitelj izgubi pravico do določenega opravila oz. dela (npr. dostop do interneta), pri težjih kršitvah pa se, v skladu z veljavno zakonodajo, lahko sprožijo tudi postopki ugotavljanja disciplinske in odškodninske odgovornosti, vključno z izredno odpovedjo delovnega ali pogodbenega razmerja in kazenskim pregonom.
(23) Ponavljajoče kršitve varnosti morajo biti zabeležene v personalnih mapah zaposlenih in imajo lahko za posledico suspendiranje zaposlenega. Organizacijska enota, ki izvaja naloge s kadrovskega področja oziroma delavec, ki izvaja naloge s kadrovskega področja, je skupaj s takšnemu delavcu neposredno nadrejenim odgovoren za primerno ukrepanje.
(24) Zunanji sodelavci ali pogodbeni partnerji, ki ne sprejmejo te Varnostne politike ali jo kršijo, izgubijo pravico sodelovanja s podjetjem. Pri težji kršitvi se lahko proti takšnim pravnim ali fizičnim osebam sprožijo tudi odškodninski, kazenski in drugi postopki pred pristojnimi državnimi in/ali mednarodnimi organi.
(25) Nadzor izvaja Skupina za informacijsko varnost, ki jo sestavljajo vodje področij, ki so navedeni v Popisu informacijskih virov, področij in odgovornih skrbnikov, po potrebi pa tudi drugi člani, na svojih rednih ali izrednih sestankih v okviru izvajanja notranjega nadzora, kot to določajo Enotna pravila za varstvo gradiva.
(26) Vse pomembne zadeve v zvezi z obsegom SUVI se poročajo poslovodstvu in organizacijski enoti za kakovost ali delavcu, ki skrbi za skladnost izvajanja notranjih pravil z zakonodajo in standardi. Obveščanje je vzpostavljeno v okviru pisnega poročila, ki se v skladu z določili Enotnih pravil za varstvo gradiva pripravi po opravljeni presoji.
3. ORGANIZACIJSKI VARNOSTNI UKREPI
3.1 NABAVA OPREME IN STORITEV
(1) V tem poglavju so opisani okviri za urejanje naročanja storitev pri zunanjih izvajalcih (v nadaljevanju: izvajalec) in osnove za pogodbeno urejanje razmerij z njimi.
(2) Izjemoma lahko poslovodstvo podjetja sklene, da se v primeru, če ima določen izvajalec svoja notranja pravila, namesto te Varnostne politike oziroma njenih posameznih določil in njenih izvedbenih aktov uporabijo notranja pravila tega izvajalca. To je dopustno, v kolikor izvajalčeva notranja pravila zagotavljajo enako ali višjo raven zaščite podatkov in sistemov, kot jo določa ta Varnostna politika in njeni izvedbeni akti. O ustreznosti oziroma primerljivosti teh pravil presodi poslovodstvo podjetja za vsak posamezen primer posebej in na podlagi objektivnih kazalcev (npr. certifikat ISO 27001 izvajalca, ki obsega pogodbene dejavnosti, potrjenost pravil izvajalca pri Arhivu RS in podobno).
(3) Pravno razmerje z izvajalcem storitev se natančno opredeli s pogodbo. Pogodba
8/36
Pogodbeno urejanje razmerij z izvajalci
Naročanje storitev pri zunanjih izvajalcih
Nadzor
o zunanjem izvajanju storitev predstavlja pravno podlago za dostop izvajalca do določenih podatkov oziroma informacijskih sistemov v okviru podjetja in njegovo uporabo podatkov. Predmet pogodbe o zunanjem izvajanju storitev je storitev, ki jo opravi oziroma opravlja izvajalec. Enako velja tudi za druge pogodbe, ki vključujejo storitve, ki lahko vplivajo na informacijsko varnost (npr. pogodba o dobavi opreme, ki vključuje garancijsko vzdrževanje). Pred sklenitvijo pogodbe z zunanjim izvajalcem poslovodstvo poskrbi, da se opravi analiza tveganj specifično za konkretnega izvajalca v zvezi s predvideno pogodbo oziroma storitvijo oziroma dobavami blaga po tej pogodbi ter glede na pomen teh storitev oziroma dobav za to podjetje predvidi morebitne preventivne ukrepe ter zagotoviti njihovo izvajanje. Ukrepi kot tudi njihova obveznost izvajanja s strani izvajalca mora biti vključena v pogodbo, poslovodstvo pa zagotovi, da je tekom izvajanja pogodbe poskrbljeno za nadzor nad temi ukrepi. Pogodba in vsi dokumenti v zvezi z nadzorom morajo biti ustrezno dokumentirani. Če storitve ali dobave zunanjega izvajalca vplivajo na neprekinjeno delovanje, pogodba z zunanjim izvajalcem vsebuje tudi zavezo, da zunanji izvajalec pripravi načrt in izvaja druge ukrepe za neprekinjeno poslovanje, pri čemer za izdelavo lahko uporabi osnovne elemente načrta neprekinjenega poslovanja in kriznega upravljanja za potrebe nadaljevanja poslovnih procesov v omejenem oz. polnem obsegu, ki so priloga te Enotne informacijske varnostne politike.
(4) Pogodba mora vključevati:
opis storitve in predviden rok trajanja oziroma dobo opravljanja te storitve; pri opisu storitve se opredelijo ciljne in tudi nesprejemljive ravni izvajanja storitev, vključno z opredelitvijo preverljivih meril za doseganje teh ravni oziroma delovni učinek ter pravica pregleda in nadzorovanja pogodbenih obveznosti, lahko tudi s strani usposobljenih tretjih oseb;
določilo, da nesprejemljiva raven opravljanja storitve, ki se ponavlja določen čas, šteje za kršitev pogodbe;
jasno razmejitev nalog in odgovornosti med podjetjem kot naročnikom in izvajalcem oziroma dobaviteljem;
opredelitev obveznosti v zvezi s pravnimi zahtevami področne veljavne zakonodaje, kot so na primer predpisi na področju varovanja podatkov (npr. osebnih, tajnih...) in varstva pravic intelektualne lastnine;
druge določbe, če so potrebne za čim bolj jasno definirano poslovno, organizacijsko, operativno in varnostno sodelovanje med izvajalcem in naročnikom.
(5) Pogodba mora vsebovati dogovor o spoštovanju varnostnih zahtev za izvajalce, ki so določene s to Varnostno politiko ter morebitne druge pravne podlage podjetja. V kolikor se potreba po dostopu do varovanih podatkov pojavi naknadno, se sklene dogovor o zaupnosti pridobljenih podatkov – izjava o zaupnosti (glej prilogo 1 – vzorec z oznako S3130 – P1).
(6) V pogodbo se vključijo še drugi varnostni ukrepi kot:
fizični in logični ukrepi za omejitev dostopa uporabnikom do varovanih podatkov (upravljanje z dostopnimi pravicami in nadzorom);
struktura in oblike poročanja ter obveščanje in preiskave varnostnih dogodkov in kršitev;
način vzdrževanja razpoložljivosti storitev v primeru izrednih dogodkov oziroma zagotavljanje primerne ravni neprekinjenega poslovanja;
pravica podjetja do varnostnega in revizijskega pregleda, tudi če ga izvaja tretja oseba v imenu podjetja;
po potrebi podjetje lahko vključi v pogodbo zahtevo po varnostnem preverjanju zaposlenih pri izvajalcu, predvsem v primerih, ko bodo le-ti
9/36
Varnostne zahteve pri pogodbah z izvajalci
prihajali v stik ali delali z varovanimi oziroma varovanimi občutljivimi podatki (npr. osebni podatki, podatki, ki nosijo oznako poslovna skrivnost in podobno).
(7) Vse novo nabavljene naprave za zajem, pretvorbo ali hrambo gradiva morajo poleg zahtevane funkcionalnosti zagotavljati tudi ustrezno raven varnostne zaščite. Nabavljena informacijska tehnologija za podporo zajemu in hrambi dokumentarnega gradiva mora biti skladna z zahtevami veljavne zakonodaje (Zakona o varstvu dokumentarnega in arhivskega gradiva ter arhivih, Uredbe o varstvu dokumentarnega in arhivskega gradiva, Enotnih tehnoloških zahtev, ki jih izda Arhiv Republike Slovenije, Zakona o varstvu osebnih podatkov), internimi akti podjetja in te Varnostne politike.
(8) Vsaka večja nabava naprav iz prejšnjega odstavka se mora začeti z oblikovanjem in potrditvijo pisne uporabniške zahteve s strani odgovornega skrbnika. Na podlagi uporabniške zahteve odgovorne osebe za informatiko in nabavo preverijo zahteve glede na obstoječo infrastrukturo ter pridobijo ponudbe dobaviteljev oziroma zunanjih izvajalcev. Izbira najugodnejše ponudbe ter načrt izvedbe odobri poslovodstvo. Odgovorni skrbnik in odgovorna oseba za informatiko stalno sodelujeta z izbranim dobaviteljem ali zunanjim izvajalcem ter zagotavljata zadosten poslovni, varnostni in tehnološki nadzor. Skladno z načrtom in sklenjeno pogodbo z dobaviteljem ali zunanjim izvajalcem se nabavni ali soroden proces vedno zaključi s formalnim prevzemnim postopkom. Postopek prevzema se opravi s prevzemnim zapisnikom po uspešno opravljenih funkcijskih preskusih in poskusnem obratovanju. Morebitne zamude ali odstopanja se zapisniško ugotovijo in skladno z načrtom in pogodbo odredijo potrebni poslovni (npr. pisno opozorilo, pogodbena kazen) ali izvedbeni ukrepi (npr. zamenjava opreme, popravki, dopolnitve, ponoven preskus in prevzem).
3.2 INFORMACIJSKI VIRI
(1) Vsi pomembnejši informacijski viri in področja so določeni s sklepom in vpisani v poseben seznam, ki ga redno posodabljamo. V seznamu (Popis informacijskih virov, področij in odgovornih skrbnikov) je za vsak vir oziroma področje označena njegova poslovna pomembnost in določena odgovorna oseba za upravljanje in varovanje (odgovorni skrbnik posameznega informacijskega vira oziroma področja).
(2) Vsaka enota gradiva (npr. dokument, podatek...) je razvrščena v skladu z varnostno razvrstitvijo. Razvrščanje je dolžnost odgovornega skrbnika (podatkovna baza) in/ali avtorja enote gradiva.
(3) Podjetje uporablja razvrstitev (klasifikacijo), kot jo določa interni akt, ki ureja poslovne skrivnosti. Če takšnega akta ni, pa uporablja naslednjo razvrstitev:
javno - dokument (oz. podatek), označen kot javen, je lahko posredovan brez omejitev (npr. reklamni material itd.); javni so vsi podatki, za katere tako določajo veljavni predpisi; če je že iz namena in cilja podatka jasno vidno, da gre za javen podatek, eksplicitna označitev ni potrebna;
interno - dokument z oznako »interno« je lahko posredovan vsem zaposlenim; za to ni zahtevana posebna poslovna potreba; glede na določene poslovne potrebe se mora za posredovanje drugim osebam pridobiti odobritev; publikacije na intranetu podjetja so klasificirane kot interne, če ni drugače določeno;
10/36
Varnostna razvrstitev gradiva
Proces odobritve za IT naprave
Popis informacijskih virov, področij in odgovornih skrbnikov
zaupno - dokument (oz. podatek), označen kot »zaupen«, predstavlja poslovno skrivnost in se mora zadržati znotraj določene skupine; sestavo skupine določi tisti, ki informacijo posreduje oziroma lahko to izhaja iz same informacije; avtor dokumenta, označenega z oznako »zaupno«, mora biti znan; vsak skrbnik podatkov lahko sam odloči, če se zaradi ustreznih poslovnih potreb podatki posredujejo osebam izven skupine; zaupni podatki morajo biti skrbno shranjeni (zaklenjeni), varno izbrisani (ne mečejo se v koš za odpadke), pri prenosu čez javno omrežje morajo biti šifrirani; sistemska dokumentacija mora biti brez izjem označena z oznako »zaupno«;
strogo zaupno - dokument (oz. podatek), označen z oznako »strogo zaupno«, predstavlja poslovno skrivnost najvišje stopnje zaupnosti in se sme posredovati samo na podlagi prejetega dovoljenja za to odgovorne osebe; ta oseba mora biti jasno navedena v dokumentu; tudi vodje ne smejo videti podatkov brez dovoljenja za to odgovorne osebe; strogo zaupni podatki morajo biti varno shranjeni, v primeru izbrisa pa je potrebno poskrbeti da je temeljit; prenos strogo zaupnih podatkov po telekomunikacijah se sme izvesti samo v šifrirani obliki.
(4) Dostop do lokalnih diskov ali skupnih direktorijev se določa glede na najvišjo klasifikacijsko stopnjo informacije, shranjene na njih in je omejen glede na načelo »najmanjših privilegijev«. Skrbnik skupnega direktorija mora odobriti, kdo od zaposlenih bo imel dostop do skupnega direktorija z zaupnimi oz. strogo zaupnimi podatki.
