RedIT- obrazložitev vzorčnih notranjih pravil

VZORČNA NOTRANJA PRAVILA
OBRAZLOŽITEV
VZORČNIH NOTRANJIH PRAVIL
RAZLIČICA 1.0
ZA PODJETJA
Domžale, junij 2009
1/20
1.
UVOD
1.1. Zakaj podjetje potrebuje notranja pravila?
Zakon o varstvu dokumentarnega in arhivskega gradiva ter arhivih (Ur. l. RS, št. 30/2006, v
nadaljevanju: ZVDAGA) je postavil pravne podlage za hrambo gradiva v digitalni obliki.
Bistvena zahteva, ki jo pred podjetja v 18. členu postavlja zakon je, da mora podjetje, ki bo
zajemalo ali hranilo gradiva v digitalni obliki, sprejeti notranja pravila v skladu s tem zakonom,
na njegovi podlagi izdanimi podzakonskimi predpisi in enotnimi tehnološkimi zahtevami ter
pravili stroke (npr. arhivska stroka, informacijska varnost itd.).
Hramba gradiva v digitalni obliki ima namreč pred hrambo gradiva v fizični obliki številne
prednosti. Zaradi enostavne reprodukcije je mogoče gradivo zelo enostavno hraniti v več
kopijah na različnih lokacijah, kar bistveno zmanjša možnost uničenja gradiva. Hramba gradiva
v digitalni obliki poveča razpoložljivost in dostopnost gradiva (omogoča enostavnejši dostop,
oddaljen dostop, hkratni dostop, učinkovitejše iskanje...) ter hkrati omogoča tudi večjo varnost
dostopa. Nenazadnje pa hramba gradiva v digitalni obliki omogoča tudi večjo preglednost
dostopa in varovanja gradiva.
Po drugi strani pa je gradivo, ki se hrani v digitalni obliki, izpostavljeno številnim grožnjam, ki
lahko predstavljajo tveganja za organizacijo. Najbolj očitna tveganja, ki jih je potrebno
obvladovati pri uvajanju hrambe gradiva v digitalni obliki so zagotovo:




elektronski nosilci podatkov so manj obstojni od papirja. Občutljivost nosilcev in
njihovo propadanje lahko pomeni izgubo ali uničenje gradiva;
spremembe oblike zaradi tehnološkega razvoja. Pojavljajo se nove oblike zapisa,
gradivo se nahaja v različnih formatih. Obstaja nevarnost, da z uvajanjem nove
programske opreme izgubimo možnost prikaza gradiva v kakšni od starejših oblik
(formatov) zapisa;
obstaja nevarnost zastaranja formatov. Če ne zagotovimo pretvorbe gradiva,
zastaranje formatov lahko povzroči, da bo gradivo na dolgi rok neberljivo;
druga tveganja, ki jih je potrebno analizirati in obvladovati v kontekstu
zagotavljanja informacijske varnosti.
Zaradi navedenih izzivov je ZVDAGA postavil pogoje za hrambo dokumentarnega gradiva v
digitalni obliki, pri čemer je predvsem pomembno dejstvo, da je določil tudi okoliščine, v
katerih se bo tako hranjeno dokumentarno gradivo štelo za enakega svojemu papirnemu (ali
digitalnemu) izvirniku in bo zaradi tega imelo tudi enako pravno veljavo oziroma dokazno
vrednost.
Iz ZVDAGA izhaja, da je enakost varno hranjenega gradiva v digitalni obliki z izvirnikom že na
podlagi zakona zagotovljena, če sta bila zajem in varna hramba opravljena v skladu s pri
Arhivu Republike Slovenije potrjenimi notranjimi pravili. Če želi podjetje v primeru sporov kot
dokaz uporabiti zajet in v digitalno obliko pretvorjen dokument, mora pripraviti in sprejeti
notranja pravila o hrambi dokumentarnega gradiva. Ko notranja pravila potrdi Arhiv Republike
Slovenije, šteje gradivo, hranjeno v digitalni obliki za izvirnik in bo podjetje to lahko brez težav
dokazalo v različnih upravnih ali sodnih postopkih.
V nasprotnem primeru, če bi gradivo podjetje hranilo v digitalni obliki in ne bi sprejelo
notranjih pravil, bi bilo potrebno dokazovati, da so uporabljena notranja pravila v skladu z
ZVDAGA, izdanimi podzakonskimi predpisi in enotnimi tehnološkimi zahtevami, oziroma, če
podjetje ne bi izvajalo zajema, pretvorbe in hrambe v skladu s sprejetimi notranjimi pravili,
dokazovati avtentičnost in celovitost vsake enote gradiva (dokumenta, podatka...) posebej, kar
zagotovo ni lahka naloga, še posebej v podjetjih z velikim obsegom gradiva.
2/20
Podjetje lahko pripravi notranja pravila tudi tako, da privzame vnaprej pripravljena vzorčna
notranja pravila, ki so jih pripravile druge osebe za svojo uporabo ali za širšo uporabo kot
svoja. Takšna vzorčna notranja pravila so tudi vzorčna notranja pravila sistema RedIT. Če
podjetje v celoti in brez kakršnihkoli sprememb ali dopolnitev privzame od Arhiva Republike
Slovenije potrjena vzorčna notranja pravila, se tako privzeta notranja pravila podjetja štejejo
za že potrjena od državnega arhiva.
S spremembami zakonodaje, tehnološkim napredkom, spoznanji stroke, novimi informacijskimi
rešitvami in nenazadnje s spremembami v lastni organizaciji se pojavijo zahteve po spremembi
notranjih pravil. Zakon določa tudi obvezno spremljanje izvajanja notranjih pravil. Če se ob
takšnem spremljanju v konkretnih primerih ugotovijo odstopanja od notranjih pravil, je
potrebna izvedba ukrepov za odpravo odstopanj in preverjanje pravilne izvedbe ukrepa. Kako
to storijo podjetja, ki prevzamejo vzorčna notranja pravila sistema RedIT, je opisano v
nadaljevanju.
1.2 Notranja pravila in vzorčna notranja pravila
Priprava lastnih notranjih pravil zagotovo ni niti enostaven niti kratkotrajen projekt. ZVDAGA je
predvidel tudi lažjo pot – prevzem vzorčnih notranjih pravil. ZVDAGA pravi, da lahko oseba
notranja pravila pripravi tako, da prevzame vnaprej pripravljena notranja pravila, ki so jih
pripravile druge osebe za svojo uporabo ali za širšo uporabo (npr. panožna združenja), kot
svoja. Če v celoti in brez kakršnihkoli sprememb ali dopolnitev prevzame od Arhiva Republike
Slovenije potrjena notranja pravila, se šteje, da so tako prevzeta notranja pravila osebe od
Arhiva Republike Slovenije že potrjena.
Tudi notranja pravila sistema RedIT so vzorčna notranja pravila. Ključno je, da bodo tako
prevzeta notranja pravila štela za potrjena s strani Arhiva Republike Slovenije samo
v primeru, da jih oseba, ki jih bo prevzela, ne bo spreminjala ali dopolnjevala, razen v
tistih delih in v obsegu, ki ga je predvidel pripravljalec vzorčnih notranjih pravil.
Ker so vzorčna notranja pravila sistema RedIT javno objavljena in prosto ter brezplačno
dostopna vsem, ki jih želijo uporabiti v skladu z omejitvami avtorskopravnih upravičenj
pripravljalca, jih bodo nekatere organizacije, ki jih zaradi različnih razlogov ne bodo mogle
prevzeti, želele uporabiti tudi kot podlago za pripravo lastnih notranjih pravil. Posebej
poudarjamo, da v tem primeru notranja pravila ne bodo štela za potrjena s strani
Arhiva Republike Slovenije in da bo morala organizacija svoja notranja pravila
predložiti v potrditev Arhivu Republike Slovenije, da bo zagotovila enakost zajetega
gradiva izvirniku na podlagi zakona, kot je to opisano v poglavju Veljavnost in dokazna
vrednost dokumentarnega gradiva v digitalni obliki.
Vzorčna notranja pravila RedIT so namenjena mikro, majhnim, srednjim in velikim
podjetjem, ki niso nosilci javnih pooblastil ali izvajalci javnih služb.
To pomeni, da vzorčnih notranjih pravil RedIT za podjetja ne morejo prevzeti državni
organi in organi v sestavi, agencije, javni zavodi.... ali katerekoli druge organizacije
javnega sektorja. Vzorčna notranja pravila RedIT tudi niso namenjena nosilcem
javnih pooblastil ali izvajalcem javnih služb, čeprav so morda organizirani kot družba
ali kot fizična oseba, ki opravlja dejavnost. Prav tako pa vzorčna notranja pravila
RedIT nikakor niso namenjena in jih ne morejo prevzeti veliki poslovni sistemi. V
takih organizacijah lahko identificiramo bolj zapletene poslovne procese,
kompleksnejšo organizacijsko strukturo in razvejane sisteme povezav med različnimi
procesi, zato morajo seveda pripraviti svoja notranja pravila. Posebej poudarjamo,
da RedIT za podjetja ni primeren za podjetja, ki nastopajo kot ponudniki opreme ali
storitev e-hrambe.
