v... · Web viewZa vsak vnos v dnevnik je potrebno dodati datum, čas in vir informacije. Če ni mogoče oceniti predvidenega časa izpada in se oceni, da je tveganje za UM visoko,

UVAJANJE INFORMACIJSKE VARNOSTNE POLITIKE NA UNIVERZI V MARIBORU

Informacijska varnost obsega varovanje in zaščito vseh kritičnih, poslovno občutljivih, tajnih,osebnih in drugače občutljivih podatkov ter informacijsko telekomunikacijske tehnologije(ITkT) oziroma sisteme, ki so namenjeni obdelavi (oblikovanju, shranjevanju, spreminjanju,analiziranju, itd.) teh podatkov.

Prvenstveni motiv uvajanja informacijske varnostne politike je bila sicer ureditev stanja na UM na področju informacijske varnosti, vendar smo pri pripravi sledili tudi cilju pozitivnega vplivanja na ravnanje uporabnikov v smislu zavedanja (ne)varnosti uporabe ITkT. Predviden dolgoročni cilj UM je tudi certifikacija po standardu družine ISO 2700X in kasneje tudi po standardu BS 25599.

Predlagana informacijska varnostna politika, ki je s strani prorektorja za informatiko prof. dr. Tomaža Kerna, po predhodni potrditvi kolegija rektorja, predložena v proceduro sprejemanja na Univerzi v Mariboru in bo po končani proceduri posredovana senatu UM v potrditev, je sklop štirih dokumentov v skupnem obsegu 59 strani:

- krovna varnostna politika- dokument, ki podrobneje opisuje varnost na področju ITkT- varnostna politika za uporabnike- varnostna politika za zunanje izvajalce

NAMEN varnostne politike je: definirati takšno ravnanje zaposlenih in drugih deležnikov, ki je z vidika informacijske

varnosti sprejemljivo za Univerzo v Mariboru; objaviti širok konsenz glede varnostnih zahtev in prakse; zapisati pravno podlago za ukrepanje ob neustreznem ravnanju zaposlenih in drugih

deležnikov; definirati zahteve za varnostna preverjanja in ukrepe; vodstvu in drugim deležnikom, vključno z revizorji, predstaviti indikatorje, ki

omogočajo validiranje zrelosti informacijske varnosti in skladnosti s predpisi ter definirati pogoje, pod katerimi je dovoljena izmenjava informacij in dostop do

poslovnih aplikacij.

CILJNA PUBLIKA so uporabniki ITkT storitev (zaposleni, študenti, zunanji sodelavci) ter zunanji izvajalci.

V dokumentih, ki so bili pripravljeni s pomočjo zunanjega podjetja, pregledani in dopolnjeni s strani strokovnega osebja (RCUM) ter visokošolskih učiteljev UM s področja informacijske varnosti, so upoštevane posebnosti javne univerze. Dokumenti so bili tudi predhodno predloženi osebam, odgovornim za informacijsko tehnologijo – dobljene pripombe so upoštevane. Pri pripravi dokumenta smo upoštevali obstoječo organiziranost UM, njeno organizacijsko kulturo in dosedanjo dobro prakso na tem področju. Dokumenti so bili pregledani tudi s strani informacijskega pooblaščenca.

Dokumenti IvP ne morejo rešiti vseh potencialnih težav na tem področju. Upoštevane so tiste, rešitve ki so lahko realistično implementirane ter upoštevane v naslednjem koledarskem letu

in hkrati odpravljajo največja tveganja in nejasnosti. Načrtovano je, da se revizija dokumentov opravi vsako leto po sprejemu tega dokumenta.

Na nivoju UM trenutno ni zaposlenega človeka, ki bi pokrival to področje (skrbnik informacijske varnosti, tudi informacijski varnostni inženir (angl. chief information security officer - CISO)). Le-ta ima celotno odgovornost za razvoj in vpeljavo sistema vodenja varovanja informacij. Senatu UM se zato predlaga, da se hkrati s sprejemom tega dokumenta zagotovijo finančna sredstva za zapolnitev delovnega mesta v okviru RCUM s 1. 1. 2013 (priloga: opis delovnega mesta skrbnika informacijske varnosti).