3.3 ČLOVEŠKI VIRI
(1) Za zmanjšanje tveganj človeške napake, kraje, prevare ali napačne uporabe naprav, ima organizacijska enota, ki izvaja naloge s kadrovskega področja, v manjšem podjetju pa delavec, ki izvaja naloge s kadrovskega področja, vpeljane nekatere kontrolne ukrepe:
neodvisno preverjanje identitete - kandidata se mora pred začetkom zaposlitve v podjetju osebno identificirati na osnovi pregleda veljavnega nacionalnega dokumenta s fotografijo (npr. potni list, osebna izkaznica);
preverjanje verodostojnosti - kjer opis delovnega mesta zahteva posebno zaupanja vredno osebo (npr. vodstveni položaj, ključna mesta v financah), se mora preveriti kandidatov življenjepis;
pregled potrdil - kandidati morajo dokazati akademske in strokovne kvalifikacije s predložitvijo potrdil in dokumentov;
dokazilo o izpolnjevanju delovnih pogojev (npr. preverjanje kandidatovega državljanstva) - organizacijska enota, ki izvaja naloge s kadrovskega področja, v manjšem podjetju pa delavec, ki izvaja naloge s kadrovskega področja, ima za vsakega zaposlenega njegovo personalno mapo (dosje), v kateri so kopije navedenih dokumentov; personalne mape morajo biti vodene v skladu z vsemi veljavnimi predpisi, vključno z varovanjem osebnih podatkov ter zasebnosti zaposlenega.
(2) Vloge in odgovornosti morajo biti navedene v internem aktu o sistemizaciji delovnih mest podjetja. V manjšem podjetju lahko vloge in odgovornosti določi poslovodstvo s sklepom. Z namenom zmanjšanja možnosti nepooblaščenega spreminjanja in/ali zlorabe informacij ali storitev, je potrebno, kolikor je mogoče in izvedljivo, ločevati upravljanje in/ali izvajanje nekaterih nalog ali področij odgovornosti na ključnih gradnikih informacijskega sistema (razdelitev skrbništva
11/36
Zaposlovanje rednih sodelavcev
na več skrbnikov).
(3) Če poslovodstvo podjetja tega zaradi pomanjkanja primerno usposobljenega osebja ne more zagotoviti z zaposlenimi v podjetju, ločevanje nalog zagotavlja z najemom ustrezno usposobljenih zunanjih sodelavcev.
(4) Opisi delovnih mest morajo vsebovati vloge, pooblastila ter zahteve glede izobrazbe in usposobljenosti kadrov. Varnostna določila so vključena v pogodbo o zaposlitvi (glej prilogo 2 - vzorec z oznako S3310-P1).
(5) Zunanje sodelavce s splošnimi dostopi do informacij in fizičnim dostopom se obravnava enako kot zaposlene, zanje veljajo enaki varnostni ukrepi. Kjer so sodelavci pridobljeni s pomočjo agencije, mora pogodba z agencijo jasno definirati odgovornost agencije za izvedbo preverjanja osebe in varnostne ukrepe. Organizacijska enota, ki izvaja naloge s kadrovskega področja, je odgovorna za vključitev primernih klavzul v pogodbo z agencijo ali v pogodbo z zunanjim izvajalcem (glej prilogo 3 - vzorec z oznako S3310 – P2). V manjšem podjetju je lahko za vključitev primernih klavzul v pogodbo z agencijo ali v pogodbo z zunanjim izvajalcem odgovoren delavec, ki izvaja naloge s kadrovskega področja.
(6) Izjavo o zaupnosti (glej prilogo 4 - vzorec z oznako S3310 – P3) morajo podpisati vsi zaposleni in je del pogodbe o zaposlitvi. Z njo zaposleni istočasno potrjuje, da je seznanjen z Varnostno politiko podjetja. Podpisana mora biti pred izdanim dovoljenjem za dostop do informacij. Podpis dokumentov o zaupnosti mora biti evidentiran v kadrovskem sistemu.
(7) Za dvig zavesti pri varovanju informacij morajo biti vsi zaposleni seznanjeni z Varnostno politiko. Osnovno usposabljanje se izvede takoj po zaposlitvi kandidata v podjetju, poslovodstvo le-tega pa zagotavlja, da se novo zaposleni v okviru prvih 12 mesecev njihove zaposlitve udeležijo usposabljanja s področja informacijske varnosti. Le-to je lahko izpeljano na različne načine kot npr. z osebnim učenjem, predavanji o varnosti (interna, zunanji seminarji) ali uporabo multimedijskih in e-izobraževalnih tehnik. Usposabljanje se mora izvajati v rednih časovnih intervalih.
(8) Organizacijska enota, ki izvaja naloge s kadrovskega področja, mora spremljati udeležbo zaposlenih na tečajih informacijske varnosti in druge oblike usposabljanja. Enkrat letno mora organizacijska enota preveriti ustrezno usposobljenost zaposlenih za delo in varovanje informacij ter zagotoviti morebitno potrebna dodatna usposabljanja. V manjšem podjetju lahko te naloge izvaja delavec, ki izvaja naloge s kadrovskega področja.
(9) V primeru, da je za podjetje poslovno potrebno zagotavljati neprekinjeno poslovanje v smislu 24/7/365, morajo biti vsi zaposleni seznanjeni z načrtom neprekinjenega poslovanja. Vsi tisti zaposleni, ki so neposredno in pomembno vključeni v zagotavljanje neprekinjenega poslovanja ali predvideni za ukrepanje ob izrednih dogodkih, se morajo stalno usposabljati za izvajanje neprekinjenega poslovanja in se najmanj enkrat letno ter ob vsaki močno povečani grožnji udeležiti t.i. požarne vaje.
(10) Za zagotavljanje informacijske varnosti moramo vsi zaposleni pri svojem delovanju spoštovati Varnostno politiko z naslednjimi pravili:
dostopne kartice (ali identifikacijsko kartico zaposlenega) nosimo vidno; osebam, ki nimajo svoje dostopne kartice, ne dovolimo vstopiti v področja z
omejenim dostopom; na sestankih se prepričamo, da poznamo vse prisotne osebe in njihove
vloge, preden začnemo govoriti o zaupnih ali internih informacijah. Naloga
12/36
Najemanje zunanjih sodelavcev
Izjava o zaupnosti
Dviganje zavesti za informacijsko varnost
Dolžnost skrbnega ravnanja
vodje sestanka je, da v uvodu predstavi udeležence sestanka in vsem prisotnim osebam pojasni potrebno zaupnost;
vodja sestanka je odgovoren, da varovani oziroma varovani občutljivi podatki ne bodo po končanem sestanku ostali v sejni sobi;
varovane oziroma varovane občutljive podatke uporabljamo le v okviru svojih delovnih potreb, pristojnosti ali dela izključno v dovoljene namene in v dovoljenem obsegu in jih niti v času izvrševanja niti kadarkoli po njem ne uporabimo zase ali za tretjega in ne sporočimo tretjim;
do internetnih storitev vključno s sistemom e-pošte dostopamo izključno z namenom opravljanja poverjenih delovnih nalog in v nobenem primeru ne smemo biti v nasprotju z interesi podjetja;
k e-sporočilu pripete datoteke z nenavadnimi ali nepričakovanimi imeni ne odpiramo. V primeru dvoma telefonsko vprašamo pošiljatelja, saj je lahko v priponki računalniški virus;
za vsak poštni naslov, v katerega resničnost dvomimo, zahtevamo povratnico;
na javnih mestih nikoli ne govorimo (npr. uporaba mobilnega telefona med nakupovanjem, pri kosilu v jedilnici, v podzemni železnici, na letališču, v letalu,…) o poslu in zaupnih zadevah in ne beremo zaupnih dokumentov, da ne omogočimo nepooblaščenim osebam, da si pridobijo varovane oziroma varovane občutljive podatke;
kadar tiskamo in/ali faksiramo varovane oziroma varovane občutljive podatke, poskrbimo, da se bodo ti podatki takoj po tiskanju varno shranili in da ne bodo ostanki nenadzorovani in prosto dostopni drugim zaposlenim;
identificiramo obiskovalca; če dvomimo, zavrnemo dati kakršnekoli podrobnosti glede informacij, ki niso javne;
»preizkušanje« varnosti znotraj podjetja je prepovedano; za izvajanje preizkušanja so eksplicitno določene osebe; če slučajno odkrijemo kakšno varnostno pomanjkljivost, je potrebno takoj obvestiti odgovorne osebe: našega predpostavljenega in osebo, odgovorno za konkretno zadevo;
nikomur ni dovoljeno namestiti ali nastaviti kakršnekoli programske opreme, ki bi lahko ogrozila integriteto podjetja;
preden kdorkoli namesti ali nastavi programsko opremo, se mora sam prepričati, da ta programska oprema ne pomeni večjega tveganja za podjetje kot sama poslovna potreba.
(11) Organizacijska enota, ki izvaja naloge s kadrovskega področja, določi datum ukinitve dostopov do informacij in fizičnih dostopov ter poskrbi za dejansko izvedbo tega. Vedno, ko je odpoved dana s strani delodajalca, sicer pa odvisno od okoliščin, vzrokov in nezadovoljstva delodajalca, morajo biti dostopi zaposlenim ukinjeni takoj, ko so v postopku prenehanja delovnega razmerja. V manjšem podjetju lahko te naloge izvaja poslovodstvo.
(12) V postopku prenehanja delovnega razmerja mora vodja področja, v manjšem podjetju pa nadrejeni zaposlenemu poskrbeti, da bodo posamezne naprave in vsi (interni, zaupni, strogo zaupni) dokumenti vrnjeni organizacijski enoti, ki izvaja naloge s kadrovskega področja. Za naprave je zahtevano potrdilo posamezne odgovorne osebe, prav tako mora biti potrjena izročitev dokumentov.
(13) V primeru premestitve delavca na drugo delovno mesto v okviru podjetja dosedanji neposredno nadrejeni premeščenemu delavcu in novi neposredno nadrejeni premeščenemu delavcu skupaj ugotovita, ali je potreben prenos dostopnih pooblastil oziroma, ali je potrebno določene dostope (fizične dostope in dostope do informacij) ukiniti. Organizacijska enota, ki izvaja naloge s kadrovskega področja v primeru ukinitve dostopnih pooblastil poskrbi za dejansko izvedbo tega. V manjšem podjetju lahko te naloge izvaja poslovodstvo.
13/36
Prenehanje zaposlitve
Zamenjava dela v okviru podjetja
(14) V postopku zamenjave dela mora vodja področja poskrbeti, da bodo posamezne naprave in vsi (interni, zaupni, strogo zaupni) dokumenti vrnjeni organizacijski enoti, ki izvaja naloge s kadrovskega področja oziroma v manjšem podjetju delavcu, ki izvaja naloge s kadrovskega področja. Zahteva za vrnitev naprav in dokumentov mora biti pisno potrjena, prav tako mora biti pisno potrjena tudi izročitev. V manjšem podjetju lahko te naloge izvaja poslovodstvo.
3.4 VARNOSTNI DOGODKI IN POROČANJE
(1) Za zagotovitev, da bo poslovodstvo seznanjeno z vsemi varnostnimi vprašanji in dogodki, je uveden sistem za poročanje o informacijski varnosti na ravni celotnega podjetja.
(2) Za končnega uporabnika je v primeru varnostnega dogodka prva kontaktna točka organizacijska enota za informatiko, ki na osnovi sporočenih varnostnih vprašanj izvede ustrezne varnostne ukrepe. V manjšem podjetju je lahko v primeru varnostnega dogodka za končnega uporabnika prva kontaktna točka delavec, odgovoren za informatiko. Vsa sporočena varnostna vprašanja se evidentira ter oblikuje baza znanja na podlagi zapisa sporočenih varnostnih vprašanj in odziva nanje.
(3) To poročanje temelji na osnovi varnostnih poročil, ki so del pisnih poročil o opravljeni presoji, kot to določajo Enotna pravila za varstvo gradiva, in so za pooblaščene uporabnike zapisana v elektronski obliki in dosegljiva na intranetu podjetja. Sprejemljive so tudi druge oblike poročanja. V informacijsko varnostno poročanje vključujemo tudi statistična poročila (virusi, neželena pošta (ang. spam) itd.), varnostne dogodke, navzočnost pri usposabljanju s področja informacijske varnosti ipd. Varnostna poročila se vnesejo v bazo znanja iz prejšnjega odstavka.
(4) V primeru ponavljajočih varnostnih dogodkov morajo biti pripravljena formalna poročila ter predstavljena poslovodstvu (glej prilogo 5 - vzorec z oznako S3350 – P1). Poslovodstvo je odgovorno v najkrajšem možnem času izvesti ukrepe za odpravo vzrokov varnostnih dogodkov. Opažene slabosti ali ranljivosti morajo biti s strani odgovornega poslovodstva odstranjene. Rok za odstranitev ranljivosti je odvisen od tega, kakšno je njihovo tveganje pri informacijski varnosti podjetja.