3/20
2 VSEBINA NOTRANJIH PRAVIL
2.1 Notranja organizacija in osebje
Prvi vsebinski sklop notranjih pravil se nanaša na notranjo organizacijo podjetja, ki gradivo
hrani. Pri tem delu notranjih pravil je bistvenega pomena, da se formalno določijo osebe, ki
bodo udeležene pri postopku zajema in hrambe gradiva, ki se bo hranilo v skladu z notranjimi
pravili.
Osebam, ki bodo izvajale posamezne naloge glede upravljanja dokumentarnega gradiva v
digitalni obliki, je potrebno določiti vloge za vsakega izmed procesov hrambe. Procesi hrambe
so odvisni od izbire načina hrambe in potreb podjetja, načeloma pa se delijo na:

zajem gradiva v fizični ali digitalni obliki,

hrambo gradiva,

postopke uničenja gradiva,

vzdrževanje sistema za hrambo,

vzdrževanje samih notranjih pravil.
V tem delu podjetje torej za različne procese in podprocese določi posamezne vloge, definira
njihove odgovornosti, število in morebitne potrebe po usposobljenosti.
V mnogo primerih imajo podjetja notranjo organizacijo že razčlenjeno po vlogah, kar je
pogosto tudi formalno opredeljeno v različnih notranjih aktih (npr. akt o notranji organizaciji in
sistemizaciji). Nekatere procese se tako lahko razdeli med že obstoječe vloge, za druge pa je
potrebno ustvariti nove vloge in odgovornosti.
2.2 Upravljanje z dokumentarnim gradivom
Zelo pomemben sklop notranjih pravil se nanaša na upravljanje z dokumentarnim gradivom.
Varna in zanesljiva dolgoročna hramba gradiva v elektronski obliki je možna zgolj, če
zagotovimo dokumentiranost in nadzor nad celotnim življenjskim ciklom določenega gradiva.
Pri tem govorimo tako o fizični manipulaciji z dokumenti (npr. zajem, skeniranje, hramba na
nosilcih zapisa, uporabljenih tehničnih rešitvah itd.) kot tudi o samem postopku evidentiranja
in vodenja drugih podatkov o hranjenem gradivu. Elektronski zapisi so namreč ranljivi in zato
ne zagotavljajo avtentičnosti, celovitosti in nespremenljivosti vsebine že sami po sebi. Za
njihovo zagotovitev, kar je seveda pogoj za dokazno vrednost tako hranjenega gradiva, se je
potrebno zato poslužiti tehničnih in organizacijskih ukrepov.
Osnovni organizacijski ukrep je dobra urejenost poslovanja z vsem dokumentarnim gradivom.
Le z ustrezno vpeljanimi postopki se lahko gradivo spremlja skozi celoten proces zajema in
hrambe, s čemer se zagotovi sledljivost gradiva, sledljivost vseh sprememb gradiva in
sledljivost vseh zapisov o upravljanju z gradivom.
SPREJEMANJE GRADIVA
Notranja pravila morajo vsebovati določila o sprejemanju gradiva, kar pomeni, da morajo biti
vpeljani formalni postopki, ki določajo način sprejema gradiva, oblike gradiva, ki jih podjetje
sprejme, način sprejemanja gradiva in druge podrobnosti o sprejemanju gradiva. V tem delu
se opredeli tudi kako podjetje prejema pošto različnih oblik (papirno, elektronsko) in druge
vrste dokumentov, ki vstopijo v podjetje.
RAZVRŠČANJE (KLASIFICIRANJE) GRADIVA
Eden izmed pomembnejših postopkov pri upravljanju gradiva je njegovo razvrščanje. Podjetje
naj poskrbi, da bo vse prejeto gradivo razvrstilo glede na vrsto in pomen posamezne enote
gradiva. Z razvrstitvijo gradiva je povezan klasifikacijski načrt. Klasifikacijski načrt je vsebinski
4/20
seznam vseh vrst gradiva, ki ga podjetje prejema oziroma nastaja pri poslovanju podjetja in
se hrani. Glede na njegova poglavja se gradivo razvršča (klasificira), najpomembnejše pa je,
da se preko klasifikacijskega načrta gradivu določi tudi rok hrambe. Rok hrambe je seveda
odvisen od vrste gradiva – neko gradivo se lahko uniči dokaj hitro, drugo pa je zaradi pravnih
ali poslovnih zahtev potrebno hraniti določen čas, npr. 5 ali 10 let.
Vzorčna notranja pravila sistema RedIT vsebujejo tudi vzorčni klasifikacijski načrt z
informativnimi roki hrambe, ki ga podjetje lahko prilagodi svojim potrebam in dopolni povsod
tam, kjer je to označeno.
DODELJEVANJE (SIGNIRANJE) GRADIVA
Dodeljevanje ali signiranje gradiva pomeni, da se vsaka prejeta enota gradiva dodeli neki
notranji organizacijski enoti ali delovnem mestu v reševanje. Signiranje sicer izhaja iz
upravnega poslovanja, urejeno notranje poslovanje pa pomeni tudi, da ima podjetje urejen
postopek signiranja, ki temelji na signirnem načrtu (ta razčlenjuje vsa delovna mesta in
organizacijske enote v podjetju).
Vzorčna notranja pravila sistema RedIT vsebujejo tudi več vzorčnih signirnih načrtov, izmed
katerih podjetje izbere ustreznega, ga prilagodi svojim potrebam in dopolni povsod tam, kjer
je to označeno.
EVIDENTIRANJE GRADIVA IN EVIDENTIRANJE POSEBNIH VRST GRADIVA
Vse gradivo, ki ga podjetje prejme, nastane pri njegovem poslovanju in se hrani, je potrebno
evidentirati na vnaprej predviden način. V določilih o evidentiranju gradiva mora podjetje
predpisati način, kako gradivo evidentira, torej na kakšen način vodi evidenco gradiva.
Evidentiranje je pomembno tudi v povezavi z drugimi fazami upravljanja z gradivom, npr. s
pretvorbo ali s hrambo, kjer je pomembno, da se zajamejo in hranijo vsi metapodatki in s tem
ohrani sled za pretvorjenim ali hranjenim gradivom. Vzorčna notranja pravila sistema RedIT
vsebujejo tudi določbo, da se specifične vrste gradiva lahko evidentirajo tudi na drug način
(npr. v predpisanih računovodskih evidencah).
ODPRAVA GRADIVA
Notranja pravila morajo obsegati tudi postopke odprave gradiva, torej postopke upravljanja z
gradivom, ko zapušča podjetje. Pri tem je potrebno upoštevati, da podjetje odpremlja tako
gradivo v fizični kot gradivo v elektronski obliki, notranja pravila pa morajo določati tudi
postopke vročanja.
ZAJEM IN PRETVORBA GRADIVA
V tem delu se določijo formalni postopki in metode zajema in pretvorbe gradiva. Pri tem je
obseg odvisen od potreb podjetja in načina upravljanja z gradivom. Ta del vsebuje določbe o
postopkih zajema in pretvorbe dokumentarnega gradiva za vsako posamezno obliko gradiva
(elektronska ali fizična), odgovornost za izvajanje postopkov, določbe o oblikah zapisov, v
katere se gradivo pretvori, določbe o označevanju gradiva, določbe o kontrolah pravilnosti
zajema itd.
KRATKOROČNA HRAMBA GRADIVA, ODBIRANJE, PRETVORBA IN DOLGOROČNA
HRAMBA GRADIVA
Opredeliti je potrebno tudi kako se bo gradivo hranilo – v kakšnih oblikah zapisa, na kakšnih
nosilcih, kakšni metapodatki se bodo hranili z gradivom, kako bo zagotovljen prenos na nove
nosilce zapisa, pretvorba v nove oblike zapisa, morebitne določbe o hrambi elektronskih
podpisov ali časovnih žigov in njihovo obnavljanje in druge določbe, ki se nanašajo na samo
5/20
hrambo gradiva. V tem delu je opredeljeno tudi, kakšni metapodatki se gradivu dodajajo za
namene dolgoročne hrambe.
IZLOČANJE IN UNIČEVANJE GRADIVA
Na koncu življenjskega cikla je gradivo potrebno tudi uničiti. Postopki, odgovornosti in način
uničenja in izločanja gradiva so opredeljeni v tem poglavju.
2.3 Zakaj podjetje potrebuje sistem upravljanja
varovanja informacij (SUVI)?
Vse večja uporaba informacijsko-komunikacijske tehnologije ter vse bolj konkurenčno okolje, v
katerem poslujejo podjetja, poleg številnih drugih učinkov na poslovanje podjetij prinašata tudi
čedalje večjo dostopnost gradiva, ki vsebuje poslovno pomembne podatke, s tem pa tudi
njegovo večjo ogroženost. Pri poslovanju podjetja namreč nastaja gradivo, ki lahko vsebuje
osebne podatke, občutljive osebne podatke, poslovne skrivnosti, tajne podatke..., katerih
nepooblaščeno razkritje ali zloraba bi za podjetje lahko pomenila manjšo, večjo ali pa celo
katastrofalno poslovno škodo. Podjetje mora pred grožnjami, ki so lahko notranje ali zunanje,
namerne ali pa nudi nenamerne, seveda varovati vse svoje poslovno gradivo, še posebno
pozornost pa mora nameniti gradivu, ki vsebuje občutljive podatke.
