Občutljivost (kritičnost) informacije pomeni stopnjo pomembnostidoločene informacije, ki ji njen lastnik pripiše tolikšen pomen, da seodloči, da jo bo ustrezno zaščitil.

Določitev občutljivosti informacij je tesno povezana z

z analizo poslovnih vplivov (BIA),

s klasifikacijo informacijskih sredstev po občutljivosti ,

z analizo tveganj (ranljivosti informacijskih sredstev) in

z upravljanjem varnostnih incidentov v organizaciji.

Analiza poslovnih

vplivov (BIA)

Klasifikacija IS po

občutljivosti

Analiza tveganj

Upravljanje z varnostnimi

incidenti

KLASIFIKACIJA INFORMACIJ PO OBČUTLJIVOSTI OZ. KRITIČNOSTI

Oceniti posamezne skupine informacij v organizaciji z vidikapomembnosti njihovega vpliva na nemoteno in uspešno poslovanjeorganizacije (občutljivost informacij) in

posamezne vrste oz. skupine informacij zaščititi sorazmerno znjihovo pomembnostjo (občutljivostjo za organizacijo ).

Določitev jasnih kriterijev za presojo informacij in njihovovrednotenje .

Združitev občutljivih Informacijskih sredstev v skupine, kiomogočajo presojo po kriterijih.

Klasifikacija izhaja iz lastnosti in značilnosti poslovne dejavnostidoločene organizacije (trgovina, proizvodnja, državni organ,…).

Rezultati z ostalimi analizami in klasifikacijami informacij somedsebojno primerljivi in logični.

Klasifikacija je enostavna in jo je lahko posodabljati ter vzdrževati.

ARSKTRP smo pri določitvi smernic za klasifikacijo informacij izpostavili

predvsem občutljivost informacij:

glede na opravljanje osnovne poslovne in zakonodajne funkcije agencije –

pravilna obdelava, točnost in pravočasnosti izplačil za ukrepe SKUPNE

KMETIJSKE POLITIKE SKUPNOSTI

glede na finančne posledice za državni proračun v primeru izrečenih

finančnih korekcij (vračil v EU proračun) zaradi nepravilnih, netočnih

in zamujenih izplačil

glede na možnost zlorab s popravljanjem podatkov za posamezne

upravičence in s tem posledično nepravilnih in netočnih izplačil ter

izrečene finančne korekcije s strani Komisije

Določijo se smernice za oblikovanje modela klasifikacije informacij, in sicer se določi:

1. Informacijska sredstva, iz katerih izhajajo potencialno občutljiveinformacije, po skupinah

2. Klasifikacijske razrede

3. Kriterije za ocenjevanje z opisom

4. Ocene po posamičnih razredih

5. Končne ocene za občutljivosti informacij

Katera so tista IS, iz katerih izhajajo oz. bi lahko izhajale občutljiveinformacije ?

Kakšen je vpliv nerazpoložljivosti informacij zaradi prekinitveposlovnih procesov na pravočasnost izplačil upravičencem?

Ali obstaja možnost, da se trenutno nedostopne informacije ustreznonadomestijo iz drugih informacijskih virov ?

Kakšen je vpliv zlonamernega popravljanja ali uničenja informacij vvlogah in zahtevkih na točnost in pravočasnost izplačil upravičencem?

Ali je vsebina oz. oblika informacije določena z zakonodajo ?

Ali kakršna koli zloraba informacije, njeno popravljanje ali uničenjepomeni kršitve nacionalne in/ali EU zakonodaje ?

Ali zaradi zlorabe, popravljanja ali uničenje informacije nastanejofinančne posledice ?

Ali oz. kako lahko nasprotnik zlorabi razkrite zaupne informacij zato,da vzpostavi kontrolo nad informacijskimi sredstvi, kar muposledično lahko omogoči popravljanje podatkov, ohromitevizvajanja storitev in povzroči drugo škodo poslovanju organizaciji,njenim sredstvom in udeležencem v poslovnih procesih ?

Vsaka klasifikacija informacij se začne s klasifikacijo IS po skupinahglede občutljivosti in kritičnosti

Identifikacija IS je osnova za :

oceno potrebnih zaščitnih ukrepov za IS,

oceno tveganja,

definiranje načrta neprekinjenega poslovanja,

kontrole dostopa do IS

Izbrana IS oz. viri s potencialnimi občutljivimi informacijami v ARSKTRP:

Namenska programska oprema

Fizična sredstva

Človeški viri

Dokumenti

Podatki o IS, ki jih je treba določiti:

vrsta informacijskega sredstva

lokacija informacijskega sredstva

lastnik podatkov informacijskega sredstva

skrbnik podatkov informacijskega sredstva

oblika (format) podatkov/informacij

Glede na navedeno so bili v agenciji določeni naslednji klasifikacijski razredi:

1. Razpoložljivost – nemotena obdelava zahtevkov in izplačil

2. Celovitost - točni in popolni podatki in s tem izplačila

3. Zaupnost – preprečevanje popravljanja/ potvarjanja podatkov in

4. Določenost informacije v zakonodaji– spoštovanje EU in nacionalnih uredb pri obdelavi in izplačilih

Ocenjevanje pomembnosti kriterija „Celovitost“ informacij

0 Ni relevantno

1 Nepopolne/netočne informacije se lahko nadomestijo iz drugih IS (dokumenti, registri,…); nifinančnih posledic, izvedba poslovnih procesov ni bistveno ovirana.