(5) Če bo odziv na varnostni dogodek zahteval vpogled v osebne podatke, lahko takšen vpogled opravi samo pisno pooblaščena oseba. Če pa bo odziv kakorkoli posegal v zasebnost zaposlenega ali zunanjega sodelavca na delovnem mestu, mora biti le-ta o tem pisno predhodno seznanjen in mu biti mora omogočeno, da je pri vpogledu ali pregledu prisoten sam ali njegov zastopnik. Izjema od tega pravila je mogoča samo, če je tako določeno z zakonom. V primeru suma neprimerne uporabe je potrebno slediti tudi načelu štirih oči.
3.5 VARNO OKOLJE
(1) Zunanje in notranje fizično varovanje izvaja varnostna služba, s katero imamo sklenjeno pogodbo (po potrebi tudi z rednimi obhodi in pregledi poslovnega objekta in okolice ter pregledi notranjih prostorov). V primeru alarmov oz. prijave varnostnega dogodka se mora takoj odzvati in ustrezno ukrepati v skladu s sklenjeno pogodbo.
14/36
Poročanje pri varovanju informacij
Fizično in tehnično varovanje
(2) Ukrepi tehničnega varovanja so vzpostavljeni v varovanih prostorih z omejenim dostopom (v nadaljevanju: varovani prostori), v katerem so nameščene ključne sestavine informacijskega in komunikacijskega sistema podjetja (strežniki, usmerjevalniki in delilniki prometa, oprema za upravljanje in nadzor, aktivna oprema za prenos podatkov v nešifrirani obliki, oprema za kriptografsko zaščito podatkov, varnostne pregrade (ang. firewall), oprema za odkrivanje in zaščito pred vdori, oprema za izdelavo varnostnih kopij).
(3) Ukrepe tehničnega varovanja predstavljajo:
alarmne naprave (na vhodih in izhodih, v prostorih in posameznih prostorih z omejenim dostopom znotraj podjetja);
video-nadzor - izvaja se na vhodu v poslovni objekt podjetja in v določenih notranjih prostorih zaradi varovanja premoženja velike vrednosti ter opreme, ki je ključnega pomena za nemoteno poslovanje podjetja (programska in tehnična oprema). Uporablja se samo za namen in na način, določen z zakonom o varstvu osebnih podatkov;
proti-vlomni sistem (kartični dostop do posameznih prostorov, proti-vlomna vrata,…);
sistem mehanske zaščite (proti-vlomna stekla, ognjevarne blagajne, varnostne ključavnice, itd.).
(4) Električna in telekomunikacijska napeljava je izvedena na takšen način, da je ni možno nenamerno prekiniti ali brez večjih težav uničiti ali zlorabiti.
(5) Za redne preglede in servisiranje tehničnih sredstev varovanja skrbi izvajalec, s katerim imamo sklenjeno vzdrževalno pogodbo. Ob poteku garancijskega roka za vsa pomembnejša tehnična sredstva zagotovimo sklenitev ustrezne pogodbe o pogarancijskem vzdrževanju in sicer najmanj tri mesece pred potekom garancijskega roka. Nadzor nad izvajalcem oziroma izvajanja nalog iz tega odstavka, če zanje ne skrbi zunanji izvajalec, izvaja organizacijska enota za informatiko oziroma v manjšem podjetju odgovorna oseba za informatiko.
(6) Varovani prostori v našem poslovnem objektu, v katerih se izvajajo dodatni ukrepi nadzora dostopa oseb in tehničnega varovanja, so sistemski prostor ter drugi prostori z za naše podjetje pomembnimi inštalacijami in komunikacijami.
(7) Vstop v varovan prostor je dovoljen samo pooblaščenim osebam. Pooblastilo mora biti dano s strani za to določenih odgovornih oseb, ki so dolžne voditi sezname vseh pooblastil in oseb. Seznami morajo biti ažurni (glej prilogo 6 - vzorec z oznako S3410 – P1).
(8) Vedno, ko je odpoved dana s strani delodajalca, sicer pa odvisno od okoliščin, vzrokov in nezadovoljstva delodajalca, mora biti dostop v varovane prostore zaposlenim ukinjen takoj, ko so v postopku prenehanja delovnega razmerja.
(9) Vzpostavljen je seznam oseb, pooblaščenih za vstop v posamezne varovane prostore. Dostop v te prostore je omejen in dovoljen samo določenim zaposlenim v podjetju ali osebam naših pogodbenih izvajalcev, ki dostop v te prostore potrebujejo za opravljanje svojih delovnih nalog.
(10) Zunanje tehnično osebje v te prostore vstopa po postopku in na način, določen s pogodbo o izvajanju predmetnih del. O vsakem obisku zunanjega tehničnega osebja mora biti obveščena odgovorna oseba podjetja, ki določi zaposlenega, ki bo zunanjega sodelavca spremljal ves čas njegovega obiska, do odhoda iz poslovnega objekta. Vsak vstop v varovane prostore (sistemski prostor oziroma drug prostor z dodatnim nadzorom dostopa oseb) se mora zabeležiti v poseben dnevnik vstopov
15/36
Tehnično varovanje
Prostori z dodatnimi ukrepi nadzora dostopa oseb in tehničnega varovanja
(glej prilogo 7 - vzorec z oznako S3410 – P2).
(11) V sistemskem prostoru ni dovoljeno fotografiranje, uporaba video in avdio naprav ali drugih naprav za snemanje, razen osebam s posebnim pisnim dovoljenjem s strani odgovornih oseb podjetja.
(12) Poleg predpisanih običajnih protipožarnih ukrepov velja v varovanih prostorih še naslednje:
stroga prepoved kajenja, prepoved uporabe odprtega ognja, prepoved nameščanja začasne električne napeljave, hramba gorljivih snovi, ognja-varne omare, v katerih so shranjeni nosilci podatkov, morajo biti
zaprte.
(13) Varstvo pred požarom je skladno z veljavnimi predpisi o varstvu pred požarom urejeno s požarnim redom. Izvleček požarnega reda je skupaj z načrtom evakuacije objavljen v vsakem nadstropju poslovnega objekta podjetja.
(14) Zaposleni v podjetju ter druge osebe, ki pogodbeno izvajajo delo v poslovnih prostorih podjetja, so se dolžni seznaniti z vsebino izvlečka iz požarnega reda in načrtom evakuacije.
(15) Skladno z zgoraj omenjeno zakonodajo, organizacijska enota, ki izvaja naloge s kadrovskega področja, poskrbi za organiziranje in izvajanje rednega usposabljanja zaposlenih v podjetju za varstvo pred požarom. V manjšem podjetju lahko za organiziranje in izvajanje rednega usposabljanja zaposlenih v podjetju za varstvo pred požarom poskrbi delavec, ki izvaja naloge s kadrovskega področja.
(16) Zaposleni v podjetju ter druge osebe, ki pogodbeno izvajajo delo v poslovnih prostorih podjetja, so dolžne poskrbeti za izklapljanje električnega toka, ko ni nikogar v poslovnih prostorih, za neuporabo gorljivih snovi ter odprtega ognja v prostorih z opremo.
(17) Na hodnikih so nameščeni gasilni aparati, ki so redno vzdrževani. Pregled stanja gasilnih aparatov se opravi vsaj enkrat letno.
(18) Poskrbljeno je za ustrezno namestitev javljalnikov požarov.
(19) Organizacijska enota, ki izvaja naloge s kadrovskega področja, poskrbi za ustrezno zavarovanje prostorov, kjer se nahaja oprema, proti požaru in streli ter za zagotovitev neposredne zveze z gasilci. V manjšem podjetju lahko za ustrezno zavarovanje prostorov, kjer se nahaja oprema, proti požaru in streli ter za zagotovitev neposredne zveze z gasilci poskrbi delavec, ki izvaja naloge s kadrovskega področja.
(20) V interesu preprečevanja škode na pomembnem gradivu je potrebno zagotavljati varno hrambo pomembnega gradiva v zaklenjenih ognjevarnih omarah, v prostorih, kjer je manjša verjetnost za nastanek požara.
(21) S sprejetimi ukrepi za varstvo pred požarom se zmanjšuje možnost nastanka požara ter poveča pravočasno odkrivanje požara, predvsem pa omogoča varen umik ljudi in premoženja.
(22) Oprema se hrani v prostorih, ki so varni pred vdorom vode. Potrebno je zagotoviti ustrezno oddaljenost opreme od plinskih, vodovodnih in kanalizacijskih
16/36
Varstvo pred vodo
Varstvo pred požarom
napeljav.
(23) Organizacijska enota, ki izvaja naloge s kadrovskega področja, poskrbi za zavarovanje prostorov, kjer se hrani oprema, proti vdoru vode ter zagotovitev neposredne zveze z gasilci. V manjšem podjetju lahko za zavarovanje prostorov, kjer se hrani oprema, proti vdoru vode ter zagotovitev neposredne zveze z gasilci poskrbi delavec, ki izvaja naloge s kadrovskega področja.
(24) Organizacijska enota, ki izvaja naloge s kadrovskega področja, poskrbi za ustrezno zavarovanje prostorov, kjer se hrani oprema, proti vlomu in tatvini ter zagotovitev neposredne zveze s policijo. V manjšem podjetju lahko za ustrezno zavarovanje prostorov, kjer se hrani oprema, proti vlomu in tatvini ter zagotovitev neposredne zveze s policijo poskrbi delavec, ki izvaja naloge s kadrovskega področja.
(25) Zaposleni ne smejo puščati nosilcev podatkov z občutljivo vsebino na odprtih površinah pisarniške opreme ali drugih mestih, kjer so dostopni nepooblaščenim osebam, temveč jih morajo varno shraniti vedno, ko niso fizično prisotni v prostoru. Izven delovnega časa mora biti vsa pisarniška oprema, kjer se hranijo nosilci podatkov z občutljivo vsebino, zaklenjena v ognjevarnih omarah oz. drugače varovana.
(26) Zaposleni morajo upoštevati še naslednje kontrole:
zaščititi morajo prostore in naprave za sprejem/oddajo pošte in faksov, še posebno če so nenadzorovani;
občutljive informacije, če se tiskajo, morajo takoj odstraniti iz tiskalnikov.
(27) Ob zaključku delovnega procesa se je potrebno odjaviti iz sistema in izklopiti delovno postajo razen, če ni z drugimi navodili izrecno določeno drugače.
(28) Zaposleni morajo imeti na svojih računalniških delovnih postajah nameščen ohranjevalnik zaslona, ki ob zagonu onemogoča dostop do operacijskega sistema brez vnosa gesla. Ohranjevalnik zaslona se mora samodejno aktivirati v primeru neaktivnosti uporabnika, ki traja dlje od 10 minut. Za gesla ohranjevalnika zaslona veljajo enake zahteve kot za ostala uporabniška gesla (glej tudi poglavje Uporabniški račun in varna gesla). Za ohranjevalnik zaslona je dovoljeno uporabljati samo ohranjevalnike, vgrajene v obstoječi operacijski sistem.
(29) V primeru napovedane daljše odsotnosti (študijski dopust, porodniški dopust, letni dopust in podobno), mora zaposleni pravočasno napovedati osebi, odgovorni za informatiko, svojo odsotnost z dela. Odgovorni za informatiko mora nato skupaj z vodjo organizacijske enote preveriti možnost nemotenega dela in poskrbeti za spremembe pravic na omrežnih virih, če bo delo tega zaposlenega opravljal nekdo drug. Zaposleni ne sme predati svoja gesla drugemu. V času odsotnosti mora odgovorni za informatiko poskrbeti, da se uporabniško ime odsotnega zaposlenega zaklene in se uporablja samo v nujnem primeru.
(30) V primeru nenapovedane odsotnosti zaposlenega mora odgovorni za informatiko po nalogu ustrezne organizacijske enote zagotoviti ustrezne pravice na omrežnem viru drugemu, ki bo odsotnega zaposlenega nadomeščal v času njegove odsotnosti.
(31) Odpadni papirji in drugi nosilci podatkov z občutljivo vsebino se morajo uničiti na način, ki onemogoči branje vseh ali dela uničenih podatkov.
(32) Na enak način se mora uničiti tudi pomožno gradivo (npr. poskusni oz.
17/36
Varstvo pred vlomom, tatvino
Kratkotrajna zapustitev delovnega mesta
Ravnanje z odpadki
Politika čiste mize
Začasna daljša odsotnost
neuspešni izpisi, izračuni…), ki je bilo uporabljeno oz. je nastalo pri izdelavi dokumenta.
(33) Prepovedano je odmetavati neuničene odpadne nosilce podatkov z občutljivo vsebino v koše za smeti.
4. TEHNIČNI VARNOSTNI UKREPI
(1) Spodaj opisani tehnični varnostni ukrepi so definirani kot minimalni standard za zagotavljanje informacijske varnosti v podjetju.