Gradivo, ki podjetje sprejema ali pa nastaja pri njegovem poslovanju moramo v razmerah, ko
papir počasi izginja in se gradivo v čedalje večji meri pojavlja v digitalni obliki, varovati še bolj
kot kadarkoli doslej. Gradivo v digitalni obliki se hrani in obdeluje znotraj informacijskih
sistemov in izmenjuje s pomočjo sodobnih komunikacijskih sredstev. Elektronsko poslovanje,
ki se je razmahnilo s pojavom interneta, prinaša številne prednosti – hitrejša izmenjava
podatkov v elektronski obliki, možnost sklepanja različnih transakcij preko spleta, številne
možnosti za e-sodelovanje, e-izobraževanje, e-kadrovanje, lažje iskanje in še bi lahko
naštevali. Po drugi strani pa elektronsko poslovanje prinaša številne varnostne izzive, saj
odprtost sodobnih tehnologij prinaša tudi številne nevarnosti njihove zlorabe s strani tretjih
oseb.
Podjetje, ki ne zagotavlja informacijske varnosti, se tako lahko sooči z nepooblaščenim
dostopom do gradiva z občutljivimi podatki, njihovo zlorabo in morda celo izgubo,
nedostopnostjo storitev ali gradiva, zlorabo ali neprimerno uporabo drugih informacijskih virov,
ne-varnim načinom elektronskega poslovanja in hrambe gradiva, ki zopet lahko povzroči že
omenjena tveganja, z nevarnostmi, ki izhajajo iz nedefiniranih varnostnih vprašanj v razmerjih
z zunanjimi izvajalci, z neusklajenostjo s pravnimi zahtevami, zaradi katerih se lahko podjetje
v najslabšem primeru zaplete v sodne in druge postopke in lahko povzročijo celo izgubo ugleda
podjetja in zaupanja s strani njegovih strank.
Seveda pa mora podjetje varovati tudi gradivo na drugih nosilcih. Prav tako je izpostavljeno
gradivo v fizični obliki, ki se za potrebe izvajanja poslovnih procesov fotokopira, kroži po
podjetju, pošilja po pošti ipd.. Podjetje pa mora upoštevati, da se poslovno pomembni podatki
lahko pojavljajo tudi na drugih vrstah nosilcev, nenazadnje pa se veliko takšnih podatkov
izmenjuje tudi pri ustni komunikaciji. Vse to pomeni, da si morajo za zagotavljanje varnosti
prizadevati vsi delavci, saj je vsak od njih lahko šibki člen. Predvsem pa se mora k načrtnemu
zagotavljanju varovanja podatkov zavezati vodstvo in zagotoviti potrebna sredstva, da podjetje
načrtno vzpostavi sistem upravljanja varovanja informacij, ga implementira in vzdržuje.
Zahteve, kako varovati občutljive podatke, najdemo v več pravnih predpisih (npr. zakon o
varstvu osebnih podatkov, zakon o tajnih podatkih...), podjetja pa skladnost z zahtevami po
varovanju informacij zagotavljajo tudi z implementacijo mednarodno uveljavljenih standardov
varovanja informacij, uporabo varnostnih tehnologij... Bistveno je, da podjetje sistem
6/20
upravljanja varovanja informacij prilagodi značilnostim in specifikam lastnega poslovanja in
tako zagotovi za podjetje primerno razmerje dostopnosti, zaupljivosti in celovitosti. Bistveno
sestavino sistema upravljanja varovanja informacij predstavlja informacijska varnostna
politika, zavezanost k izpolnjevanju njenih določil in skrb za zagotavljanje ustreznosti določil
politike v razmerah spreminjajočega se okolja in poslovanja podjetja.
2.4 Kaj o informacijski varnosti pravijo predpisi?
Kar nekaj predpisov, ki neposredno ali posredno urejajo tudi vprašanja informacijske varnosti,
varne informacijske infrastrukture in varovanja podatkov je nastalo v zadnjih nekaj letih, nekaj
pa je bilo tudi sprememb obstoječih predpisov. Zakon o elektronskem poslovanju in
elektronskem podpisu (Ur. l. RS, št. 57/2003, 30/2001, 25/2004, 73/2004-ZN-C, 61/2006 –
ZEPT) in pripadajoča Uredba o pogojih za elektronsko poslovanje in elektronsko podpisovanje
(Ur. l. RS, št. 77/2000, 2/2001, 86/2006), Zakon o varstvu dokumentarnega in arhivskega
gradiva ter arhivih (Ur. l. RS, št. 30/2006) in pripadajoča Uredba o varstvu dokumentarnega in
arhivskega gradiva (Ur. l. RS, št. 86/2006), Zakon o varstvu osebnih podatkov (Ur. l. RS, št.
94/2007 – UPB1, v nadaljevanju: ZVOP-1), Zakon o elektronskih komunikacijah (Ur. l. RS, št.
43/2004, 86-2004-ZVOP-1, 129/2006, 102/2007-ZDRad), Zakon o tajnih podatkih (Ur. l. RS,
št. 50/2006 - UPB2) in pripadajoča Uredba o varovanju tajnih podatkov (Ur. l. RS, št. 74/2005)
in Zakon o elektronskem poslovanju na trgu (Ur. l. RS, št. 61/2006, 45/2008 - Z-Arbit ) so
samo nekateri izmed njih.
Omenjeni predpisi skupaj še z vrsto drugih tvorijo temelje za varno elektronsko poslovanje,
podpisovanje in takšno varno hrambo gradiva, ki bo na dolgi rok zagotavljala dostopnost
gradiva in možnost za njegovo kasnejšo uporabo. Prav tako je pravno urejena obdelava in
izmenjava občutljivih podatkov, ki jih je potrebno še posebej varovati pred nepooblaščenim
razkritjem, kopiranjem, izgubo... Podjetje mora biti zato pri vzpostavljanju sistema
informacijske varnosti pozorno na kar nekaj zakonskih obvez, ki jih mora smiselno vgraditi v
svoj sistem ter jih v skladu s spremembami zakonodaje na eni in sprememb v poslovanju
podjetja na drugi strani smiselno vgrajevati v svoj sistem. Na področju informacijske varnosti
pa poleg pravnih predpisov obstoji še vrsta standardov, priporočil, dobrih praks..., ki jim mora
podjetje prav tako slediti in jih sprotno implementirati v svoj sistem. Zahteve, ki prav tako
posegajo na področje informacijske varnosti pa so lahko vezane tudi na specifične dejavnosti
ali načine poslovanja, zato se mora podjetje vprašati tudi, ali takšne posebne zahteve obstojijo
in jih implementirati v svoj sistem.
2.5 Standardi varovanja informacij
Na področju standardov informacijske varnosti so spremembe precej pogoste. Trenutno najbolj
aktualen mednarodni standard informacijske varnosti je standard ISO 27001 (Information
Security Management Systems - requirements specification), ki je bil sprejet v letu 2005 in
nadomešča do sedaj bolj poznani britanski standard BS 7799-2.
Pripravljavci standarda so kar precej truda vložili tudi v zagotavljanje sinhronizacije standarda
ISO 27001 z sorodnimi ISO standardi. Tako je ISO 27001 sinhroniziran npr. z ISO 9001 in ISO
14001. Lahko bi rekli, da je ISO 27001 nadgradnja omenjenih upravljavskih standardov, saj
uporablja enake postopke uvedbe in se povezuje z njimi. Če ima podjetje že pridobljen
standard ISO 9001 ali ISO 14001 oziroma procese obvladuje v skladu s temi standardi, je to
lahko dobro izhodišče pri vpeljavi ISO 27001.
7/20
Informacijski varnosti je posvečena serija standardov ISO 27000. Priporočila za implementacijo
zahtev, cilje nadzorstev in nadzorstva vsebuje ISO 27002, ki je bil objavljen letos. Prav tako je
bil pred kratkim objavljen ISO 27006, ki postavlja smernice in zahteve za certifikacijska telesa.
V pripravi pa je še vrsta standardov te serije, npr. (ISO 27003, ISO 27004, ISO 27005, ISO
27007, ISO 27011...).
PLAN-DO-CHECK-ACT MODEL
V ISO 27001 je še bolj kot v dosedanjih standardih poudarjen Plan-Do-Check-Act model (PDCA
model). Gre za dinamičen model, ki ga je mogoče aplicirati na katerikoli proces upravljanja
varovanja informacij ali sistema kot celote, ali, nenazadnje, katerega koli upravljavskega
procesa, in sestoji iz štirih, vzročno-posledičnih aktivnosti:
Slika 3.1: PDCA model (Demingov krog)
načrtuj (plan) – odkrivanje in analiza
problemov ter načrtovanje potrebnih ukrepov
izvedi (do) – izvedba načrtovanih ukrepov
preveri (check) – nadzor, ali izvedba sledi
načrtovanem
ukrepaj (act) – preverjanje, ali so ukrepi
ustrezni in v primeru, da se pojavijo
odstopanja, ukrepanje, da se zopet načrtujejo
novi, primernejši ukrepi
Bistvo takšnega pristopa je, da z njim dosegamo stalne izboljšave procesov in sistem stalno
prilagajamo spremenjenim potrebam podjetja, saj je izvedba vsake aktivnosti povod za
začetek naslednje.