Uporabljeni dodatni viri:

Gartner, Roundup of Security and IT Risk Management Policy Guidance and Templates, 2Q12, 2012

Gartner, Planning Information Security and Risk Management Policy, 2012

Hajtnik Tatjana, Priporočila za pripravo informacijske varnostne politike, Center Vlade RS za informatiko, 2002

Maribor, 18. 6. 2013

Pripravil: dr. Izidor Golob, pomočnik glavne tajnice

Predlagatelj: prof. dr. Tomaž Kern, prorektor

DOKUMENTI, KI SO PREDLOŽENI SENATU V SPREJEM:

- Krovna informacijska varnostna politika- Informacijska varnostna politika za področje IT- Informacijska varnostna politika za uporabnike- Informacijska varnostna politika za zunanje izvajalce

PRILOGA: OPIS DELOVNEGA MESTA ZA SKRBNIKA INFORMACIJSKE VARNOSTI

priprava in vzdrževanje dokumentov varnostne politike razvoj postopkov za zagotavljanje splošne integritete omrežja in sistemov izvajanje analiz in obravnavanje tveganj zagotavljanje ozaveščenosti zaposlenih glede varovanja informacij ter ustrezne

usposobljenosti upravljanja z varnostnimi incidenti izvajanje varnostnih ukrepov za izboljšanje stanja varovanja informacij izvajanje nalog na področju projektiranja, varovanja in izkoriščanja informacijske

infrastrukture načrtovanje preventivnih ukrepov pripravljanje predlogov in izvedba korektivnih ukrepov ob varnostnih incidentih

OSNUTEK

Krovna informacijska varnostna politika

Vsebina1. UVOD................................................................................................................................................... 4

2. KROVNA INFORMACIJSKA VARNOSTNA POLITIKA.................................................................................6

2.1 CILJ INFORMACIJSKE VARNOSTI ........................................................................................................................62.2 INFORMACIJSKA VARNOSTNA POLITIKA ..............................................................................................................62.3 ORGANIZACIJA UPRAVLJANJA INFORMACIJSKE VARNOSTI .......................................................................................62.4 UPRAVLJANJE INFORMACIJSKIH VIROV ...............................................................................................................9

3. PREHODNE IN KONČNE DOLOČBE.........................................................................................................9

1.Uvod

Dokument »Krovna varnostna politika« vsebuje javne informacije, ki po klasifikaciji dokumentov ne potrebujejo posebne oznake. Z informacijami tega dokumenta morajo biti seznanjeni vsi uporabniki informacijskega sistema Univerze v Mariboru (UM).

Osnovna naloga Računalniškega centra Univerze v Mariboru (RCUM) je zagotavljanje celovite, prilagodljive in učinkovite informacijske podpore Univerzi v Mariboru (UM). RCUM skrbi za geografsko razvejano in heterogeno infrastrukturo, ki omogoča izvajanje računalniških, informacijskih, komunikacijskih in drugih storitev ter zagotavlja dostop do virov, potrebnih za nemoten potek izobraževanja, raziskovanja in operativnega dela.

Med pomembnejšimi storitvami, ki jih izvaja RCUM, so: načrtovanje in upravljanje osnovne IT infrastrukture (osrednjega

informacijsko-komunikacijskega omrežja UM in osrednjih strežnikov informacijskega sistema UM),

storitve za zagotavljanje dostopa do omrežja in njegovih storitev (dostop, naslovi IP, e-pošta, spletni strežniki),

vzdrževanje in razvoj aplikacij informacijskega sistema UM, administracija računalniške in komunikacijske opreme za rektorat ter

članice brez lastnega kadra, delovanje centra za pomoč uporabnikom - zaposlenim v okviru

posameznih služb članic, distribucija programske opreme, varovanje in zaščita podatkov, izobraževanje uporabnikov.

Ob zavedanju pomena nemotenega delovanja informacijskega sistema, za učinkovito podporo delovanja vseh storitev, Univerza v Mariboru sprejema Informacijsko varnostno politiko, kakor tudi njeno izvajanje.

Dosledno izvajanje informacijske varnostne politike zagotavlja UM učinkovito obvladovanje informacijske varnosti v smislu:

Zaupnosti:o pomeni zaščito občutljivih poslovnih informacij pred

nepooblaščenim dostopom ali protipravnim prestrezanjem. Zaupnost zagotavlja, da je informacija dostopna samo tistim, ki imajo ustrezna pooblastila. V primeru izpada drugih varnostnih mehanizmov (npr. ukraden prenosni računalnik, ukradeni podatki s strežnika) nam zaupnost zagotavlja, da so vsi podatki neuporabni - zapisani v nerazumljivi/neuporabni obliki.