(2) Delovni postopki morajo biti zapisani v obliki formalnih dokumentov. Za upravljanje sistema so v uporabi naslednji dokumenti:
navodilo za upravljanje s sistemom varnostnega shranjevanja in arhiviranja podatkov,
omrežna dokumentacija, sistemska dokumentacija vključno z navodili za sistemsko administracijo, dnevniki sprememb, dnevniki napak.
(3) Vzpostavljeni morajo biti ustrezni postopki za izvajanje sprememb (na strojni in programski opremi), ki morajo biti formalizirani, nadzorovani, konsistentni med različnimi platformami in v celoti dokumentirani.
(4) S to politiko se določa Splošen postopek izvajanja sprememb in nadgradenj informacijskega sistema, ki mora potekati v skladu z naslednjimi zahtevami:
načrtovane spremembe morajo biti odobrene s strani pooblaščenih oseb (pri večjih spremembah je to poslovodstvo podjetja),
pred vsako izvedbo spremembe morajo biti preverjene varnostne kontrole in izvedeni postopki za preverjanje pravilnosti delovanja sistema po spremembi,
preveriti je potrebno, ali je kot posledica spremembe potrebna dodatna prilagoditev kateregakoli dela sistema (programska in strojna oprema, baze podatkov, datoteke…),
komunikacijska in računalniška oprema se mora nameščati skladno z navodili proizvajalca oziroma dobavitelja ter pravili stroke,
vse spremembe morajo biti, preden se izvedejo v produkcijskem okolju, preverjene v testnem okolju,
pri vsaki zahtevani in izvedeni spremembi mora biti zagotovljeno vodenje dnevnika dela in dopolnitev dokumentacije sistema oz. njegovih sestavnih delov,
zaradi morebitne potrebe po vrnitvi sistema v prejšnje delujoče stanje – ang. »roll-back« scenarij (pred izvedbo spremembe), je potrebno pred vsako spremembo izvesti varnostno kopiranje stanja sistema,
ob veljavnosti posamezne spremembe, ki vpliva na delo uporabnikov, je potrebno prizadete obvestiti o začetku veljavnosti spremembe, njenem namenu in o morebitnih vplivih na njihovo delo. Obveščanje o predvidenih akcijah (spremembah) kot tudi varnostnih dogodkih je lahko v pisni ali elektronski obliki (zadošča tudi sporočilo po e-pošti).
(5) Informacijsko okolje podjetja sestavljata dve med seboj ločeni okolji: produkcijsko in testno okolje.
18/36
Upravljanje s spremembami
Ločevanje testnega in produkcijskega okolja
Dokumentirani delovni postopki
Operativni postopki in odgovornosti
(6) Testno okolje je ločeno od produkcijskega okolja na nivoju navideznih lokalnih omrežij (ang. VLAN), fizičnih strežnikov in uporabniških dostopov. (7) Testno okolje vsebuje strežnike, namenjene testiranju novih aplikacij in produktov. Za te strežnike veljajo enake varnostne zahteve (gesla, protivirusna zaščita, dovoljene mrežne storitve,...) kot to velja za produkcijsko okolje.
(8) Dejanski podatki produkcijskega okolja (osebni ali drugi varovani podatki podjetja) ne smejo biti vsebovani v testnih bazah.
(9) Pred prenosom strojne in/ali programske opreme iz testnega okolja v produkcijsko, morajo biti v skladu z načrtom testiranja izvedene vse kontrolne točke testiranja in le-te potrjene s strani odgovornih oseb. Celoten prenos se mora izvajati v skladu s predpisanim postopkom upravljanja s spremembami (glej zgoraj - Upravljanje s spremembami).
(10) Z namenom zmanjšanja možnosti nepooblaščenega spreminjanja in/ali zlorabe informacij ali storitev, je potrebno, kolikor je mogoče in izvedljivo, ločevati upravljanje in/ali izvajanje nekaterih nalog ali področij odgovornosti na ključnih gradnikih informacijskega sistema (razdelitev skrbništva na več skrbnikov).
(11) Če poslovodstvo tega zaradi pomanjkanja primerno usposobljenega osebja ne more zagotoviti z zaposlenimi v podjetju, ločevanje nalog zagotavlja z najemom ustrezno usposobljenih zunanjih sodelavcev.
(12) Za informacijski sistem kot celoto je odgovoren delavec, odgovoren za sistemsko administracijo, ki tudi koordinira vse potrebne akcije pri spremembah in upravljanju s posameznimi gradniki informacijskega sistema.
(13) Poslovodstvo s sklepom določi odgovorne skrbnike posameznih sistemov oziroma storitev (Popis informacijskih virov, področij in odgovornih skrbnikov).
4.1 ZAŠČITA PRED ZLONAMERNO PROGRAMSKO OPREMO
(1) Izraz virus je uporabljen kot sinonim za vse vrste zlonamerne programske opreme.
(2) V lokalnem računalniškem omrežju in na ostalih računalniško-komunikacijskih napravah podjetja se mora zagotavljati zaščita pred zlonamerno programsko opremo.
(3) Lokalna protivirusna zaščita mora biti brez izjeme na: napravah končnega uporabnika za poslovno komuniciranje (vse delovne
postaje, vsi prenosni računalniki, ki se v omrežje priključijo občasno in vse samostojne delovne postaje, ki v omrežje niso priključene);
datotečnem strežniku za skupno uporabo datotek (uporabniški datotečni prostor);
poštnem strežniku podjetja.
(4) Strežniki - Protivirusna zaščita na strežnikih mora dnevno samodejno preverjati morebitno ogroženost datotek na strežniku. Preverjanje se praviloma izvede še pred začetkom dnevnega varnostnega kopiranja podatkov.
(5) Zaščita podatkov, do katerih se dostopa po http in drugih nesporočilnih protokolih - vsi prejeti podatki preko protokolov javnega omrežja (npr. http, smtp,
19/36
Prenos strojne in/ali programske opreme
Ločevanje nalog
Zaščita strežnikov in delovnih postaj
ftp, pop3, nntp) morajo biti, preden so razposlani naslovnikom, protivirusno pregledani na prehodu omrežja (ang. gateway). Prav tako je priporočljivo, da se protivirusno pregledajo tudi vsi ven poslani podatki.
(6) Delovne postaje - vse delovne postaje, ki se prijavljajo v lokalno omrežje, morajo biti zaščitene s sistemom protivirusne zaščite, ki izvaja samodejno preverjanje ob dostopu. Poleg tega mora sistem protivirusne zaščite ob vsakem zagonu operacijskega sistema na delovni postaji izvesti preverjanje sistemskih področij in pomnilnika.
(7) Za delovne postaje, ki so priključene v omrežje, a ne izvajajo aktivnih prijav na datotečne ali aplikacijske strežnike, velja enako kot za vse postaje, kjer se uporabniki prijavljajo v omrežje. Možne izjeme so le tiste delovne postaje, ki so priključene v ločena (testna) omrežja ali pa fizično sploh niso priključene v katerokoli omrežje.
(8) Prenosni računalniki morajo biti zaščiteni s sistemom protivirusne zaščite, ki ima vgrajen mehanizem za izvajanje posodabljanja v lokalnem omrežju (na enak ali podoben način kot lokalne delovne postaje) in mehanizem, ki omogoča primerljiv način posodabljanja v primeru klicnega dostopa. Vsi prenosni računalniki se morajo vsaj enkrat mesečno vključiti v lokalno omrežje podjetja in pri tem naložiti najnovejše programske popravke oziroma posodobitve protivirusne zaščite.
(9) Protivirusna programska oprema naj bo nameščena tako, da se za strežnike in za delovne postaje, ki so trajno ali občasno priključene v omrežje, omogoča središčno obveščanje in beleženje dogodkov. Le-ta naj omogoča zapisovanje izrednih dogodkov v dnevnik na središčnem strežniku, v primeru samostojne namestitve na delovno postajo, pa v dnevnik na delovni postaji. Kot dnevniški zapis lahko velja tudi poslano sporočilo po elektronski pošti.
(10) Uporabnik ne sme onemogočiti protivirusne zaščite na delovni postaji, programska oprema za protivirusno zaščito pa naj bo nameščena tako, da v največji možni meri preprečuje možnost, da bi jo uporabnik onemogočil.
(11) Programsko opremo za centralno protivirusno zaščito sme nameščati in/ali posodabljati le administrator sistema in delavci ali zunanji sodelavci, ki so zadolženi in usposobljeni za vzdrževanje naprav izven standardnega programskega okolja.
(12) Programsko opremo za protivirusno zaščito je potrebno nadgraditi vsakič, ko proizvajalec protivirusne zaščite objavi nove vzorce za virus, za katerega je že znano, da je močno razširjen.
(13) Uporabnik, ki ugotovi, da protivirusna zaščita ne deluje ali sumi, da se mu protivirusna zaščita ne posodablja redno, mora o tem nemudoma obvestiti administratorja sistema.
(14) Administrator sistema (v primeru protivirusne zaščite na poštnih strežnikih je to skrbnik poštnega sistema) je dolžan redno (dnevno) preverjati delovanje protivirusne zaščite in sistema za posodabljanje in najmanj enkrat tedensko tudi delovanje sistema za obveščanje in beleženje dogodkov.
(15) Posodobitev protivirusne zaščite z novim vzorcem virusov mora biti izvedena avtomatično, brez posega administratorjev. Nov vzorec mora biti posredovan v namizje sistemov (ang. desktop) znotraj 24 ur in znotraj 6 ur na strežniške sisteme.
(16) Uporabnik mora takoj prekiniti izvajanje vseh operacij in mora o okužbi
20/36
Postopki nameščanja in posodabljanja programske opreme za protivirusno zaščito
Postopki preverjanja delovanja protivirusne zaščite
Postopki ukrepanja v primeru okužbe z virusom
obvestiti delavca, odgovornega za sistemsko administracijo. Če je prišlo do okužbe delovne postaje, naj se takoj fizično prekine povezava z omrežjem in/ali izključi delovno postajo.
(17) Delavec, odgovoren za sistemsko administracijo:
mora izvesti takojšnje preverjanje strežnika z uporabo modula na strežniku in preizkusiti delovanje protivirusne zaščite;
mora zagotoviti, da pooblaščeni izvajalec izvede postopek čiščenja, ki je odvisen od vrste virusa;
mora v primeru, da ugotovi, da je okužen poštni sistem, le-tega zaustaviti.
(18) V primeru, da uporabnik prejme elektronsko pošto, s katero ga pošiljatelj opozarja na zlonamerno programsko opremo, naj takega sporočila ne pošilja naprej. Če ni prepričan, ali gre za lažen preplah, naj sporočilo z ustreznim pripisom posreduje delavcu, odgovornemu za sistemsko administracijo, ki mora preveriti resničnost takega sporočila in o tem obvestiti uporabnika.
(19) Postopek razkuževanja sme opravljati samo pooblaščena oseba, razen v nujnih primerih, če so postopki razkuževanja za uporabnika pregledni, če je z njimi v celoti seznanjen in če ne morejo povzročiti okvare podatkov. Samodejno razkuževanje, ki ga izvaja programska oprema za protivirusno zaščito, je pogojno dovoljeno, če ga dopušča priporočena namestitev programske opreme za protivirusno zaščito.
4.2 VARNOSTNE KOPIJE IN DNEVNIKI
(1) Zagotovljena mora biti izdelava in posodabljanje sistemske dokumentacije, njena razpoložljivost in varovanje.
(2) Sistemska dokumentacija se mora posodobiti po vsaki spremembi na sistemu. Za to skrbi delavec, odgovoren za sistemsko administracijo.
(3) Za vsako opremo informacijskega sistema mora vedno obstajati dokumentacija, s pomočjo katere so omogočene dnevne rutinske operacije in reševanje problemov. Dokumentacija o opremi mora biti ažurna in vedno na zahtevo dostopna zaposlenim, ki opremo vzdržujejo. Vsaka posodobitev opreme se mora ustrezno dokumentirati in arhivirati.
(4) Sistemska dokumentacija je shranjena v ognja-varnem sefu, skupaj z vsemi nastavitvami in upravljavskimi imeni in gesli.
(5) Za nadzor sistema in pravilnost delovanja skrbi avtomatiziran centralni upravljalni sistem, skupaj s svojimi programskimi agenti. Le ta spremlja tudi vsebino dnevniških zapisov (ang. log record) ter ob kritičnih ustrezno reagira (obvestila skrbnikom).
(6) Dnevniške datoteke (ang. log file) strežnikov se morajo dnevno pregledovati s strani delavca, odgovornega za sistemsko administracijo.
(7) Dnevniške datoteke se morajo poleg ostalega vsakodnevno varnostno kopirati, v skladu s politiko varnostnega shranjevanja in arhiviranja podatkov za posamezni strežnik.