ISO 27001 zagotavljanje informacijske varnosti obravnava predvsem kot upravljavski in niti ne
kot tehnološki proces. Vsebuje zahteve in priporočila za vzpostavitev celovitega upravljanja
sistema varovanja informacij, njegovo uvedbo, izvajanje in delovanje, ter spremljanje,
vzdrževanje in izboljševanje. Kakšen pa ta sistem upravljanja varovanja informacij v nekem
podjetju bo, pa je odvisno predvsem od potreb podjetja – velikosti, organizacije, poslovnih
potreb, gradiva, ki ga podjetje ustvarja pri svojem poslovanju in podobno – vse to skupaj z
ugotovitvami analize vseh tistih tveganj, s katerimi se podjetje sooča, določa varnostne
potrebe podjetja, ki se lahko od podjetja do podjetja zelo razlikujejo. Zato standard ne
predpisuje niti rešitev niti tehnologij, temveč le zahteve, ki jih podjetje glede na svoje potrebe
implementira v lastni sistem upravljanja varovanja informacij.
ISO 27001 torej podjetju pomaga na sistematičen način vzpostaviti varovanje vseh tistih
informacij, ki so za podjetje pomembne, ne glede na to, v kakšni obliki se nahajajo in kaj
podjetje z njimi počne (jih obdeluje, posreduje, hrani...). K temu se morajo v prvi vrsti
zavezati vsi vodilni v podjetju. Podjetje bo, če želi doseči skladnost z ISO 27001, moralo izvesti
8/20
številne aktivnosti (popis informacijskih virov, njihova klasifikacija, identifikacija groženj, ocena
in analiza tveganj, načrtovanje ukrepov, dokumentiranje postopkov...). Izobraziti bo moralo
svoje delavce, jim vzbuditi zavedanje o pomenu informacijske varnosti in jih stalno
izobraževati. Podjetje bo moralo urediti razmerja z zunanjimi izvajalci in z vsemi tistimi, ki
prihajajo v stik z informacijskim sistemom ali potrebujejo dostop do zbirk gradiva podjetja.
Nenazadnje pa bo moralo podjetje osvojiti pristop nenehnega izboljševanja in delovati
proaktivno v smislu nenehnega planiranja, izvajanja, preverjanja in ukrepanja.
Seveda pa ISO 27001 še zdaleč ni edini standard, ki se uporablja na področju varovanja
informacij. ISO 15408, ISO 18044, PAS 56 so samo nekateri izmed standardov, ki se prav tako
uporabljajo na področju varovanja informacij, relevantni so tudi predpisi (Basel II, SOX, HIPPA,
…) in nekatere metodologije (COBIT, COSO ERM, …), nenazadnje pa je na voljo še vrsta orodij
(Poslovni ščit, CRAMM,…). Se pa na ISO 27001 opirajo tudi Enotne tehnološke zahteve za
hrambo, zato se nanj nekoliko bolj opira tudi ta obrazložitev.
2.6 Kaj pa dobre prakse?
Med bolj znanimi dobrimi praksami je zagotovo ITIL (Information Technology Infrastructure
Library), ki je tudi lahko dobra osnova za zagotavljanje varnosti pri upravljanju z IT. Gre za
zbirko, ki vsebuje opise, napotke in priporočila za upravljanje s storitvami, ki so povezane z
uporabo informacijske tehnologije. Procesi znotraj izvajanja informacijskih storitev se ponekod
obravnavajo tudi iz varnostnih vidikov, zato so takšne dobre prakse lahko dobra osnova za
nadgradnjo za uvajanje varnostnih postopkov in kontrol, kot sledijo npr. iz standardov
informacijske varnosti. Seveda pa so lahko prav tako koristne in uporabne še številne druge
dobre prakse, ki jih na tem mestu ne omenjamo.
2.7 Kako se lotiti uvajanja sistema upravljanja
varovanja informacij?
Ko se podjetja odločajo o uvedbi celovitega sistema varovanja, se običajno oprejo ravno na
standard ISO 27001. Pri tem se podjetje seveda mora zavedati, da bo potrebno izvesti vrsto
aktivnosti, ki so zelo kompleksne in tudi strokovno precej zahtevne.
Podjetjem, ki bodo sistem upravljanja varovanja informacij vzpostavila na osnovi prevzema
vzorčnih notranjih pravil RedIT, nekaterih potrebnih korakov ne bo potrebno izvesti, saj smo jih
zanje že izvedli mi.
Informacijska varnostna politika, ki je del sistema RedIT za podjetja, sicer ne ustreza vsem
zahtevam standarda ISO 27001, vsebuje pa vse bistvene sestavine. To tudi pomeni, da se
podjetje zgolj s prevzemom informacijske varnostne politike v sklopu sistem RedIT ne bo
moglo certificirati po ISO 27001. Bo pa podjetje s prevzemom vzorčnih notranjih pravil in
njihove implementacije v poslovanje podjetja izpolnjevalo zahteve, ki se nanašajo na
informacijsko varnost v kontekstu izvajanja varnega zajema in hrambe gradiva.
Podjetje, ki želi uvesti sistem upravljanja varovanja informacij po ISO 27001 mora izvesti
naslednje aktivnosti, pri čemer je najbolj smiselno, da jih zastavi kot projekt:






načrtovanje projekta, odobritev vodstva in vzpostavitev projekta;
določitev obsega sistema varovanja informacij;
posnetek obstoječega stanja in t.i. »gap« analiza (analiza vrzeli);
analiza tveganj;
priprava vseh potrebnih dokumentov (informacijska varnostna politika in podrejeni
akti);
izobraževanje in usposabljanje delavcev;
9/20


implementacija načrtovanih varnostnih ukrepov;
izvajanje notranjih presoj in varnostnih pregledov.
NAČRTOVANJE PROJEKTA, ODOBRITEV VODSTVA IN VZPOSTAVITEV PROJEKTA
Oseba, ki je odgovorna za pripravo načrta projekta, ugotovi, katere aktivnosti je potrebno
izvesti in na osnovi tega določi faze projekta. Določi, kdaj naj se posamezna faza prične in
konča in ugotovi, kako so aktivnosti povezane med seboj (ali se lahko izvajajo vzporedno, ali
mora biti neka aktivnost najprej zaključena, da se lahko začne druga ipd.). Načrt projekta
pripravi v obliki, da je tekom izvajanja projekta mogoče spremljati, ali se projekt izvaja po
načrtu. Načrt projekta se prestavi vodstvu in pridobi potrditev vodstva. Po pridobitvi odobritve
vodstva se izvedejo aktivnosti formalne vzpostavitve projekta v skladu z uporabljeno
metodologijo vodenja projektov v podjetju.
Podjetjem, ki bodo prevzela vzorčna notranja pravila RedIT, teh aktivnosti ni potrebno izvesti,
saj smo jih večinoma že izvedli mi. Vodstvo mora odobriti prevzem vzorčnih notranjih pravil in
prevzeti odgovornost za njihovo implementacijo v poslovanje. Podjetje pripravi načrt, ki
obsega pripravo podrejenih aktov, implementacije in izobraževanja svojih delavcev.
DOLOČITEV OBSEGA SISTEMA VAROVANJA INFORMACIJ
Obseg sistema upravljanja varovanja informacij določa vključenost informacijskih virov
podjetja v sistem. Podjetje mora torej določiti, kateri informacijski viri spadajo v obseg sistema
(informacijska sredstva, IKT storitve in oskrba, poslovni objekti, vhodno-izhodne točke,
omrežje, ljudje...).
Podjetjem, ki bodo prevzela vzorčna notranja pravila RedIT teh aktivnosti ni potrebno izvesti,
saj smo jih že izvedli mi. Podjetje le dopolni ustrezen del informacijske varnostne politike na
posebej označenih mestih s konkretnimi podatki o svojih virih.
POSNETEK OBSTOJEČEGA STANJA IN T.I. »GAP« ANALIZA (ANALIZA VRZELI)
Podjetje mora ugotoviti, kakšno je trenutno stanje informacijske varnosti v podjetju (kakšna je
trenutna organizacija varovanja, kakšni dokumenti že obstajajo, kakšni postopki in ukrepi so
že vzpostavljeni ipd.) in kje in v kolikšni meri obstoječe stanje odstopa od zahtev standarda.
Podjetje se bo lotilo tako, da bo najprej popisalo vse informacijske vire, jih varnostno
klasificiralo in določilo njihove skrbnike. Projektna skupina bo ugotavljala, kakšna je trenutna
organizacija varovanja informacij v podjetju, kakšne so varnostne potrebe podjetja, kakšni
ukrepi in postopki so že uveljavljeni ipd. in ugotovila, kakšne so varnostne zahteve podjetja.
Rezultate posnetka obstoječega stanja je potrebno primerjati z zahtevami standarda in
ugotoviti, kje in v kolikšni meri obstoječe stanje v podjetju odstopa od zahtev standarda.
Ugotovitve je potrebno dokumentirati v posebnem poročilu, ki naj obsega tudi priporočila za
odpravo neskladij in bo osnova za nadaljnje korake.
Podjetjem, ki bodo prevzela vzorčna notranja pravila RedIT tudi teh aktivnosti ni potrebno
izvesti, saj smo jih že izvedli mi.
ANALIZA TVEGANJ
Ko podjetje ugotovi, katere informacijske vire pravzaprav ima in njihovo pomembnost oziroma
kritičnost, v okviru analize tveganj ugotavlja, katere so potencialne grožnje, ki jih lahko
ogrozijo in ugotavlja, kakšna so tveganja. Na podlagi izvedene analize tveganj mora vodstvo
podjetja odločiti, kaj je za podjetje sprejemljiva raven tveganja in kakšni so primerni ukrepi.