Celovitosti:

o obravnava zagotavljanje pravilnosti ter celovitosti informacij in programske opreme. Kontrola celovitosti se uporablja za zaščito podatkov in sistemov pred nepooblaščeno spremembo. Celovitost olajša ugotavljanje sprememb ter preprečuje, da bi spremenjeno kopijo obravnavali kot original.

Razpoložljivosti:o zagotavlja, da so informacije in poslovno pomembne storitve,

aplikacije in procesi na voljo pooblaščenim uporabnikom, ko jih le ti potrebujejo.

Rektor Univerze v Mariboru sprejema in podpira informacijsko varnostno politiko ter zahteva njeno spoštovanje, kakor tudi redno revidiranje in dopolnjevanje s strani RCUM, ki se izvaja najmanj enkrat letno.

Vsi zaposleni in uporabniki storitev UM so z Informacijsko varnostno politiko seznanjeni in so jo dolžni razumeti in spoštovati.

Vsaka kršitev določil Informacijske varnostne politike predstavlja kršitev delovnih ali pogodbenih oziroma študijskih obveznosti in se sankcionira po veljavnih internih pravilnikih za zaposlene na UM. Pri ostalih uporabnikih storitev UM si RCUM oz. posamezna članica univerze pridržuje pravico omejevanja ali odvzema dostopa do informacijskega sistema.

Dokument se pregleduje letno. V primeru predlaganih sprememb dokumenta Varnostni inženir opravi pregled vseh predlaganih sprememb in pripravi končni predlog sprememb dokumenta.

2.Krovna informacijska varnostna politika2.1 Cilj informacijske varnostiCilj informacijske varnosti je zagotoviti nemoteno in varno poslovanje UM in zmanjšati škodo s preprečitvijo in zmanjšanjem posledic neželenih informacijskih varnostnih dogodkov.

2.2 Informacijska varnostna politikaNamen varnostne politike je zaščita informacijskih sredstev in virov UM pred vsemi nevarnostmi, notranjimi ali zunanjimi, namernimi ali nenamernimi, skladno s priporočili standarda ISO/IEC 27001.Varnostna politika predstavlja na enem mestu zbrana navodila ter standarde za zagotavljanje in upravljanje z informacijsko varnostjo za vse uporabnike informacijskega sistema.

Informacijska varnostna politika obsega: zagotavljanje zaupnosti, celovitosti in razpoložljivosti informacij, varovanje informacij pred nepooblaščenim dostopom, razkritjem,

spremembo ali uničenjem, zagotavljanje izobraževanja o informacijski varnosti vsem

zaposlenim, seznanjanje s pravili varne uporabe za vse uporabnike

informacijske infrastrukture UM, obvladovanje vseh varnostnih incidentov ter ustrezno ukrepanje, izpolnjevanje usklajenosti z zakoni in predpisi.

Vsi, ki imajo dostop do informacijskega sistema UM, morajo izpolnjevati zahteve informacijske varnostne politike.

Odgovorna oseba, ki koordinira delo z zunanjimi izvajalci, je zadolžena, da se zunanji izvajalec seznani z varnostno politiko in upošteva njena določila. Zunanji izvajalec mora pred pričetkom del podpisati izjavo o seznanitvi in izpolnjevanju določil informacijske varnostne politike.

2.3 Organizacija upravljanja informacijske varnostiUpravljanje in obvladovanje informacijske varnosti obsega:

razumevanje strateških ciljev UM in smernic razvoja tehnologije za oblikovanje dolgoročne strategije informacijske varnosti,

definicijo, vzpostavitev, vzdrževanje in izvajanje informacijske varnostne politike UM,

pridobitev podpore informacijski varnosti na UM, razvoj in vzdrževanje visokega nivoja informacijske varnosti na

UM, spremljanje in upoštevanje zakonodaje na področju informacijske

varnosti, zagotavljanje varnostnega svetovanja,

zagotavljanje izobraževanja in seznanjanja o informacijski varnosti vsem uporabnikom informacijskih sredstev UM,

obveščanje vodstva univerze o varnostnih vprašanjih in z njimi povezanimi tveganji.