(8) Dnevniške datoteke se ne smejo brisati ročno. Sistem je nastavljen na t.i. FIFO sistem (ang. First In First Out - ob doseganju meje velikosti dnevniških datotek se
21/36
Pregledovanje in zaščita dnevnikov
Varovanje sistemske dokumentacije
najstarejši dnevniški zapis samodejno zbriše najprej).
(9) Dnevno se morajo pregledovati dnevniške datoteke domenskega strežnika (ugotovitev nepooblaščenih poskusov dostopa) in prometa po omrežju, s katerim se odkrivajo zlorabe znotraj ali navzven. To opravlja izključno samo delavec, odgovoren za sistemsko administracijo. O nevarnostih mora obveščati pooblaščeno osebo. Ugotovljeni kritični dogodki se morajo vpisovati v dnevnik napak, ki vsebuje zapise: čas napake oz. varnostnega dogodka, vrsta dogodka, vpliv na delovanje sistema, vzrok (če je znan), način odprave napake, čas odprave napake, skrbnik dogodka.
(10) Strežniki in delovne postaje morajo biti zaščiteni s programsko opremo za izdelavo varnostnih kopij podatkov.
(11) Vsi strežniki v lokalnem omrežju morajo imeti nameščeno programsko opremo za varnostno kopiranje podatkov. Programska oprema mora biti na vseh strežnikih nameščena tako, da se vsak dan izvede samodejno varnostno kopiranje novih in spremenjenih podatkov in aplikacij na strežniku. Varnostno kopiranje podatkov se izvaja takoj po rednem protivirusnem preverjanju po izteku uradnega delovnega časa.
(12) Vsi prenosniki in kritične delovne postaje podjetja morajo imeti nameščeno programsko opremo za varnostno kopiranje podatkov, ki mora biti nameščena tako, da se vsak dan izvede samodejno varnostno kopiranje novih in spremenjenih podatkov. Po možnosti se izvaja kontinuirana zaščita podatkov, ki zajame vse spremembe in jih začasno shrani na lokalni diskovni prostor. To omogoča tudi varnostno kopiranje v primeru, če prenosnik ni priklopljen v lokalno omrežje podjetja.
(13) Uporabnik ne sme onemogočiti varnostnega kopiranja podatkov na delovni postaji, programska oprema pa mora biti nameščena tako, da v največji možni meri preprečuje možnost, da bi jo uporabnik onemogočil.
(14) Po prvem nameščanju je potrebno izvesti prvo varnostno kopijo in preveriti, če se pri izvajanju pojavi kakšna napaka.
(15) Uporabnik, ki ugotovi, da sistem za varnostno kopiranje podatkov ne deluje, mora o tem nemudoma obvestiti delavca, odgovornega za sistemsko administracijo.
(16) Najmanj enkrat letno, vedno pa ob:
spremembah postopka izdelave varnostnih kopij, zamenjavi strojne ali programske opreme, ki se uporablja za izdelavo varnostnih
kopij, ter spremembah nastavitev izdelave varnostnih kopij,
se izvede praktični preizkus obnove vsebin iz varnostnih kopij (ang. restore). Postopek se obvezno dokumentira.
(17) Delavec, odgovoren za sistemsko administracijo, je dolžan redno (dnevno) preverjati delovanje sistema za varnostno kopiranje podatkov zaščite in najmanj enkrat tedensko tudi delovanje sistema za obveščanje in beleženje dogodkov.
(18) Delavec, odgovoren za sistemsko administracijo, ki ugotovi, da zaradi napak programske ali strojne opreme na delovni postaji ali na strežniku, programska oprema za varnostno kopiranje podatkov ne deluje pravilno, mora poskrbeti, da se napaka odpravi v najkrajšem možnem času.
22/36
Postopki preverjanja
Zaščita strežnikov in delovnih postaj
(19) Organizacijska enota za informatiko oziroma v manjšem podjetju delavec, odgovoren za informatiko, je zadolžen, da za vse kritične sisteme izdela načrt za okrevanje (ang. Disaster Recovery Plan) v katerem navede čas, ki je potreben za okrevanje in podrobne korake za izvedbo celotnega okrevanja ali okrevanja posameznih aplikacij. Načrte za okrevanje je potrebno posodabljati ob vsaki spremembi na strežniku ali aplikaciji. Načrte za okrevanje je potrebno najmanj dvakrat letno preveriti.
(20) Varnostne kopije na strežnikih se izdelujejo tronivojsko, ki se hranijo skladno z določili o hrambi varnostnih kopij (pogl. 4.3.12).
(21) Tedensko, med vikendom, se izdela posnetek operacijskega sistema, ki močno pospeši vzpostavitev operacijskega sistema v primeru kritične napake.
(22) Dnevno, do štiri ure po zaključku uradnega delovnega časa, se izdela varnostna kopija vseh novih in spremenjenih podatkov operacijskih sistemov in aplikacij datotečnega tipa.
(23) Enkrat dnevno se izvede inkrementalna ali polna kopija podatkov podatkovnih zbirk in e-poštnih sistemov. Vsako uro se izvajajo varnostne kopije transakcijskih dnevnikov (ang. transaction log), ki omogočajo obnovo na stanje v točno določenem času (ang. PIT – point in time restore).
(24) Na delovnih postajah se dnevno izdela varnostna kopija vseh novih in spremenjenih podatkov operacijskih sistemov.
(25) Izvaja se kontinuirano varnostno kopiranje podatkov datotečnega sistema oziroma dokumentov uporabnikov. Te varnostne kopije se izdelujejo na lokalni diskovni pomnilnik, ki se periodično sinhronizira s centralnim sistemom za varnostno kopiranje podatkov.
4.3 OMREŽJE IN NOSILCI PODATKOV
(1) Celoten nadzor je avtomatiziran s pomočjo agentov preko centralnega nadzornega sistema. Predstavlja ga programska oprema, ki je nameščena na strežniku, ki je vključen v omrežje podjetja (v nadaljevanju: omrežje). S pomočjo programskih agentov skrbi za nadzor in spremljanje kritičnih parametrov in dogodkov sistemskega okolja ob morebitnih težavah oziroma varnostnih dogodkih. Na podlagi definiranih procedur in pravil obvešča ter alarmira ustrezne skrbnike. Obveščanje poteka praviloma preko elektronskih sporočil (e-pošta) oz. SMS sporočil. Dodatno se na omrežju dnevno izvaja fizična kontrola ter pregled dnevniških zapisov posameznih gradnikov omrežja.
(2) Najmanj enkrat letno organizacijska enota za informatiko oziroma v manjšem podjetju delavec, odgovoren za informatiko, izvaja dejanski nadzor nad izvajanjem hrambe na različnih nosilcih podatkov ter o ugotovitvah poroča poslovodstvu.
(3) Zagotovljeno mora biti ustrezno varovanje in zaščita pri upravljanju z nosilci podatkov. Podatki z nosilcev podatkov se lahko izbrišejo na zahtevo skrbnika teh podatkov ali po predhodni odobritvi izbrisa s strani skrbnika teh podatkov ter v primeru, da za brisanje obstajajo pravne zahteve (npr. zastaranje, neveljavnost po izteku določenega časovnega roka).
23/36
Politika izdelovanja varnostnih kopij
Kontrola omrežja
Izmenljivi nosilci podatkov
Nadzor nad izvajanjem hrambe
(4) V primeru izgube ali kraje izmenljivih nosilcev podatkov z občutljivimi podatki, je potrebno to prijaviti odgovorni osebi, ki mora sprožiti ustrezne postopke (interna preiskava, prijava policiji, uvedba dodatnih varnostnih ukrepov...). V primeru ocene, da bi se zaradi izgube ali kraje izmenljivih nosilcev podatkov lahko omogočil nadaljnji nepooblaščen dostop do virov informacijskega sistema, je potrebno kar v največji meri onemogočiti dostopne pravice iz tega naslova in dodatno vključiti spremljanje dnevnikov.
(5) Preden se vsebina izmenljivega nosilca podatkov naloži na opremo, se mora vselej preveriti morebitna okuženost z virusi. Iz nosilcev podatkov neznanega izvora se ne sme presnemavati datotek in ne nameščati preizkusnih programčkov (ali različnih iger), če ni poznana njihova uporabnost.
(6) Nosilce podatkov lahko fizično iz podjetja prenašajo samo za to pooblaščene osebe. Med njihovim prenosom se mora upoštevati enake pogoje, kot veljajo za hrambo teh nosilcev v običajnih okoliščinah. Če je ogroženost podatkov zaradi prenosa večja (npr. vibracije), je potrebno zagotoviti dodatne mehanizme za zaščito.
(7) Z nosilcev podatkov (magnetni mediji), ki so predvideni za izločitev in uničenje ter vsebujejo podatke z določeno stopnjo zaupnosti oz. druge občutljive podatke, se mora podatke predhodno varno uničiti. Uničenje podatkov mora biti izvedeno tako, da jih ni mogoče več obnoviti v celoti ali v najmanjšem delu. V ta namen uporabljamo različne postopke:
fizično uničenje nosilcev podatkov (komisijsko uničenje oziroma pri posameznikih, registriranih za opravljanje dejavnosti, uničenje s strani posameznika),
uporaba programske opreme za varni izbris podatkov, brisanje in formatiranje diskov, razmagnetenje nosilcev podatkov s posebno strojno opremo.
(8) V kolikor je potrebno in mogoče, se mora podatke pred izbrisom najprej uspešno prenesti na drug sistem oz. nosilce. Če uničevanje nosilcev opravlja zunanji izvajalec, ga morajo pri tem nadzorovati pooblaščene osebe našega podjetja oziroma posameznik osebno, če gre za posameznika, registriranega za dejavnost. Celoten postopek uničenja se dokumentira v obliki zapisnika (glej prilogo 8 - vzorec z oznako S3560– P1).
(9) S postopkom razmagnetenja uničimo podatke z naslednjih nosilcev podatkov:
pokvarjeni diski, ki jih je pogosto potrebno tudi vrniti dobaviteljem zaradi njihovega pogodbenega odnosa do proizvajalca;
odpisani nosilci podatkov, ki se varno in ekološko uničijo po predpisanem postopku komisijskega uničenja (s strani posameznika pri posamezniku, registriranem za dejavnost);
nosilci podatkov, ki vsebujejo ali so vsebovali podatke s stopnjo zaupnosti zaupno ali strogo zaupno.
(10) V primeru, da gre za nosilce podatkov v opremi, ki ostaja v podjetju in ne vsebuje podatkov, označenih s kakršno koli stopnjo zaupnosti, izvedemo brisanje podatkov s formatiranjem diska.
(11) V primeru, da gre za že uporabljeno opremo (katere sestavni del je tudi nosilec podatkov), ki bo posredovana izven podjetja (npr. servis, donacije, itd.), ali v primeru zahteve s strani skrbnika podatkov po varnem izbrisu podatkov in se nosilec podatkov fizično ne uniči, se mora za brisanje podatkov uporabiti posebna
24/36
Varovanje nosilcev podatkov med prenosom
Izločanje nosilcev podatkov in varen izbris podatkov
Varno programsko brisanje podatkov
Formatiranje diska
programska oprema.
(12) Poslovodstvo mora določiti obvezen način hrambe varnostnih kopij pri zunanjem ponudniku storitev hrambe ali samostojno hrambo, pri čemer upošteva finančno in tehnološko učinkovitost oziroma možnosti. Če varnostne kopije hranimo pri zunanjem ponudniku storitev, se morajo podatki redno (dnevno spremembe in v celoti tedensko ali mesečno) prenašati na varen način preko omrežja (šifriranje, e-podpis in podobno). Če varnostno kopiranje izvajamo samostojno, shranjujemo dnevne varnostne kopije v ognjevarnem sefu v sistemskem prostoru. Enkrat tedensko ali mesečno (odvisno od količine podatkov in frekvence spreminjanja) pa pooblaščene osebe odnesejo varnostne kopije na zunanjo lokacijo (bančni sef, dislocirana enota...).
(13) Poslovodstvo s Sklepom o varstvu gradiva in zagotavljanju informacijske varnosti določi podatke o svojih zunanjih lokacijah, kjer hrani varnostne kopije iz prejšnjega odstavka.
4.4 UPORABNIŠKI RAČUN IN VARNA GESLA
(1) V tem poglavju so opisana splošna varnostna pravila za uporabniški račun (ang. user id) in geslo.
(2) Na podlagi kadrovskih procesov so znotraj podjetja definirane spodaj navedene skupine oseb z dostopnimi pravicami. Posamezni osebi iz ene od naštetih skupin se ob vsaki spremembi (zaposlitev, prerazporeditev, odpoved) dostopne pravice dodelijo, spremenijo ali odvzamejo na podlagi pisne zahteve (npr. sklep, interni dopis, elektronska pošta) organizacijske enote za kadrovske naloge ali neposredno nadrejenega, ki se jim o izvedbi tudi posredujejo povratno informacijo. Enkrat letno mora organizacijska enota, ki izvaja naloge s kadrovskega področja oziroma v manjšem podjetju delavec, ki izvaja naloge s kadrovskega področja zagotoviti pregled vseh dostopnih pravic in zahtevati morebitne spremembe. Vse spremembe izvede odgovorni skrbnik za dodeljevanje pooblastil in dostopov.