10/20
KAJ PRAVZAPRAV PREDSTAVLJA TVEGANJA ZA PODJETJE?
Tveganje za podjetje lahko predstavlja grožnja, ki lahko potencialno škodi informacijskemu
sistemu oziroma gradivu, kadar obstaja verjetnost, da se ta grožnja uresniči. Tveganja sicer
lahko obravnavamo z različnih vidikov, vendar nas tu zanimajo predvsem tveganja, ki lahko
imajo za podjetje negativne posledice.
Za podjetje je seveda bistveno, da identificirana tveganja obvladuje. Pri tem je zelo
pomembno, da podjetje prevzame ustrezno metodologijo ocenjevanja in analize tveganj ter v
procesu izvajanja ocene oziroma analize določi ustrezne zaščitne ukrepe, s katerimi zmanjša
tveganja na raven, ki je za podjetje sprejemljiva. Samo vodstvo lahko določi, kakšen nivo
tveganja je za podjetje sprejemljiv, pri tem pa se mora zavedati, da seveda nobena skrajnost
ni dobra – sprejemanje premajhnega tveganja je lahko enako neuspešno za podjetje kot
dopuščanje prevelikega (nenadzorovanega) tveganja. Upravljanje tveganj pa ne pomeni le
njihovega obvladovanja. Cilj upravljanja tveganj je namreč najti takšne varnostne ukrepe kot
odgovore na tveganja, da bo razmerje med potencialnimi stroški in koristmi za podjetje kar
najbolj ugodno ali drugače – cilj je zagotoviti takšne ukrepe, ki so sorazmerni s tveganji in
hkrati tudi najbolj poslovno smiselni.
Upravljanje s tveganji ni omejeno le na kontekst zagotavljanja informacijske varnosti – ravno
nasprotno – sodoben pogled na upravljanje s tveganji je širši, saj gre za učinkovito orodje za
povečanje konkurenčnosti, uspešnosti podjetja...
Podjetjem, ki bodo prevzela vzorčna notranja pravila RedIT, tudi teh aktivnosti ni potrebno
izvesti, saj smo jih že izvedli mi.
PRIPRAVA VSEH POTREBNIH DOKUMENTOV (INFORMACIJSKA VARNOSTNA
POLITIKA IN PODREJENI AKTI)
Na podlagi ugotovitev posnetka obstoječega stanja in analize vrzeli, kjer podjetje ugotavlja,
kakšne so varnostne zahteve podjetja, in na podlagi izvedene analize tveganj, bo podjetje
opredelilo varnostne ukrepe, s katerimi bo podjetje obvladovalo identificirana tveganja. Pri tem
se bo opiralo na nadzorstva, zapisana v standardu, kar bo podjetju omogočilo, da sistem
upravljanja varovanja informacij zastavi celovito.
Izbrane varnostne postopke in ukrepe bo podjetje zapisalo v informacijsko varnostno politiko.
Običajno se vsa pravila in postopki dokumentirajo hierarhično in zapišejo v več dokumentih.
Priporočeno je, da se vzpostavi tri-nivojska struktura dokumentov in sicer:



krovna varnostna politika, ki vsebuje načelne usmeritve v zvezi z varovanjem
informacij, se dotika varnostnih vprašanj na vseh področjih varovanja organizacije, naj
pa ne bi bila vezana na uporabljene tehnologije; gre za temeljni dokument, ki
predstavlja zavezanost vodstva k varovanju informacij in mora biti s strani vodstva tudi
formalno potrjen kot interni akt podjetja; velja za vse uporabnike, tudi za tretje osebe;
velja lahko tudi zunaj poslovnih prostorov in poslovnih ur;
področne politike, ki obravnavajo posamezna področja, prepoznana kot kritična in so še
vedno neodvisne od uporabljenih tehnologij; primeri takšnih politik so npr. politika
fizično-tehničnega varovanja, politika elektronske pošte in interneta, politika zaščite
delovnega mesta, politika izdelovanja, preverjanja in hranjenja varnostnih kopij,
politika naročanja storitev pri zunanjih izvajalcih, politika uporabe prenosne
komunikacijske in računalniške opreme, politika upravljanja in nadzora omrežja in
podobno.
operativna navodila za izvajanja s podrobneje določenimi postopki izvajanja varnostnih
ukrepov; ti dokumenti so najbolj podvrženi spremembam, ker vključujejo konkretna
navodila, ki so vezana tudi na uporabljene tehnologije, delavce in podobno.
11/20
Podjetje želi z varnostno politiko doseči zaščito vsebin gradiva v smislu zagotavljanja zaupnosti
in tajnosti, celovitosti, ter dostopnosti in razpoložljivosti, dolgoročno uspešno, učinkovito in
varno poslovanje in zadovoljevanje potreb svojih kupcev oziroma naročnikov, obvladovanje
poslovnih in operativnih tveganj, s katerimi se omejuje poslovna škoda, ki bi lahko nastala, ter
skladnost poslovanja s predpisi in standardi. Krovna varnostna politika bo zato vsebovala
naslednje sestavine:









informacijska varnost je prepoznana kot kritično poslovno področje;
opredeljeni so cilji sistema upravljana varovanja informacij, ki so povezani s poslovnimi
cilji in strategijo podjetja;
izjavo o zavezanosti vodstva in njegovi podpori uveljavitvi sistema varovanja
informacij;
opredelitev obsega sistema, ki vključuje tudi opis kritičnih področij in procesov;
določila o upravljanju z dokumentacijo in navedbo področnih politik.
opredelitev metodologije za izvajanje analize tveganj;
naloge in odgovornosti posameznih organizacijskih enot v zvezi izvajanjem varovanja
ter zadolžitve in pooblastila za varovanje informacij,
usklajenost, možna odstopanja, opustitve in izjeme v varnostni politiki,
določila o notranjem in zunanjem nadzoru.
Vse gradivo, ki je nastalo v procesu vzpostavljanja sistema upravljanja varovanja informacij,
podjetje lahko zaokroži s t.i. poslovnikom varovanja, ki obsega vse tri nivoje dokumentacije
(informacijska varnostna politika, podrejene politike in operativna navodila) in vse referenčne
dokumente.
Informacijsko varnostno politiko smo pripravili v obliki enotnega dokumenta, ki združuje
krovno in področne politike. Podjetje, ki bo prevzelo vzorčna notranja pravila RedIT, sestavi
informacijsko varnostno politiki na podlagi ustreznih delov (nekateri deli so posebej prilagojeni
za majhna podjetja, nekateri za podjetja, ki poslujejo v skladu z ISO 9001...) ter jo na
ustreznih, posebej označenih mestih dopolnijo z manjkajočimi podatki (predvsem gre za nazive
delovnih mest in organizacijskih enot). Podjetje pripravi tudi podrejene akte informacijske
varnostne politike za dele, ki zahtevajo operativna navodila.
USPOSABLJANJE DELAVCEV
Podjetje mora zagotoviti usposabljanje za izvajanje varnostnih postopkov in ukrepov ter dvig
zavedanja o pomembnosti informacijske varnosti že tekom projekta, od njegovega začetka do
implementacije. Pri tem se podjetje lahko poslužuje različnih tehnik, ključno pa je, da vsak
delavec v osnovi pozna celoten sistem in da mu je njegova vloga pri zagotavljanju varovanja
informacij poznana in jasna.
Usposabljanje delavcev pa podjetja, ki bodo prevzela vzorčna notranja pravila RedIT, seveda
morajo izvesti. S temi aktivnostmi naj podjetje prične čim prej, vsekakor pa pred
implementacijo ukrepov, zapisanih v informacijski varnostni politiki.
IMPLEMENTACIJA NAČRTOVANIH VARNOSTNIH UKREPOV
Implementacija izbranih varnostnih ukrepov in postopkov v podjetju je seveda najbistvenejši
del celotnega projekta. Podjetje mora implementirati številne organizacijske in tehnične ukrepe
in odpraviti neskladnost z zahtevami standarda, ugotovljene v analizi vrzeli. S tem so seveda
neločljivo povezani tudi stroški.
Gre za bistveno aktivnost, ki jo mora seveda izvesti tudi podjetje, ki prevzame vzorčna
notranja pravila sistema RedIT.
12/20
IZVAJANJE NOTRANJIH PRESOJ IN VARNOSTNIH PREGLEDOV
Končan projekt je v resnici šele začetek stalnega izboljševanja sistema in njegovega
prilagajanja spreminjajočim se varnostnim zahtevam podjetja. Certificiranje po ISO 27001 je
lahko zaključna faza projekta, vendar se s tem konča le projekt. Sistem je in mora ostati živ,
zato mora podjetje stalno opazovati svoje okolje, prepoznavati nova tveganja in jih
obvladovati, redno izobraževati delavce, skrbeti za usklajenost s predpisi in spremembami
standardov ter izvajati notranje, po potrebi pa tudi zunanje presoje sistema.