2.3.1VodstvoVodstvo UM mora zagotoviti, da zaposleni izpolnjujejo zahteve informacijske varnostne politike. Odgovorno je za zavrnitev neupravičenih ali nepotrebnih zahtev po dostopu do informacijskih virov ter za zagotavljanje ukinitve dostopa do informacijskih virov, ko ga zaposleni ne potrebuje več.

Vodstvo je odgovorno za učinkovito upravljanje z informacijsko varnostjo. V ta namen izvaja vodstvene preglede učinkovitosti sistema za upravljanje z varnostjo, ki obsegajo preglede:

rezultatov revizij in pregledov sistema, poročila ocene tveganja in identificiranih groženj, poročila o spremembah, ki lahko vplivajo na informacijsko

varnost, predlogov za izboljšave.

V okviru svojega dela ima vodstvo tudi naslednje zadolžitve: potrjuje strateške smernice za informacijsko varnost, potrjuje dokumente informacijske varnostne politike, pomaga pri uvajanju večjih projektov informacijske varnosti, nadzira večje spremembe pri izpostavljenosti informacijskih

sredstev varnostnim grožnjam, nadzira in ocenjuje varnostno učinkovitost in zmogljivost.

2.3.2Odgovorna oseba za informacijsko varnost na UMOdgovorna oseba za informacijsko varnost je zadolžena za učinkovito izvajanje informacijske varnosti na UM. Naloge odgovorne osebe za informacijsko varnost so:

poročanje vodstvu o vseh zadevah, ki so povezane z informacijsko varnostjo,

svetovanje o vseh področjih, ki so povezana z informacijsko varnostjo,

pregled in posodabljanje kataloga tveganj, razvoj varnostne politike in nadzorstev, nadzor izvajanja varnostne politike in nadzorstev.

2.3.3Odgovorna oseba za informacijsko varnost na članicah

Odgovorna oseba za informacijsko varnost na članicah so tajniki članic, ki pa lahko to odgovornost prenesejo na drugo osebo in to sporočijo predstojniku RCUM. Seznam odgovornih oseb za informacijsko varnost je objavljen na spletnih straneh UM. Imenovana odgovorna oseba je

odgovorna tudi za izvajanje pravilnikov, ki definirajo varnostno politiko na članicah.

2.3.4Lastnik informacijskega sredstvaLastnik informacijskega sredstva je odgovoren za nadzor, razvoj, vzdrževanje in varovanje informacijskega sredstva UM.Naloge lastnika informacijskega sredstva so:

potrjevanje upravičenosti dostopa za posamezne uporabnike ob zahtevi za dostop,

pregled varnostnih dogodkov v dnevniških zapisih in ukrepanje v primeru zaznanih nepravilnosti,

pregled uporabnikov s pravicami za dostop do informacijskega vira (enkrat letno),

pregled uporabnikov s posebnimi (administrativnimi) pravicami dostopa v rednih časovnih intervalih (vsakih 6 mesecev).

2.3.5Skrbnik informacijskega vira in komunikacijske infrastruktureSkrbnik je zadolžen za vzpostavitev delovanja, nastavitve in vzdrževanje informacijskih virov in komunikacijske infrastrukture na UM. Naloge skrbnika so:

preverjanje delovanja informacijskega vira in komunikacijske infrastrukture,

vpeljava in vzdrževanje informacijskih rešitev z namenom zagotavljanja nemotenega delovanja informacijskega vira ali komunikacijske infrastrukture,

implementacija varnostnih nastavitev za informacijski vir ali komunikacijsko infrastrukturo,

odprava napak v delovanju in raziskovanje vzrokov za motnje v delovanju,

stalno izobraževanje z namenom osveževanja znanja na področju dela, ki ga opravlja skrbnik.

2.3.6Uporabniki informacijskega sistemaVsi zaposleni, študenti in drugi uporabniki informacijskega sistema, vključno z zunanjimi izvajalci, UM morajo upoštevati informacijsko varnostno politiko UM (Informacijska varnostna politika za uporabnike). Informacijska varnostna politika za zaposlene na UM je zapisana v dokumentu »Informacijska varnostna politika za zaposlene«. Informacijska varnostna politika za zunanje izvajalce je zapisana v dokumentu »Informacijska varnostna politika za zunanje izvajalce«.