2 Nepopolne/netočne informacije se lahko nadomestijo iz drugih IS (dokumenti, registri,…),potrebni so dodatni napori, možne so finančne in poslovne posledice, ki vplivajo lahko tudi na delodrugega državni organa.

3 Informacije, ki morajo biti zelo zanesljive, sicer so posledice napačni izračuni oz. rezultati iz naslovanjihove uporabe, nastanejo lahko večje finančne posledice, hujše motenje v poslovanju organa terkršitve zakonodaje.

Ocenjevanje pomembnosti kriterija „Določenost informacije vzakonodaji“

0 Informacije, ki niso določene z zakonodajo.

1Informacije, ki jih predvideva zakonodaja, vendar se natančno določijo šele z internimi akti organa.

2Informacije, ki so določene s predpisi EU oz. nacionalnimi predpisi, vendar kršitve nimajoneposrednih finančnih posledic za proračun ali pa so le te manjše.

3Informacije, ki so določene z nacionalnimi in/ali EU predpisi, pri čemer imajo kršitve večje oz.velike finančne posledice na višino izplačil pomoči iz EU in državnega proračuna.

Ocenjevanje pomembnosti „Zaupnost“ informacij za ARSKTRP

0 Javno dostopne informacije

1Informacije, do katerih lahko dostopajo zaposleni brez dodelitve posebnih pravic in dokaterih lahko dostopajo tretje stranke na podlagi posebej dodeljenih pravic.

2Informacije, do katerih dostopajo samo zaposleni na podlagi posebnih dodeljenih pravic.

3Informacije, do katerih lahko dostopajo samo izrecno za to pooblaščeni zaposleni.

Ocenjevanje pomembnosti „Razpoložljivost “ informacij za ARSKTRP

0 Informacije, ki so lahko nedostopne nad 5 dni

1 Informacije, ki naj bi bile dostopne v roku do 5 dni

2 Informacije, ki naj bi bile dostopne v roku od 1 do 3 dni

3 Informacije, ki naj bi bile dostopne v roku 24 ur

Oznake Opis dodeljene oznake

NEOBČUTLJIVE0 do 5

Splošne informacije za zaposlene in/ali tretje stranke

MALO OBČUTLJIVE5,6

Informacije, pomembne za lastnike poslovnih procesov: za definiranje poslovnegaprocesa, izvedbo projektov, reševanje morebitnih problemov v poslovnih procesih, zaupoštevanje zakonodaje .

OBČUTLJIVE7,8,9

Informacije, pomembne za izvršno vodstvo, ki je odgovorno za nemoten potekposlovnih procesov in pravočasno pridobivanje njihovih rezultatov in za racionalnoupravljanje s in finančnimi človeškimi viri.

ZELO OBČUTLJIVE10 in več

Informacije, ki so pomembne za najvišje vodstvo za določanje strateških ciljevposlovanja organa z vidika pristojnosti organa, da je varnostna politika v skladu sposlovnimi potrebami in da je stopnja varovanja informacij v sorazmerju sporabljenimi finančnimi sredstvi.

• Izbran primer je tipičen za državni organ, kjer pogodbe niso poslovnaskrivnost kot so le – te v poslovnih subjektih

Zaporedna štev.

Informacijski sredstvo

LokacijaOcena po

Klasifikacijskih razredih

Lastnik podatko

v

Skrbnik podatkov

Oblika zapisa

informacije

Oznaka občutljivosti informacije

…… Pogodbe iz

naslova javnih naročil

Skupni

direktorij

zaposlenih,

pisarna SSZ

Zaupnost: 1Celovitost: 2

Razpoložljivost: 1 Zakonodaja: 2

Vodja SSZ Vodja SSZ

Dokumenti v pisni in

elektronski obliki

MALOOBČUTLJIVA

VRSTA IS : DOKUMENT

POGODBE IZ NASLOVA JAVNIH NAROČIL

• Zaupnost 1: niso zaupne, objavljene so na skupnem direktoriju ARSKTRP

• Razpoložljivost 1: dostop je omogočen vsem zaposlenim

• Celovitost 2: podatki v pogodbah morajo biti sicer točni oz. pravilni,vendar to ne vpliva na izplačevanje sredstev iz naslova ukrepov SKP,aneksi možni

• Zakonodaja 2: zakonodaja o javnem naročanju

Definicija kriterija „Razpoložljivost informacij “ upošteva:

oceno potrebnega časa za obnovo procesov/ Analiza poslovnih

vplivov

oceno poslovne vrednosti IS /Klasifikacija IS po občutljivosti

oceno oteženost poslovanja / Klasifikacija varnostnih incidentov

ocena posledic izrabe ranljivosti IS/Analiza tveganja

Definicija kriterija „Zaupnost informacij “ upošteva :

dodelitev pravic za dostop do IS /Klasifikacija IS po občutljivosti

oceno ogroženosti informacij v primeru incidenta/ Klasifikacija

varnostnih incidentov

oceno posledic v primeru zlorabe ranljivosti IS/Analiza tveganja

Definicija kriterija „ Celovitost informacij “ upošteva:

oceno posledic v primeru zlorabe ranljivosti IS/Analiza tveganja

oceno ogroženosti informacij v primeru incidenta/ Klasifikacija

varnostnih incidentov

ocena finančne vrednosti informacijskega sredstva/Klasifikacija IS

po občutljivosti

Definicija kriterija „ Določenost informacij z zakonodajo “ upošteva:

ocena finančne vrednosti informacijskega sredstva/Klasifikacija ISpo občutljivosti

Oceno finančnih posledic incidenta / Klasifikacija varnostnihincidentov