Zaposleni - so osebe, ki so v delovnem razmerju s podjetjem in so vodene znotraj kadrovskega oddelka. Imajo splošen dostop do informacij in fizični dostop.
Zaposleni, začasno odsotni z delovnega mesta - v nekem obdobju aktivno ne delajo v podjetju, vendar pa se imajo pravico vrniti v podjetje. Začasna odsotnost z delovnega mesta pomeni npr. porodniški dopust, študijski dopust in podobno. Pri najmanj treh mesecih odsotnosti mora biti ukinjen fizični dostop in dostop do informacij. Odvisno od primera do primera so lahko, na osnovi upoštevanja možnih tveganj, s strani poslovodstva določene posamezne izjeme.
Zunanji sodelavci s splošnim dostopom do informacij in fizičnim dostopom – gre za delavca zunanjega izvajalca. Obravnavan je enako kot delavec podjetja, njegove obveznosti pa se, če ne dela samostojno, uredijo z zunanjim izvajalcem, za katerega dela in ne neposredno z njim.
Zunanji sodelavci z omejenim dostopom do informacij in fizičnim dostopom - Zunanje tehnično osebje, ki v poslovnem objektu opravlja razna vzdrževalna, investicijska in servisna opravila, po prijavi v recepciji podjetja spremlja zaposleni v podjetju, pristojen za področje, ki je predmet posameznega pravila. Kadar se dela opravljajo v prostorih, v katerih je zaradi varnostnih razlogov gibanje omejeno ali se po predpisih zahteva
25/36
Hramba varnostnih kopij
Skupine oseb z dostopnimi pravicami
izpolnjevanje pogojev za dostop do tajnih podatkov, je treba pred prihodom oziroma vstopom tehničnega osebja preveriti, ali izpolnjuje predpisane pogoje.
Zunanji sodelavci z omejenim dostopom do informacij in brez fizičnega dostopa, ki niso fizično prisotni v podjetju. Imajo oddaljen dostop do posebnih informacijskih sistemov brez fizičnega dostopa npr. specialisti za informacijske sisteme zunanjega izvajalca. Ker imajo dovoljeno povezavo z informacijskim sistemom, je odgovornost za njihov uporabniški račun opredeljena s pogodbo. Če je v pogodbi poimenovana odgovorna oseba, so lahko dostopne pravice prenesene na druge vpletene osebe.
Zunanji sodelavci samo s fizičnim dostopom - imajo omogočen samo fizični dostop v prostore podjetja. V to skupino spadajo na primer obrtniki, čistilno osebje, kuhinjsko osebje. Tem osebam se dodelijo kartice dostopne kontrole z ustreznimi dostopnimi pravicami, ki morajo biti izdane na ime in priimek osebe, ki izvaja delo po pogodbi. Zunanji izvajalec je dolžan odgovorni osebi podjetja vnaprej sporočiti vsako spremembo oseb, ki neposredno izvajajo pogodbena dela, vrniti dostopne kartice oseb, ki so prenehale z delom ter pisno sporočiti ime in priimek novih izvajalcev del. Ti lahko izvajajo dela v poslovnih prostorih podjetja šele po pridobitvi dostopne kartice. Za vzdrževalce, ki niso pogodbeni izvajalci, se za vstop v poslovni objekt uporabljajo določila te politike, kot velja za obiskovalce.
Intervencijske službe - vstop v poslovni objekt je dovoljen tudi osebam, ki morajo izvajati nujne intervencijske posege, kot na primer gasilcem v primeru požara in drugim intervencijskim službam, ki imajo ključ za vstop v poslovni objekt.
Obiskovalci - ljudje, ki so začasno v podjetju, z omejenim fizičnim dostopom in brez dostopa do informacij. Obiskovalci imajo pravico dostopa v poslovni objekt na podlagi predhodnega dovoljenja za vstop s strani posebej za to pooblaščenih zaposlenih. Če je obiskani odsoten oziroma če ne potrdi, da sprejema obiskovalca, oziroma ga ne sprejme kateri drug zaposleni, se obiskovalcu ne sme dovoliti vstopa v poslovni objekt. Osebje v recepciji podjetja potem, ko ugotovi identiteto obiskovalca in njegov namen prihoda ter ga najavi pri delavcu podjetja, ki ga bo sprejel, izroči začasno identifikacijsko kartico Obiskovalec. V evidenci obiskov se zabeleži ime in priimek obiskovalca, organ, organizacijo oziroma podjetje, ki ga obiskovalec zastopa, kam oziroma h komu je namenjen ter čas prihoda na recepcijo in čas odhoda z nje. Delavec podjetja, ki dobi obisk oziroma sprejme obiskovalca, je odgovoren za spremljanje obiskovalca od prihoda do njegovega odhoda ter med gibanjem v poslovnem objektu. Ob izstopu iz poslovnega objekta začasno identifikacijsko kartico obiskovalci vrnejo recepciji podjetja.
(3) Za delovne postaje se morajo upoštevati naslednja načela:
uporaba naključnih imen uporabniških računov (najmanj za vse novo zaposlene osebe);
za vsak uporabniški račun/geslo je odgovorna ena oseba. Oseba ima lahko nekaj uporabniških računov;
vsak uporabniški račun mora imeti geslo; gesla naj ne bodo lahko ugotovljiva in naj imajo vsaj 8 znakov; sestavljena
naj bodo iz kombinacije črk (male in velike), številk in posebnih znakov (npr. ()_+|@^#$\...); da ne bo geslo prehitro razkrito, je uporaba samo črkovnih znakov prepovedana; geslo ne sme biti kreirano na osnovi osebnih podatkov,
26/36
Gesla na ravni uporabnika (delovne postaje)
imena družinskih članov, hišnih ljubljencev, itn. in naj bo takšno, da si ga lahko uporabnik, po nekem samo njemu znanem ključu, tudi zapomni;
geslo ne sme biti zapisano ali shranjeno na mestu, kjer je lahko dostopno drugim;
gesla se morajo redno menjavati v določenih časovnih intervalih, vsaj enkrat na 6 mesecev; spreminjanje gesel je obvezno (kjer je mogoče, naj bo zamenjava vsiljena s strani tehničnih sistemov); zadnjih 5 že uporabljenih gesel mora biti zavrnjenih s strani sistema. Spreminjanje posameznih gesel naj bo mogoče samo enkrat na dan;
zagotovljeno mora biti, da je začetno geslo ali geslo po vzpostavitvi začasno in mora biti spremenjeno po njegovi prvi uporabi;
razen v primeru težav z geslom ali popravkov, je pošiljanje uporabniškega računa/gesla drugim uporabnikom prepovedano;
priporočljivo je, da se za interne in zunanje sisteme ne uporablja isto geslo; neaktivna seja na računalniku naj se po določenem časovnem obdobju
avtomatično zaklene (priporoča se 10 minut); dovoljena je uporaba sistema za enkratno prijavo, pod predpostavko, da se
gesla periodično samodejno menjajo; za ta gesla se uporabljajo zgornja pravila, uporabnik v tem primeru nima vpogleda v geslo.
(4) Za strežniške sisteme in administrativna gesla veljajo strožja pravila:
za strežniške sisteme in servisne uporabniške račune se morajo gesla menjavati vsaj na šest mesecev;
prijava naj bo mogoča samo z določene delovne postaje; kvaliteta gesla naj bo višja kot za standardne uporabniške račune (najmanj
10 znakov); prepovedana je uporaba istega gesla za različne sisteme ali aplikacije (na
primer drugačno geslo za UNIX in Windows račun); določena mora biti odgovorna oseba za tako imenovane sistemske
uporabniške račune (npr. root, SYSDBA, admin); če je bil uporabniški račun uporabljen s strani drugih oseb ali programov za sistemske namene, bo za to odgovorna samo ena oseba.
(5) V izogib varnostnemu tveganju mora biti vsako geslo, ki ga pozna administrator, spremenjeno takoj po prekinitvi delovnega razmerja in odhodu administratorja iz podjetja.
(6) Gesla za strežniške sisteme in administrativna gesla se morajo varno deponirati za primer izrednih situacij, ko skrbnik določene naprave ali aplikacije, za katero je zadolžen:
geslo pozabi; ni dostopen, nujno pa je potrebno opraviti nek poseg na napravi oziroma
aplikaciji ter je za to potrebno geslo; postopek je točno določen in je opisan v nadaljevanju tega poglavja;
gesla, ki jih določijo na določenih napravah oziroma aplikacijah zunanji sodelavci, morajo biti tudi dostopna podjetju pod pogoji, ki so navedeni v tej Varnostni politiki.
(7) Za prenosne računalnike se morajo upoštevati naslednja načela:
obvezno je sistemsko (CMOS) šifriranje podatkov na trdem disku (le-ta onemogoča zlorabo v primeru kraje prenosnika);
obvezna je uporaba power-on (CMOS) gesla, ki onemogoča zagon operacijskega sistema;
za prijavo se uporablja geslo po načelih, ki so določena v tem poglavju (glej
27/36
Strežniški sistemi in gesla
Gesla na prenosnih računalnikih
zgoraj - Gesla na ravni uporabnika (delovne postaje)).
(8) Za zaščito pametnih mobilnih aparatov se morajo upoštevati spodaj našteta načela.
(9) Neaktivna seja se po določenem časovnem obdobju avtomatično zaklene (priporoča se 2 minuti).
(10) Za prijavo se uporablja geslo po načelih, ki so določena v tem poglavju (glej zgoraj - Gesla na ravni uporabnika (delovne postaje)).
(11) Za primer kraje ali izgube mora ohranjevalnik zaslona prikazovati kontaktne informacije uporabnika (ime in priimek, podjetje, e-pošta in stacionarna službena telefonska številka).
(12) Vodje organizacijskih enot so dolžni pripraviti in voditi seznam opreme, aplikacij v/na katerih se uporabljajo gesla in morajo poskrbeti, da administratorji in drugi odgovorni uporabniki pripravijo kuverte, kot je določeno s to Varnostno politiko.
(13) Vsa veljavna gesla posameznih naprav oziroma aplikacij se morajo zapisati in shraniti v posebni kuverti, ki mora biti zapečatena na način, da je vedno možno ugotoviti, da je bila kuverta odprta. Na kuverti morajo biti obvezno naslednji podatki:
oznaka »strogo zaupno«, datum, ime in priimek skrbnika, podjetje (npr. »naziv podjetja«, »naziv zunanjega izvajalca«,…), ime naprave/aplikacije, za katero je geslo, podpis skrbnika.
(14) Zapečatene kuverte deponirajo skrbniki posamezne naprave oziroma aplikacije. Neposredno odgovorni, da je to res izvedeno, so vodje posameznih organizacijskih enot.
(15) Vsa kuvertirana gesla se shranijo v ognjevarni omari v varovanem prostoru znotraj podjetja in na zunanji lokaciji (npr. v najetem sefu v banki).
(16) Pridobitev kuvertiranega gesla in odpečatenje le-tega je možno samo v primeru izrednih situacij:
skrbnik je geslo pozabil (v tem primeru ga dvigne osebno); skrbnik je odsoten oziroma nedosegljiv, nujno pa je potrebno izvesti
določeno delo, za katerega se potrebuje določeno geslo; v tem primeru mora dostop do deponiranega gesla odobriti vodja organizacijske enote ali od njega pooblaščena oseba; vsak tak poseg se mora voditi v posebnem dnevniku »Prevzem deponiranega gesla«, katerega vsebina je: datum in čas prevzema, naprava/aplikacija, ime in priimek prevzemnika, razlog, podpis.
(17) Po opravljenem posegu je potrebno geslo spremeniti in ponovno deponirati, kot je opisano zgoraj. To se izvede na naslednji način:
oseba, ki je izvedla nepredviden poseg, geslo spremeni in ga deponira, obvesti tudi skrbnika;
ko je skrbnik spet prisoten, le-ta geslo spremeni in ga deponira po vseh pravilih, kot je določeno s to Varnostno politiko.
28/36
Gesla na ravni pametnih mobilnih aparatov
Deponiranje gesel
Ob spremembah gesel v skladu z določili te Varnostne politike se kuverta s starim geslom ob sprejemu nove kuverte fizično uniči (vključno z deponiranimi gesli na dislocirani lokaciji).
4.5 UPRAVLJANJE DOSTOPA DO OMREŽJA
(1) V omrežju so lahko na voljo samo omrežne storitve, ki so v skladu s poslovanjem podjetja in ki so odobrene s strani pooblaščene osebe. Vse storitve, ki niso vezane na poslovanje, so onemogočene oziroma se štejejo kot varnostni dogodek. V tem primeru se izvor locira in storitev onemogoči. O omenjenem dogodku se mora obvestiti pooblaščeno osebo, dogodek pa vpisati v ustrezen dnevnik.