Podjetje, ki prevzame vzorčna notranja pravila sistema RedIT, se, kot rečeno, samo na osnovi
prevzema vzorčnih notranjih pravil še ne bo moglo certificirati po ISO 27001. Informacijska
varnostna politika sicer vsebuje vse bistvene dele po standardu, vendar pa je prilagojena
predvsem zahtevam, ki se nanašajo na hrambo – torej zahtevam Zakona o varstvu
dokumentarnega in arhivskega gradiva ter arhivih, Uredbe o varstvu dokumentarnega in
arhivskega gradiva ter Enotnih tehnoloških zahtev.
Podjetje mora določiti odgovorno osebo, ki skrbi za to, da so notranja pravila kot celota, s tem
pa tudi informacijska varnostna politika, skladna s potrebami podjetja, zakonodaje, hkrati pa
spremljati tudi, ali so morda na voljo novejše različice sistema RedIT in jih po potrebi in v
skladu z navodili izdajatelja vzorčnih notranjih pravil in Arhiva Republike Slovenije smiselno
vključevati v lastna notranja pravila. Podjetje pa mora seveda vzpostaviti tudi notranji in po
potrebi zunanji nadzor v skladu z določili notranjih pravil.
2.8 Na kakšen način podjetje zagotavlja
informacijsko varnost?
S čedalje večjim obsegom elektronskih načinov poslovanja, ki jih omogočajo sodobne
informacijsko-komunikacijske tehnologije, podjetja elektronsko poslujejo s svojimi strankami,
partnerji, dobavitelji, državo..., zato se vprašanja zagotavljanja primernega nivoja varnosti
pojavljajo v različnih kontekstih. Ne glede na to, s katerega vidika gledamo na informacijsko
varnost, so kriteriji za zagotavljanje le-te vedno enaki. Učinkovita informacijska varnost bo
zagotavljala ohranitev celovitosti, razpoložljivosti (in dostopnosti) ter zaupnosti (in tajnosti)
vsebine gradiva.
Pri celovitosti gre predvsem za zagotavljanje nespremenljivosti in integralnosti, ukrepi
varovanja pa morajo zagotoviti varovanje vsebine pred nepooblaščenimi spremembami ter
zagotavljanje popolnosti in pravilnosti teh vsebin.
Razpoložljivost oziroma dostopnost se nanaša na zahtevo, da mora biti gradivo na razpolago
vsem pooblaščenim uporabnikom. To pomeni, da morajo ukrepi varovanja zagotavljati
varovanje informacijskega sistema pred prekinitvami v delovanju ter zagotavljati, da je gradivo
pooblaščenim uporabnikom na voljo vedno takrat, ko ga potrebujejo, na ustrezen način.
Pri zaupnosti in tajnosti pa gre za zagotavljanje varnosti v smislu, da so občutljive vsebine
dostopne le pooblaščenim uporabnikom, zato se morajo ukrepi varovanja nanašati predvsem
na varovanje občutljivih vsebin pred razkritjem nepooblaščenim osebam.
Grožnje, ki za podjetje lahko predstavljajo tveganja, se pojavljajo v različnih oblikah. Okoljske
in naravne grožnje izvirajo iz narave (poplave, potresi, požari, udar strele...), druge grožnje
(npr. kraja, industrijska sabotaža, namerno ali nenamerno poškodovanje, povzročitev požara
ali izliva vode iz malomarnosti...) pa so povzročene s strani človeka. Vse več je naravnih
nesreč, kriminala, načrtnih napadov na informacijske sisteme in nenazadnje, tudi terorističnih
napadov, zato tveganja postajajo čedalje bolj kompleksna in težje obvladljiva, kar od podjetij
zahteva, da se informacijske varnosti lotevajo celovito. To pa pomeni, da bo podjetje, ki želi
vzpostaviti celovit sistem upravljanja varovanja informacij poleg tehnično-tehnoloških ukrepov
13/20
varovanja, ki velikokrat niso zadostno jamstvo za varnost pred vsemi tveganji, te dopolnjevalo
z organizacijskimi ukrepi.
Tehnično-tehnološki ukrepi, ki jih bo podjetje uvedlo glede na ugotovitve analize tveganj, so
povezani z varno informacijsko infrastrukturo (požarne pregrade, navidezna zasebna omrežja
(VPN) , sistemi za nadzor dostopov do sistemov in omrežij, PKI rešitve, sistemi za odkrivanje
in preprečevanje vdorov (IDS sistemi ), protivirusna zaščita...), izvajanjem varnostnih
postopkov (varnostno kopiranje (backup), zagotavljanje neprekinjenega poslovanja...),
uvajanjem sistemov kontrole dostopa (video nadzor, dostopne kartice, biometrija, alarmi...) in
podobno.
Organizacijski ukrepi pa se nanašajo predvsem na sprejem ustreznih načel varovanja, ki so
dokumentirana in dostopna vsem uporabnikom (informacijsko varnostna politika in podrejeni
akti...), prilagoditev organiziranosti podjetja (uvajanje funkcije varnostnega inženirja,
varnostnega foruma, jasna določitev in razmejitev odgovornosti in nalog zagotavljanja
informacijske varnosti...), prilagoditev obstoječih postopkov in uvajanje novih postopkov
(vgraditev načel varnosti v obstoječe postopke, uvajanje postopkov zagotavljanja varnosti
(npr. upravljanje z varnostnimi dogodki)...), stalno dvigovanje ravni zavedanja o pomembnosti
informacijske varnosti z izobraževanjem in podobno.
Splet organizacijskih in tehnično-tehnoloških ukrepov mora odgovarjati varnostnim zahtevam
podjetja, ki morajo biti usklajene z njegovimi poslovnimi cilji. Ukrepi ne smejo prekomerno
oteževati uporabe s strani uporabnikov in morajo biti vedno sorazmerni verjetnosti nastanka
grožnje in pomembnosti informacijskega vira. Seveda pa bo podjetje pri uvajanju ukrepov
varovanja upoštevalo tudi dejavnike učinkovitosti (ekonomski vidiki kot npr. cena, optimalna
izraba informacijskih virov...), dejavnike uspešnosti (uporabnost, ustreznost...) in podobno.
2.9 Organizacija varovanja informacij
DOLŽNOSTI IN ODGOVORNOSTI VODSTVA
Kot že rečeno, je pri izvajanju varovanja informacij za podjetje bistveno, da se vodstvo zaveda
pomembnosti varovanja informacij, ga v celoti podpira ter v ta namen zagotavlja vse potrebne
vire in prevzema odgovornost za izvajanje.
DOLŽNOSTI IN ODGOVORNOSTI UPORABNIKOV
Pri izvajanju varovanja informacij pa je bistveno tudi, da so poslovni procesi in postopki
izvajanja varovanja informacij dobro definirani in da so jasno določene odgovornosti za
izvajanje varnostnih postopkov tako s strani delavcev podjetja kot tudi drugih, ki prihajajo v
stik z informacijskimi viri podjetja (pogodbeni sodelavci, zunanji izvajalci). Vsak delavec se
mora zavedati, da je za zagotavljanje varnosti odgovoren prav vsak in ključnega pomena je,
da podjetje zagotavlja redno in ustrezno izobraževanje in usposabljanje za vse uporabnike.
Za varnost je v organizaciji odgovoren prav vsak posameznik. Zato mora organizacija vsem
zaposlenim, po potrebi pa tudi zunanjim uporabnikom, zagotoviti ustrezno izobraževanje in
usposabljanje za zagotavljanje le-te.
Informacijska varnostna politika in podrejeni akti bodo tako poleg splošnih načel in navodil
izvajanja varnostnih postopkov vsebovali tudi konkretna navodila za izvajanje. Vsakemu
uporabniku mora biti poznana njegova vloga in odgovornost za zagotavljanje informacijske
varnosti v podjetju. Hkrati pa morajo biti vloge in odgovornosti dokumentirane v informacijski
varnostni politiki, aktu o notranji organizaciji in sistemizaciji delovnih mest, nenazadnje tudi v
14/20
pogodbah o zaposlitvi in drugih vrstah pogodb. V teh dokumentih je potrebno jasno opredeliti
vloge in odgovornosti pri zagotavljanju informacijske varnosti, po potrebi pa se v te
dokumente vključijo tudi natančnejša določila glede odgovornosti za posamezna informacijska
sredstva, varnostne postopke in podobno.
DOLŽNOSTI IN ODGOVORNOSTI VARNOSTNEGA FORUMA
Večja podjetja bodo imenovala tudi skupino za informacijsko varnost (t. i. varnostni forum), ki
jo bodo sestavljali delavci z različnih področij poslovanja podjetja, kar bo zagotovilo boljše
usklajevanje pri izvajanju varnostnih postopkov in izvajanju nadzora ter hkrati tudi vidno
podporo za uvedbo delovanja.
Tipične naloge, ki jih izvaja varnostni forum so povezane z določanjem vlog in odgovornosti
posameznih delavcev za izvajanje varnostnih postopkov, z določanjem metodologij in
postopkov varovanja informacij, z zagotavljanjem, da so postopki varovanja ob spremembah v
organizaciji (npr. novi sistemi, spremembe v informacijski infrastrukturi, nove storitve) še
vedno ustrezni, s spremljanjem varnostnih dogodkov in usklajevanjem varnostnih pobud
delavcev, s promoviranjem varnosti in povečevanjem razumevanja pomena varovanja ter
zagotavljanjem, da se varnostni vidiki vključujejo tudi v postopke načrtovanja in strateškega
načrtovanja podjetja in podobno. Manjša podjetja bodo takšno skupino imenovala po
kadrovskih zmožnostih, oziroma bodo odgovornost za izvajanje teh nalog dodelila
posamezniku.