2.4 Upravljanje informacijskih virovRazvoj, uvajanje in vzdrževanje informacijskih virov in sredstev mora potekati v skladu z varnostnimi zahtevami, definiranimi v dokumentu »Informacijska varnostna politika za področje informacijsko - komunikacijske tehnologije«.

3.Prehodne in končne določbe

Skrbniki informacijske tehnologije po članicah so dolžni v roku 9 mesecev po sprejemu varnostne politike zagotoviti spoštovanje pravil iz tega dokumenta.

Informacijska varnostna politika za zaposlene velja za vse uporabnike informacijskega sistema UM.

Vsaka kršitev navodil v dokumentu se obravnava kot kršitev delovnih, pogodbenih in študijskih obveznosti.

Dokument prične veljati osmi dan po objavi v Obvestilih Univerze v Mariboru.

Rektor Univerze v Mariboru

Prof. dr. Danijel Rebolj

OSNUTEK

Informacijska varnostna politika za področje informacijsko-komunikacijske

tehnologije (IKT)

Vsebina1 UVOD................................................................................................................................................... 4

2 ELEMENTI VARNOSTNEGA NADZORA....................................................................................................5

2.1 UPRAVLJANJE S SREDSTVI ................................................................................................................................52.2 FIZIČNA ZAŠČITA ...........................................................................................................................................72.3 UPRAVLJANJE S KOMUNIKACIJO IN PRODUKCIJO ..................................................................................................92.4 DOSTOP DO INFORMACIJSKIH SREDSTEV ...........................................................................................................132.5 UPRAVLJANJE INCIDENTOV ............................................................................................................................172.6 UPRAVLJANJE NEPREKINJENEGA POSLOVANJA ...................................................................................................192.7 ZDRUŽLJIVOST ............................................................................................................................................20

PREHODNE IN KONČNE DOLOČBE................................................................................................................ 22

1 UvodDokument »Informacijska varnostna politika za področje informacijsko-komunikacijske tehnologije (IKT)« vsebuje informacije, ki so po klasifikaciji dokumentov opredeljeni kot interni in ni namenjen širši javnosti.

Varnost informacijskega sistema je vitalna komponenta delovanja UM. Informacijska varnostna politika UM temelji na treh varnostnih gradnikih: zaupnost (confidentiality), celovitost (integrity) in razpoložljivost (availability). Z njimi morajo biti seznanjeni vsi zaposleni na UM in uporabniki informacijskega sistema UM. Trije gradniki so nerazdružljivo povezani z varnostjo informacijskega sistema, ki podpira in izvaja poslovne aktivnosti.

Zaščita zaupnosti, celovitosti in razpoložljivosti so osnovni trije cilji, ki morajo biti izpolnjeni, za zmanjševanje tveganja pri varnosti informacijskega sistema in posledično poslovanja na sprejemljivi nivo.

Zaupnost pomeni zaščito občutljivih poslovnih informacij pred nepooblaščenim dostopom ali protipravnim prestrezanjem. Zaupnost zagotavlja, da je informacija dostopna samo tistim, ki imajo ustrezna pooblastila. V primeru izpada drugih varnostnih mehanizmov (npr. ukraden prenosni računalnik, ukradeni podatki s strežnika) nam zaupnost zagotavlja, da so vsi podatki neuporabni - zapisani v nerazumljivi/neuporabni obliki.

Celovitost obravnava zagotavljanje pravilnosti ter celovitosti informacij in programske opreme. Kontrola celovitosti se uporablja za zaščito podatkov in sistemov pred nepooblaščeno spremembo. Celovitost olajša ugotavljanje sprememb ter preprečuje, da bi spremenjeno kopijo obravnavali kot original.

Razpoložljivost zagotavlja, da so informacije in poslovno pomembne storitve, aplikacije in procesi na voljo pooblaščenim uporabnikom, ko jih le ti potrebujejo.

Za podporo varovanja zaupnosti, celovitosti in razpoložljivosti informacijskih virov UM je izdelana informacijska varnostna politika Univerze v Mariboru.

V tem dokumentu je opisana informacijska varnostna politika za področje upravljanja IT. Dokument je sestavljen iz več nivojev, ki so definirani in opisani v nadaljevanju.