(2) Za dostop do lokalnega omrežja se uporabljajo seznami dostopnih pravic (ang. Access Control List - ACL), definirani na omrežnih stikalih. Vsa nezasedena V/I vrata (ang. port) na stikalih morajo biti onemogočena. Vsi priklopi v omrežje morajo biti odobreni in pravočasno najavljeni delavcu, odgovornemu za sistemsko administracijo, ki pripravi stikala za priklop (omogoči vrata, pripravi mrežni kabel in nastavi mrežno stikalo).
(3) Dostop do vsakega zunanjega IP omrežja (Internet, omrežje proizvajalca, omrežje poslovnega partnerja) je dovoljen samo po uspešni prijavi (ang. login) v lokalno omrežje.
(4) Povezava lokalnega omrežja na zunanja IP omrežja je še posebno zaščitena (požarni zid, lista dostopov na usmerjevalniku, sistem za zaznavanje vdorov).
(5) Za dostop preko interneta do posameznih storitev oziroma naprav v omrežju se uporabljajo šifrirane povezave SSH, VPN in SSL. Za upravljanje in nadzor nad zunanjimi dostopi skrbi t.i. VPN usmerjevalnik.
(6) Pristopi se morajo nastaviti glede na potrebe oziroma naloge posameznika. Profile uporabnikov in njihova pooblastila mora odobriti pooblaščena oseba. Administracijo odobrenega profila opravlja delavec, odgovoren za sistemsko administracijo.
(7) Oprema, priključena v omrežje, mora biti vpisana na seznamu dostopnih pravic. V nasprotnem primeru mora biti njihovo delovanje v omrežju onemogočeno. Fizično mora biti vsak priključni kabel v stikalu oz. drugi omrežni opremi označen v skladu z normativi podjetja. Vsak priklop mora biti zaveden tudi v sistemski dokumentaciji o omrežnih priklopih, za katero skrbi delavec, odgovoren za skrbništvo omrežja.
(8) Vsa oddaljena diagnostična vrata morajo biti onemogočena za dostop izven omrežja podjetja.
(9) Vsa nadzorna in upravljalna vrata omrežnih naprav morajo biti ločena v svojem VLAN segmentu (ang. management VLAN). Diagnostika in upravljanje omrežnih naprav je omogočeno samo z direktnim priklopom v nadzorni VLAN in samo s točno določenih IP naslovov.
(10) Zunanjim mobilnim napravam so dovoljene samo povezave na omrežne segmente, namenjene splošni uporabi.
29/36
Zamenjava gesel
Uporaba in varovanje omrežnih storitev
Avtentikacija zunanjih dostopov
Identifikacija opreme v omrežju
Zaščita oddaljenih diagnostičnih vrat
(11) Pri omrežnih povezavah se oprema, ki se povezuje na omrežje, overi, preden se ji dovoli dostop do omrežnih virov.
(12) Lokalno omrežje je segmentirano in ločeno v navidezna lokalna omrežja. Ta so ustvarjena glede na vlogo posamezne naprave (produkcija, demo-test, upravljanje, demilitarizirana cona). Za prehode med njimi se uporablja usmerjanje na ravni stikal v kombinaciji z seznami dostopnih pravic uporabnikov (ACL).
(13) Za zunanje dostopne strežnike in aplikacije je definirana demilitarizirana cona, ki je ločena od lokalnega omrežja z uporabo požarnega zidu.
(14) Obstajati mora postopek za upravljanje požarnih zidov in usmerjevalnikov, prav tako kot tudi postopek, ki pokaže, kako naj bodo izvedene povezave na zunanje IP mreže. Definirano mora biti, komu je dovoljeno upravljanje požarnih zidov in usmerjevalnikov in kdo lahko spreminja nastavitve požarnega zidu. Vsaka sprememba v nastavitvah požarnega zidu in usmerjevalnikov mora biti izsledljiva. Zgodovina sprememb v nastavitvah požarnega zidu mora biti pregledna. Pregled nastavitev požarnega zidu mora biti izveden najmanj enkrat letno in dokumentiran.
(15) Spreminjanje nastavitev požarnega zidu in zahteve za odpiranje vhodno-izhodnih vrat ali za odpiranje povezav na zunanjo IP mrežo mora biti začeto z evidentirano zahtevo (zaznamek o telefonskem klicu, e-pošta itd.) in mora temeljiti na poslovni potrebi. Zahteve za nastavitve požarnega zidu morajo biti del dokumentacije programske opreme.
(16) Odpiranje serije vhodno-izhodnih vrat za zahtevane storitve ni dovoljeno. Odprta naj bi bila samo določena vhodno-izhodna vrata. Standardna vhodno-izhodna vrata se lahko uporablja samo za predviden namen. Neuporabljena vhodno-izhodna vrata morajo biti zaprta.
(17) Tisti, ki je zahteval odprtje vhodno-izhodnih vrat, je dolžan obvestiti delavca, odgovornega za administracijo požarnega zidu, ko ta vrata ne bodo več v uporabi. Ko vodje storitve zaznajo, da storitev, za katero je bilo zahtevano odprtje vhodno-izhodnih vrat, ni več v uporabi, so dolžni le-ta zapreti.
(18) Povezave v omrežje se morajo spremljati na ravneh stikal in strežnikov. Nedovoljene povezave se vpišejo v dnevnike in se obravnavajo kot varnostni dogodek. Varnostni dogodek se samodejno zabeleži v centralnem nadzornem sistemu, ki sproži ustrezne ukrepe.
(19) Usmerjanje (ang. routing) med logičnimi omrežji izvajajo stikala v skladu z nastavitvami, ki jih mora predhodno odobriti odgovorna oseba.
(20) Za strežniške sisteme morajo biti uvedeni ustrezni varnostni ukrepi. V operativnih navodilih mora biti predpisan minimalni nabor pravil za namestitev strežniških sistemov, IT strežniških sistemov in telefonskih sistemov.
(21) Vzpostavljen mora biti postopek in kontrolna lista za osnovno namestitev strežnikov in podatkovnih baz. Postopki morajo biti uvedeni in dokumentirani zaradi pomembnosti poslovanja, zagotavljanja neprekinjenosti strežniških sistemov in možnega odhoda administratorjev strežnikov iz podjetja.
(22) Zagotovljena mora biti uskladitev sistemskih ur (npr. sinhronizacija z neodvisnim virom točnega časa). Postopek je natančneje opredeljen v operativnih navodilih.
(23) Kadar zaposleni izgubi napravo, ki mu je bila dodeljena, oziroma mu je bila
30/36
Ločevanje v omrežjih
Kontrola omrežnih povezav
Kontrola omrežnega usmerjanjaVarnostni ukrepi za strežniške sisteme
Izguba oziroma odtujitev opreme
odtujena (npr. mobilni telefon, dlančnik, prenosni ali osebni računalnik), mora o tem obvestiti pristojnega vodjo. Odtujitev naprave izven podjetja mora potrditi policija. To potrdilo mora biti dano pristojnemu vodji ali od njega pooblaščeni osebi.
(24) V primeru izgube dostopne kartice, mora le-ta biti takoj, ko je mogoče, deaktivirana.
4.6 PRENOSNA OPREMA
(1) Dodatno varnostno tveganje (kraja, izguba) predstavlja uporaba mobilnih naprav kot na primer prenosni računalniki, dlančniki ali inteligentni telefoni ter osebni prenosni mediji (USB ključ).
(2) Na te naprave je treba še posebej paziti predvsem v okolju z veliko koncentracijo ljudi (letališča, sejmi, kongresni centri, šolski centri, parkirišča itd.). V takih okoljih je treba biti še posebej pozoren na ljudi za svojim hrbtom, predvsem pri vpisovanju gesel.
(3) V tem poglavju so določeni postopki ravnanja s prenosno komunikacijsko in računalniško opremo (v nadaljevanju: oprema) izven podjetja, v podjetju ob priključitvi v njeno omrežje, pravila oddaljenega dostopa do računalniškega omrežja podjetja in za opravljanje dela z oddaljene delovne postaje. Določena so pravila varovanja opreme in določeni postopki za preprečitev možnosti nepooblaščenega dostopa do podatkov.
(4) Oprema mora biti fizično zaščitena pred krajo. Opreme, ki vsebuje občutljive in/ali pomembne poslovne informacije se ne sme puščati nenadzorovane; kjer je mogoče, jo je potrebno zakleniti v varen prostor. Ob vsaki zapustitvi prenosne naprave, je le-to treba zakleniti oziroma nastaviti avtomatično zaklepanje po njeni 10 minutni ne uporabi.
(5) Kadar se oprema zaradi različnih razlogov pušča v osebnem avtomobilu, mora biti le-ta pospravljena v pokrit prtljažni prostor avtomobila tako, da je skrita očem. Če je le mogoče, se taka oprema v avtomobilu ne pušča nenadzorovana.
(6) Pri uporabi prenosne opreme in pri delu na daljavo:
je obvezna zaščita vklopa prenosnega računalnika s PowerOn geslom, ki onemogoča zagon operacijskega sistema ali vstop v BIOS brez vedenja omenjenega gesla;
je obvezna zaščita diska prenosnega računalnika z geslom, ki onemogoča branje podatkov z diska v drugih računalnikih;
je potrebno izvajati postopke za odkrivanje zlonamerne programske opreme, ki jih je potrebno redno posodabljati (v mobilne naprave namestitev mobilnega odjemalca protivirusnega programa, ki omogoča takojšnje nadgrajevanje baze vzorcev virusov in popravkov ob vsakem priklopu na internet v podjetju ali zunaj njega;
je potrebno izvajati postopke za redno posodabljanje popravkov (PATCH) za operacijske sisteme in posodabljanje servisnih popravkov (ang. service pack);
je potrebno nastaviti zaščito ekrana: ekran naj se v primeru desetih minut neaktivnosti samodejno zaklene z geslom (ang. password protected screen saver);
je potrebno poskrbeti za ustvarjanje varnostnih kopij prenosnih računalnikov;
zaposleni, ki delo opravljajo od doma in nimajo stalnega dostopa do omrežja
31/36
Zaščita na ravni programske opreme
podjetja, morajo pomembne podatke varnostno arhivirati sami; prenosna naprava, s katero se dostopa do omrežja podjetja, mora imeti
instalirane programe za preprečevanje vdorov (osebne požarne pregrade) in programsko opremo za zaščito pred programsko opremo za vohunjenje (ang. spyware);
prenosna naprava, s katero se dostopa do omrežja podjetja, ne sme biti hkrati priključena na javno omrežje in na omrežje podjetja (ang. dual homing);
je potrebno zagotoviti, da je oddaljen dostop do poslovnih informacij prek javnega omrežja lahko omogočen šele po uspešni identifikaciji in overitvi. Dostop pa izveden z uporabo šifrirnih metod pri prenosu podatkov (IP VPN);
se mora obvezno uporabljati gesla, ki morajo biti v skladu s politiko gesel za kakršenkoli dostop do podatkov iz teh naprav;
morajo biti zaupni podatki na prenosnih napravah dodatno šifrirani; mobilne naprave za dostop do elektronske pošte preko mobilnega
telefonskega omrežja morajo imeti nastavljeno vhodno geslo; omogočeno mora biti avtomatsko zaklepanje mobilnih naprav v prej kot 1
minuti v primeru neuporabe; prenosni mediji kot so USB ključi morajo imeti vsebino oziroma dostop
zaščiten z geslom.
(7) Zaradi vzdrževanja varnosti na sistemu ni nikomur dovoljeno na omrežje namestiti njegove lastne brezžične naprave ali zasebne, s strani pooblaščene osebe oz. skrbnika informacijskega sistema, neavtorizirane mrežne naprave.
(8) Zaposleni morajo biti seznanjeni s pravili pravilne uporabe mobilnih naprav in brezžičnega omrežja. Odgovorni so za varovanje podatkov, ki se nahajajo na teh napravah ali za podatke, do katerih se preko teh naprav lahko dostopa. Prav tako odgovarjajo tudi za naprave same, v smislu varovanja pred krajo oziroma nepooblaščeno uporabo.
(9) V primeru priklopa prenosne naprave kakšnega od zunanjih sodelavcev oz. partnerjev se le-ta predhodno prijavi skrbniku informacijskega sistema podjetja, da poskrbi za ustrezne dostope in varnostno ustreznost priključenega prenosnika.
(10) Upravljanje z nadgradnjami mobilnih naprav mora biti avtomatično. Uporabnikom ni dovoljeno zavrniti te funkcije.
(11) V primeru potrebe po popravilu prenosnega računalnika izven podjetja se iz le-tega odstrani trdi disk.
(12) Če je potrebna garancijska zamenjava trdega diska v prenosnem računalniku, je vsebino le tega potrebno predhodno izbrisati, površino diska prepisati z ustrezno programsko opremo. S tem se v veliki meri prepreči kakršnokoli restavriranje vsebine diska.