Bistvenega pomena je, da je v podjetju dovolj znanja s področja informacijske varnosti, in da
vodstvo zagotavlja sredstva za pridobivanje novih znanj delavcev. Smiselno je, da podjetje
vzdržuje tudi odnose z drugimi podjetji in organizacijami (npr. ponudniki informacijskokomunikacijske opreme in storitev) in izmenjuje znanja s strokovnjaki od drugod. Tako bo
podjetje lažje sledilo novim trendom, dobrim praksam in zagotovilo primerno ukrepanje ob
varnostnih dogodkih.
ZAKAJ JE POTREBNO LOČEVANJE NALOG?
Dejstvo je, da tveganje za podjetje predstavlja tudi možnost zlorabe ali drugačne vrste
ogrožanja informacijske varnosti s strani lastnih delavcev. Podjetje to tveganje zmanjša z
ločevanjem nalog in odgovornosti in sicer tako, da nekatere naloge opravljajo različni ljudje.
Priporočljivo je ločevanje nalog varovanja sistema, vodenja varovanja, upravljanja z
omrežjem... posebej bistveno pa je, da se zagotovi ločevanje nalog povsod tam, kjer bi lahko
posameznik neopaženo kompromitiral ali zlorabil informacije oziroma gradiva, do katerih ima
dostop.
V mikro in majhnih podjetjih bo zagotavljanje ločevanja nalog težje zaradi pomanjkanja kadra
z IT znanji. V teh primerih podjetja ločevanje nalog zagotavljajo s pomočjo zunanjih izvajalcev.
Odgovornosti posameznih delavcev mora podjetje jasno določiti. Bistveno je, da so
odgovornosti jasne tudi v primerih, ko tisti, ki je odgovoren za izvedbo neke naloge, izvedbo
nalogo delegira. Odgovornost za izvedbo naloge se seveda v tem primeru ne prenese na
tistega, ki nalogo izvede. Sicer pa je potrebno pri določanju odgovornosti jasno opredeliti tudi,
za katera področja je odgovoren posamezen vodja; v ta namen je potrebno opredeliti vsa
sredstva in varnostne procese, ki so povezani z določenim informacijskim sistemom, zagotoviti,
da so odgovornosti osebe, ki nosi odgovornost za varnost, dokumentirane in formalno potrjene
s strani vodstva podjetja in da so jasno določene in dokumentirane tudi ravni pooblastil.
15/20
VARNOSTNA POLITIKA
Prvo poglavje standarda ISO 27001 je namenjeno informacijski varnostni politiki. Bistvena
zahteva standarda namreč je, da podjetje vzpostavi sistem upravljanja varovanja informacij, ki
je dokumentiran. V informacijski varnostni politiki so tako zapisani ukrepi varovanja,
dokumentiranost pa naj bi prispevala k boljši uveljavitvi v praksi, saj naj bi vodstvo tudi s tem
izrazilo svojo podporo uveljavitvi sistema in lastno predanost varovanju informacij.
Informacijska varnostna politika mora tudi vsebovati izjavo o zavezanosti vodstva, biti pa mora
tudi sprejeta kot interni, zavezujoč akt s strani vodstva. Ključno je, da so z njo seznanjeni vsi
delavci, zato jim mora biti vedno na primeren način dostopna.
Standard zahteva tudi, da je informacijska varnostna politika redno pregledovana, posebej pa
v primerih, ko se pojavijo spremembe v podjetju, da se zagotovi njena ustreznost in
primernost varnostnim potrebam podjetja.
ORGANIZACIJA INFORMACIJSKE VARNOSTI
Odgovornosti za zagotavljanje varnosti morajo biti jasno definirane, zato je v standardu
poseben poudarek dan dodeljevanju odgovornosti, ki vključuje tudi podpis izjave o zaupnosti.
V tem delu so podane tudi zahteve za zunanje izvajalce, ki se tako ali drugače vključujejo v
poslovne procese podjetja, kar za podjetje lahko pomeni tveganja. Standard v tem delu
opozarja tudi na vidik nabave informacijskih sredstev – nova sredstva naj bi se nabavljala
samo z odobritvijo vodstva. Standard pa v tem delu priporoča še neodvisne redne zunanje
preglede informacijske varnosti.
UPRAVLJANJE S SREDSTVI
Podjetje mora identificirati vsa pomembna informacijska sredstva, oziroma sredstva, povezana
z nekim informacijskim sistemom v podjetju, jih popisati, varnostno klasificirati in določiti
odgovorne osebe za posamezna sredstva (imenovati skrbnike sredstev). Pri tem podjetje ne
sme spregledati, da informacijska sredstva predstavljajo tudi pomembna gradiva, zaposleni,
ugled podjetja... in ne le gradniki informacijskega sistema. Ti koraki so bistveni, da podjetje
lahko zagotovi zaščito vseh svojih sredstev.
VAROVANJE V ZVEZI Z OSEBJEM
Tudi ljudje lahko predstavljajo številna tveganja za podjetje. Standard zato vpeljuje zahteve po
določitvi varnostnih postopkov že v fazi pred zaposlitvijo, med zaposlitvijo ter ob spremembah
in ob prenehanju zaposlitve. Pri tem zahteve seveda niso vezane samo na osebe, ki jih
podjetje zaposli, temveč tudi na pogodbene sodelavce, osebe zunanjih izvajalcev... Poudarjeno
je, da mora podjetje skrbeti za primerno izobraževanje in usposabljanje svojih ljudi. Standard
zahteva tudi formalni postopek v primeru kršitve ukrepov informacijske varnosti s strani
delavcev (disciplinski postopek).
FIZIČNA ZAŠČITA IN ZAŠČITA OKOLJA
Standard uvaja številne kontrole fizičnega varovanja prostorov in opreme. Ti so namreč
podvrženi številnim tveganjem, ki izhajajo iz narave in zunanjega okolja (požar, potres,
poplava, vojna...) ali pa se nanašajo na grožnje, povzročene s strani človeka, ki so v veliki
meri povezane z nepooblaščenim dostopom. Podjetje mora svoje informacijske vire zaščititi
pred enimi in drugimi, zato standard vsebuje številna nadzorstva fizičnega varovanja. Kontrole
se nanašajo tudi na primerno namestitev opreme, zagotavljanje njenega varovanja in
16/20
vzdrževanja ter primernega uničenja ali ponovne uporabe.
UPRAVLJANJE S KOMUNIKACIJAMI IN S PRODUKCIJO
Gre za obsežno poglavje s številnimi nadzorstvi, z namenom zagotoviti varnost in pravilnost
izvajanja operativnih postopkov, zato se zahteve standarda nanašajo na postopke in
odgovornosti v produkciji, upravljanje s storitvami tretjih strank, upravljanje zmogljivosti
sistema, zaščito pred zlonamerno programsko opremo (tudi mobilno kodo), postopke izdelave
varnostnih kopij, upravljanje varovanja omrežja, ravnanje in upravljanje z nosilci, varno
izmenjavo gradiva, varno elektronsko poslovanje in nadzor sistema.
NADZOR DOSTOPA
V tem poglavju so navedene kontrole, povezane z nadzorom dostopa do sistemov in gradiva.
Način in obseg obvladovanja dostopa mora biti usklajen s poslovnimi zahtevami in potrebami
podjetja. Podjetje mora vzpostaviti postopke za dodeljevanje dostopa oziroma dajanje
pooblastil uporabnikom in uveljaviti načela restriktivnega dodeljevanja le-teh. Nadzorstva se
nanašajo na različne možne dostope (mobilni dostop, delo na domu, oddaljeni dostop...).
Kontrole se nanašajo tudi na odgovorno ravnanje delavcev (politika čiste mize in praznega
ekrana, odgovorno ravnanje z gesli, odgovorno ravnanje s prenosljivimi nosilci podatkov ipd.).
NABAVA, RAZVIJANJE IN VZDRŽEVANJE SISTEMOV
Da bi zagotovili, da so varnostni vidiki integralni del informacijskega sistema, mora podjetje
varnostne vidike upoštevati že pri načrtovanju in nabavi rešitev. To poglavje vsebuje tudi
kontrole, ki se nanašajo na upravljanje sprememb. Poseben poudarek je dan ločevanju
razvojnega okolja, testnega okolja in produkcijskega okolja. Podjetje pa mora zagotoviti tudi
varnost pri vzdrževanju informacijskih rešitev.
UPRAVLJANJE Z VARNOSTNIMI INCIDENTI
Informacijski varnostni dogodki lahko povzročijo ogroženost gradiva podjetja, razkritje zaupnih
podatkov, njihovo izgubo, uničenje, njegovo zlorabo ali nerazpoložljivost oziroma
nedostopnost. Težko se jim izognemo, zato jih mora podjetje primerno obvladovati. ISO 27001
daje upravljanju z informacijskimi varnostnimi dogodki še večji poudarek kot njegov
predhodnik in mu namenja večje število kontrol. Podjetje mora oblikovati jasna pravila
poročanja in obravnavanja informacijskih varnostnih dogodkov. Podjetje mora vse delavce
zavezati k prijavljanju varnostnih dogodkov, sumov na varnostne dogodke ali nepravilno
delovanje opreme.
UPRAVLJANJE NEPREKINJENEGA POSLOVANJA
Nepričakovani izredni dogodki, kot so elementarne nesreče, dolgotrajnejši izpadi preskrbe z
energijo, hujše napake in podobno lahko zelo ogrozijo poslovanje podjetja, zato se morajo
podjetja pripraviti tudi na takšne, izredne dogodke in vnaprej vzpostaviti postopke okrevanja,
da se lahko v čim krajšem času vzpostavi normalno stanje. Načrtovanje neprekinjenega
poslovanja vnaprej bo v takšnih primerih ključnega pomena za hitro obnovo kritičnih poslovnih
procesov. Standard vsebuje torej tudi kontrole, ki se nanašajo na upravljanje neprekinjenega
poslovanja, pogoj pa je, da je pred vzpostavitvijo načrta neprekinjenega poslovanja izdelana
celovita analiza tveganj.
17/20
USKLAJENOST
Podjetje mora zagotavljati usklajenost svojega sistema s pravnimi zahtevami (varstvo
občutljivih podatkov, varstvo gradiva, varstvo intelektualne lastnine ipd.), zahtevami
standardov in tehnološkimi možnostmi.
KAKŠNE SO VARNOSTNE ZAHTEVE ZA ZUNANJE IZVAJALCE?
Kadar do informacijskega sistema oziroma gradiva podjetja zaradi izvajanja določenih del (npr.
vzdrževalna dela) prihajajo zunanji izvajalci, to za podjetje prav tako lahko predstavlja
tveganja. Zunanji izvajalec bi na primer lahko podatke o organiziranosti podjetja, podatke o
uporabljeni opremi in zasnovi informacijskega sistema ali katerekoli druge podatke, katerih
razkritje bi za podjetje ali njegove partnerje, stranke ali dobavitelje lahko pomenilo poslovno
škodo, razkril nepooblaščenim tretjim osebam.
Zato mora podjetje svoje zunanje izvajalce pogodbeno zavezati k spoštovanju varnostnih
zahtev, določenih z informacijsko varnostno politiko, podrejenimi akti ali drugimi dokumenti.
Zunanji izvajalec mora izkazati, da ima vzpostavljen sistem upravljanja varovanja informacij,
ki je primerljiv z sistemom podjetja.
Z vključitvijo dogovora o spoštovanju varnostnih zahtev v pogodbo z zunanjim izvajalcem bo
torej podjetje postavilo pravno podlago za dostop zunanjega izvajalca do informacijskega
sistema oziroma do gradiva podjetja. Podjetje bo v pogodbo z zunanjim izvajalcem vključilo
naslednje določbe:










opis storitve in predviden rok trajanja oziroma dobo opravljanja te storitve. Pri opisu
storitve se opredelijo ciljni in tudi nesprejemljivi nivoji izvajanja storitev, vključno z
opredelitvijo preverljivih kriterijev za doseganje teh nivojev oziroma delovni učinek ter
pravico pregleda in nadzorovanja pogodbenih obveznosti, lahko tudi s strani tretjih
oseb;
določilo, da nesprejemljivi nivo opravljanja storitve, ki se ponavlja določen čas, šteje za
kršitev pogodbe;
opredelitev obveznosti v zvezi s pravnimi zahtevami področne veljavne zakonodaje, kot
so na primer predpisi na področju varovanja podatkov (npr. osebnih, tajnih,..) in
varstva pravic intelektualne lastnine;
druge določbe, če so potrebne za čim bolj jasno definirano poslovno, organizacijsko,
operativno, varnostno sodelovanje med izvajalcem in naročnikom;
dogovor o spoštovanju varnostnih zahtev za izvajalce, ki so določene varnostno
informacijsko politiko ter morebitne druge pravne podlage organizacije;
fizični in logični ukrepi za omejitev dostopa uporabnikom do varovanih podatkov
(upravljanje z dostopnimi pravicami in nadzorom);
struktura in oblike poročanja ter obveščanje in preiskave varnostnih dogodkov in
kršitev;
način vzdrževanja razpoložljivosti storitev v primeru naravne ali druge katastrofe;
pravica podjetja do varnostnega in revizijskega pregleda, tudi če ga izvaja tretja oseba
v imenu podjetja;
po potrebi naročnik lahko vključi v pogodbo zahtevo po varnostnem preverjanju
zaposlenih pri izvajalcu, predvsem v primerih ko bodo le-ti prihajali v stik ali delali z
osebnimi podatki ter podatki, ki nosijo oznako poslovna skrivnost in podobno.
Podjetje mora zagotoviti tudi, da se v primeru, ko se potreba po dostopu do informacijskega
sistema ali gradiva pojavi po sklenitvi pogodbe, takšne določbe na primeren način vključijo v
formalno opredelitev razmerij med podjetjem in njegovim zunanjim izvajalcem.
18/20
2.10 Vzpostavitev, prehodno obdobje ter masovni
zajem in pretvorba
Obvezna sestavina notranjih pravil so tudi določbe o delovanju v prehodnem obdobju. V kolikor
nova pravila spreminjajo stara, je potrebno opredeliti čas prenehanja starih pravil in opredeliti
morebitne izjeme.
2.11 Notranji in zunanji nadzor
Podjetje, ki hrani gradivo v digitalni obliki, morajo spremljati izvajanje notranjih pravil. Zato
morajo notranja pravila vsebovati določbe o postopkih izvajanja notranjega nadzora in določila,
kakšni so postopki v primeru, če in ko se ob takšnem spremljanju ugotovijo odstopanja. Večini
podjetij ne bo potrebno izvajati zunanjega nadzora, saj se to zahteva predvsem v primerih
hrambe posebej pomembnega gradiva ali večjih količin gradiva.
2.12. Stalno usklajevanje poslovanja z zakonodajo,
standardi, priporočili - („compliance“)
Poseben del notranjih pravil so tudi določila, s katerimi so določene odgovorne osebe, ki skrbijo
za skupek aktov in drugih dokumentov, ki sestavljajo notranja pravila. Ker je takšnih
dokumentov veliko in imajo različne verzije, je potrebno zagotoviti, da so vsi dokumenti
dostopni osebam, ki jih potrebujejo, zagotoviti, da se uporabljajo zadnje različice dokumentov
in da se ti brez odobritve ne spreminjajo. Poleg tega je potrebno poskrbeti tudi za
spreminjanje posameznih določil notranjih pravil v primerih, ko pride do sprememb v delovanju
podjetja, sprememb pri uporabi tehničnih rešitev ali sprememb zakonskih zahtev. V primeru
takšnih sprememb podjetje ugotovi, ali te zahtevajo tudi spremembe v notranjih pravilih in če
jih, bo podjetje prevzelo ustrezne dele sistema RedIT. Da pa bi podjetje zagotovilo skladnost
notranjih pravil z zakonodajo in enotnimi tehnološkimi zahtevami, pa mora stalno spremljati,
ali je izdajatelj vzorčnih notranjih pravil že morda izdal novo verzijo (različico) vzorčnih
notranjih pravil in jih prevzeti v skladu z njegovimi navodili in navodili Arhiva Republike
Slovenije.
Čedalje težje za podjetja postaja usklajevanje poslovanja z novimi predpisi in spremembami
predpisov, standardov in priporočil, ki jih je na področjih, ki se posredno ali neposredno
navezujejo na zagotavljanje informacijske varnosti, čedalje več. Podjetje bi moralo spremljati
vrsto področij ter zahteve smiselno implementirati v svoje poslovanje in sisteme. Prvi problem
se tudi pri večjih podjetjih pojavi že takrat, ko pride do vprašanja, kdo naj bi v podjetju skrbel
za t.i. „compliance“. Pravnikom velikokrat manjka IT znanje, informatikom pa pravno znanje.
Dejstvo pa je, da podjetje potrebuje nekoga za opravljanje teh nalog in v tujini se že pojavljajo
specifični profili (t. i. Compliance Counsellor ali Compliance Chief Officer), ki združujejo znanja
s področja IT, znanja s področja notranje organizacije in prenove poslovnih procesov in
osnovna pravna znanja, kar jim omogoča razumevanje tako strokovnih kot pravnih
dokumentov in poiskati načine za implementacijo.
Delo takšnega strokovnjaka, za katerega se pri nas poseben naziv še ni uveljavil, poleg
spremljanja zahtev, ki izhajajo iz predpisov, standardov, smernic in priporočil torej obsega tudi
pravočasno reagiranje na nove zahteve, analiziranje le teh v smislu ugotavljanja, kakšna so za
podjetje tveganja „neskladnosti“, določitev prioritet in predstavitev ugotovitev vodstvu,
19/20
pripravo načrtov implementacije in skrb za operativno izvedbo potrebnih sprememb in
prilagoditev sistema in organizacije. Hkrati pa je zadolžen tudi za dnevno spremljanje
izpolnjevanja varnostnih postopkov, ki so določeni v informacijski varnostni politiki, podrejenih
aktih ter drugih dokumentih podjetja ter opozarjanje na morebitne kršitve ali neupoštevanje
postavljenih načel. Pri svojem delu sodeluje s številnimi strokovnjaki v podjetju, smiselno pa
je, da je odgovoren neposredno vodstvu podjetja, ki mu redno poroča o svojih ugotovitvah in
aktivnostih.
20/20