4.7 SISTEM UPRAVLJANJA NEPREKINJENEGA POSLOVANJA
(1) V tem poglavju so za primer izrednega dogodka večje razsežnosti vzpostavljeni osnovni elementi načrta neprekinjenega poslovanja in kriznega upravljanja za potrebe nadaljevanja poslovnih procesov v omejenem oz. polnem obsegu. Določila tega poglavja so obvezujoča za tista podjetja, ki morajo zaradi poslovnih potreb zagotavljati neprekinjeno poslovanje v smislu 24/7/365. Takšno podjetje vse pomembne podatke v zvezi z zagotavljanjem neprekinjenega poslovanja zapiše v
32/36
Servisiranje prenosne računalniške opreme
poseben dokument „Pomembni podatki za neprekinjeno poslovanje“, ki ga potrdi poslovodstvo. Podjetja, za katera zagotavljanje neprekinjenega poslovanja v smislu 24/7/365 ni poslovno smiselno, določbe tega poglavja izvajajo v omejenem obsegu (predvsem zagotavljanje varnostnih kopij podatkov).
(2) V okviru obsega sistema upravljanja varovanja informacij (glej zgoraj - Obseg SUVI) ima podjetje izdelano oceno tveganja s predlogom ukrepov za zmanjšanje teh tveganj (Ocena tveganja v okviru izbranega obsega).
(3) Poslovodstvo podjetja določi glavne možne izredne dogodke in oceni verjetnost, da do njih pride.
(4) Poslovodstvo podjetja ključne procese/naloge razvrsti po pomembnosti. V primeru izrednega dogodka upošteva razvrstitev poslovnih procesov/nalog in temu ustrezno izvaja akcijske načrte za vzpostavitev delujočega stanja in kasneje vzpostavitev normalnega stanja (vrnitev v prvotno stanje).
(5) V primeru izrednega dogodka se mora upoštevati razvrstitev poslovnih procesov/nalog in temu ustrezno izvajati aktivnosti za vzpostavitev poslovanja. V primeru odločitve kriznega štaba o začasni premestitvi na sekundarno lokacijo, se sprožijo vse aktivnosti, ki bi najprej omogočile vzpostavitev prvega ključnega procesa. Po njegovi uspešni vzpostavitvi, se sprožijo naslednje aktivnosti za vzpostavitev delovanja procesov vse do vzpostavitve normalnega poslovanja podjetja (vrnitev v prvotno stanje).
(6) Za potrebe neprekinjenega poslovanja se najprej vzpostavi prvi ključni proces, v nadaljevanju pa nadaljnji ključni proces. S tem so zagotovljeni osnovni pogoji za vzpostavitev in začetek izvajanja vseh ostalih procesov.
(7) Poslovodstvo podjetja določi primarno in sekundarno lokacijo poslovanja ter določi kriznega managerja, njegovega namestnika in osebe za stike z javnostjo.
(8) Za primer izrednega dogodka poslovodstvo podjetja imenuje krizno skupino (v nadaljevanju: krizni štab) in določi člane, ki jo sestavljajo. Krizni štab podjetja mora prevzeti upravljanje v primeru izrednega dogodka in sprejemati glavne odločitve ukrepanja. Sestajati se mora vsaj vsakih šest mesecev z namenom pregleda načrta neprekinjenega poslovanja in posodabljanja dokumenta „Pomembni podatki za neprekinjeno poslovanje“. Vsak pregled načrta mora biti dokumentiran, dokument „Pomembni podatki za neprekinjeno poslovanje“ pa redno posodobljen ter predstavljen poslovodstvu podjetja. V okviru tega odgovornosti za posamezne aktivnosti niso dodeljene, člani kriznega štaba morajo delovati skupno in se zavedati svojih odgovornosti v vlogi kriznega štaba.
(9) Vsi zaposleni, predvsem pa krizni štab, se v primeru izrednega dogodka večje razsežnosti sestane na primarnem zbornem mestu, ki ga določi poslovodstvo podjetja. Če to ni mogoče, pa na sekundarnem zbornem mestu, ki ga določi poslovodstvo podjetja. Vsem zaposlenim se razdeli mapa z različnimi možnimi dostopi do prve oz. druge lokacije vključno z načrtom lokacije (nadstropje ipd.). Pri določitvi primarne/sekundarne lokacije je potrebno upoštevati, katere ključne zadeve se bodo na lokaciji potrebovale. Upoštevati: dostopnost lokacije, velikost (za delo določenega števila ljudi...), oddaljenost, ranljivost (ogroženost) lokacije (poplava…), možnost komunikacij (telefon, internet dostop, e-pošta…). Lokacija sestanka oz. nadaljevanja dela kriznega štaba je lahko npr. lokacija v drugem podjetju, hotel ali druga javna stavba.
(10) Služba za splošne zadeve oziroma delavec, odgovoren za splošne zadeve izdela seznam pooblaščenih oseb, kontaktnih oseb, telefonskih številk
33/36
Možni izredni dogodki
Kritični poslovni procesi, razvrstitev in akcijski načrt
Lokacija poslovanja podjetjaKrizna skupina („krizni štab“)
Zborno mesto zaposlenih ob izrednem dogodku
Seznam ključnih kontaktnih podatkov
intervencijskih služb (gasilci, zdravstveni dom, policija, zavarovalnica,…) in drugih podatkov, potrebnih za izvajanje določil tega poglavja Varnostne politike, ki je vključen v dokument „Pomembni podatki za neprekinjeno poslovanje“. Za pripravo in tekoče ažuriranje seznama je pristojna služba za splošne zadeve oziroma delavec, odgovoren za splošne zadeve.
(11) Poslovodstvo podjetja določi, kdo so njegovi ključni dobavitelji in ključne stranke ter pripravi seznam s kontaktnimi podatki.
(12) Načrte in ukrepe po tej Varnostni politiki se v podjetju obravnavajo na naslednji način:
interni sestanki, interno usposabljanje, simulacije izrednega dogodka (najmanj 1 x letno)...
(13) V primeru izrednega dogodka se v podjetju komunicira s sodelavci na naslednji način:
osebno, GSM telefon, elektronska pošta.
(14) V primeru izrednega dogodka se komunicira z javnostjo in poslovnimi partnerji na naslednji način:
osebno, elektronska pošta, GSM telefon.
(15) Poslovodstvo podjetja določi odgovorno osebo za varnostne kopije kritičnih dokumentov in zapisov podjetja (vključno s plačilnimi listami in računovodskim sistemom).
(16) Varnostne kopije vključno s kopijo tega dokumenta, načrti, zavarovalnimi policami, bančnimi računi in računalniškimi varnostnimi kopijami in drugimi dokumenti, ki so kritični za poslovanje podjetja, so shranjene na primarni lokaciji.
(17) Če so ključni zapisi (računovodski, projektni, pogodbeni,…) v primeru izrednega dogodka uničeni, poslovodstvo podjetja zagotovi nadaljevanje poslovanja s pomočjo postopka obnovitve (ang. restore) podatkov iz varnostnih kopij.
(18) Služba za splošne zadeve oziroma delavec, odgovoren za splošne zadeve pripravi seznam odgovornih oseb po področjih z njihovimi kontaktnimi podatki.
(19) Prvi ukrepi kriznega štaba takoj po izrednem dogodku so odvisni od vrste in časa nesreče ter zajemajo:
glede na čas izrednega dogodka: če se izredni dogodek zgodi med delovnim časom:
■ evakuacijo zaposlenih iz poslovnih prostorov,■ fizično zavarovanje lokacije, v kolikor je možno,
če se izredni dogodek zgodi izven delovnega časa: ■ vodja kriznega štaba določi zborno mesto kriznega štaba - primarna
oz. sekundarna lokacija zbornega mesta, krizni štab zbere čim več informacij o povzročeni škodi, na podlagi tega se
vodja kriznega štaba odloči, ali se sprožijo aktivnosti vzpostavitve poslovanja na sekundarni lokaciji,
34/36
Komunikacija
Varnostne kopije kritičnega dokumentarnega gradiva
Načrt ukrepanja ob izrednih dogodkih
predstavnik za stike z javnostjo v čim krajšem času obvesti zavarovalnico o nastali situaciji in se z njo dogovori o nadaljnjih korakih,
predstavnik za stike z javnostjo takoj pristopi k aktivnosti obveščanja notranje in zunanje javnosti: osnovna informacija o samem izrednem dogodku, informacija o tem, kje se nadaljuje poslovanje podjetja (posredovanje
kontaktnih podatkov: telefon, faks, e-pošta, mobilni telefon...), odgovorni za posamezna področja po potrebi vzpostavijo kontakt s ključnimi
dobavitelji in strankami, opredelitev stopnje nesreče in ocena škode ter s tem neposredno povezanih
stroškov, proučitev uporabnosti osnovne lokacije podjetja za nadaljnje delovanje po
nesreči, po potrebi aktiviranje vzpostavitve delovanja na drugi lokaciji.
(20) V primeru, da se zgodi eden izmed izrednih dogodkov, katerega posledica je onemogočeno delovanje informacijskega sistema na primarni lokaciji, krizni štab, odvisno od razsežnosti samega dogodka, razglasi izredno stanje in prehod na sekundarno lokacijo. Prehod se odobri, ko se ugotovi, da ponovna vzpostavitev delovanja na primarni lokaciji ni možna v prej kot dveh urah oz. kot je definirano v posameznih pogodbah o zahtevani ravni storitve (ang. SLA - Service Level Agreement) za posamezne storitve, ki jih podjetje nudi svojim pogodbenim strankam.
(21) Sprožijo se kritični poslovni procesi oziroma aktivnosti, ki jih določi poslovodstvo podjetja in se izvajajo v skladu z njihovo razvrstitvijo.
(22) Za vzpostavitev v delujoče stanje manj pomembnih strežnikov na sekundarni lokaciji se sledi napotkom za restavriranje in zagon posameznih strežnikov. To velja za strežnike, ki niso ključnega pomena za delovanje podjetja. Okrevanje teh strežnikov se lahko izvede znotraj 24 ur. Za restavriranje podatkov se uporabi kopija podatkov na oddaljeni lokaciji.
(23) Za prehod delovanja na oddaljeno lokacijo je odgovoren krizni štab, za posamezne aplikacije oz. strežnike poskrbijo skrbniki v skladu z izdelanimi postopki okrevanja posameznih strežnikov oz. aplikacij.
(24) Načrt vzpostavitve prvotnega, normalno delujočega stanja zajema aktivnosti in sredstva:
odgovorni za posamezna področja poročajo kriznemu štabu o stanju (ugotovitev izgub, škode…);
izdela se seznam potrebne opreme (strojne), seznam potrebnih kontaktov z dobavitelji in strankami;
krizni štab začne z aktivnostmi pridobitve sredstev za obnovitev (lokacije, električno napajanje in drugi servisi, oprema...);
odgovorni za posamezna področja vzpostavijo potrebne kontakte z dobavitelji informacijsko telekomunikacijskih sistemov (telefonija, strojna in programska oprema…), storitev (vzdrževalci...), podporni servisi (administriranje…);
odgovorni za posamezna področja in krizni štab vse zgoraj navedene aktivnosti dokumentira.
(25) Postopki okrevanja posameznega strežnika oz. aplikacije se najmanj enkrat letno preverijo. Pri tem se ugotovijo pravilnosti oz. pomanjkljivosti izdelanih postopkov okrevanja. Ob okrevanju se spremlja čas trajanja okrevanja posamezne aplikacije oz. strežnika, konsistentnost podatkov, ustrezna razpoložljivost (za
35/36
Scenariji okrevanja
Načrt vzpostavitve normalnega stanja sistema
Nadzor in vzdrževanje sistema
uporabnike). V kolikor omenjeni kriteriji odstopajo od začrtanih (navedenih v postopku okrevanja) se mora izvesti ustrezne akcije, ki bi izboljšale okrevanje in bi sledile zastavljenim kriterijem. Za izvedbo preverjanja postopkov je zadolžen član kriznega štaba, ki ga določi poslovodstvo podjetja, izvaja ga skrbnik sistema oz. aplikacije.
(26) Predpisano je najmanj enkrat letno pregledovanje in posodabljanje načrta neprekinjenega poslovanja kot tudi enkrat letna izvedba vaje, na kateri se preizkusi plan in postopke v primeru izrednega dogodka. Poslovodstvo podjetja za planiranje in izvedbo vaje zadolži odgovorno osebo. Predvidena izvedba vaje je vsako leto v določenem mesecu. Vsi izvedeni postopki se dokumentirajo, o rezultatih vaje se poroča poslovodstvu podjetja. Na podlagi rezultatov vaje se uvedejo morebitni potrebni ukrepi in po potrebi posodobi dokumentacija (dokument Pomembni podatki za neprekinjeno poslovanje...).
5. VELJAVNOSTTa Varnostna politika prične veljati s 01.09.2009, znotraj podjetja pa Varnostna politika prične veljati z dnem sprejetja Sklepa o varstvu gradiva in zagotavljanju informacijske varnosti.
36/36