Dokument se pregleduje letno. V primeru predlaganih sprememb dokumenta informacijski varnostni inženir opravi pregled vseh predlaganih sprememb in pripravi končni predlog sprememb dokumenta.

2 Elementi varnostnega nadzora2.1 Upravljanje s sredstvi

Cilj upravljanja s sredstvi je doseči in vzdrževati ustrezno zaščito sredstev UM.RCUM in članice univerze vsako leto preverijo in uskladijo seznam strojne in

programske opreme, ki se uporablja na UM.Vsa informacijska sredstva imajo določenega lastnika.Vsa informacijska sredstva imajo določenega skrbnika.Vse informacije so označene in urejene.

Kriterij usklajenostiUpoštevanje kontrol, opisanih v razdelku »Natančen opis«, je obvezno.

Odstopanja od kriterija morajo biti dokumentirana in potrjena s strani odgovorne osebe na RCUM oz. članicah univerze.

ImplementacijaVzpostavitev registra strežnikov, mrežnih naprav in ostalih produkcijskih sistemov.Vzpostavitev registra poslovnih in informacijskih produkcijskih aplikacij.Vzpostavitev tabele »Povezave med poslovnimi procesi in informacijskimi sredstvi«.

Natančen opis

Kontrola 1:RCUM in članice univerze vsako leto preverijo in uskladijo seznam strojne in programske opreme, ki se uporablja na UM.

Seznam sistemov (strežniki - fizični in virtualni, pomembne delovne postaje, omrežna komunikacijska oprema, ostala produkcijska oprema) se vodi v tabeli, za katero so odgovorni skrbniki sistemov. Vsi pomembni elementi informacijskega sistema UM se zavedejo v tabelo »Povezave med poslovnimi procesi in informacijskimi sredstvi«. V tabeli so označeni procesi po prioritetah, ki so pomembne za določitev prioritet pri obnovi informacijskega sistema. Podrobnejši seznam s kratkimi opisi programske opreme razvite v okviru UM je voden na RCUM in posameznih članicah univerze. Vsi seznami se redno dopolnjujejo in vsaj enkrat letno pregledajo ter posodobijo, tako da odražajo trenutno stanje.

Vsa pomembna informacijska sredstva imajo določenega lastnika.Lastnik informacijskega sredstva je odgovoren za nadzor, razvoj, vzdrževanje in varovanje informacijskega sredstva UM.Naloge lastnika informacijskega sredstva so:

potrjevanje upravičenosti dostopa za posamezne uporabnike, pregled varnostnih dogodkov v dnevniških zapisih in ukrepanje v

primeru zaznanih nepravilnosti, pregled uporabnikov s pravicami za dostop do informacijskega vira

(enkrat letno), pregled uporabnikov s posebnimi pravicami dostopa v rednih časovnih

intervalih (vsakih 6 mesecev).

Vsi pomembni informacijski viri imajo določenega skrbnika.Skrbnik je zadolžen za vzpostavitev delovanja, nastavitve in vzdrževanje informacijskih virov in omrežne komunikacijske infrastrukture na UM. Naloge skrbnika so:

preverjanje delovanja informacijskega vira ali omrežne komunikacijske infrastrukture,

vpeljava in vzdrževanje informacijskih rešitev z namenom zagotavljanja nemotenega delovanja informacijskega vira ali omrežne komunikacijske infrastrukture,

implementacija varnostnih nastavitev za informacijski vir ali omrežno komunikacijsko infrastrukturo,

odprava napak v delovanju in analiza vzrokov za motnje v delovanju, stalno izobraževanje z namenom pridobivanja in osveževanja znanja na

področju dela, ki ga opravlja skrbnik.

Vse informacije so označene in urejene.Urejanje informacij je opredeljeno v pravilniku o varovanju osebnih in zaupnih podatkov, ki ureja to področje in je v skladu z ZVOP-1 (Pravilnik o zavarovanju osebnih in zaupnih podatkov št. A11/2006-524 JR).

2.2 Fizična zaščita

Cilj fizične zaščite je preprečiti nepooblaščen fizični dostop, škodo in motnje v prostorih, ter preprečiti izgubo, škodo, krajo ali kompromitiranje informacijskih sredstev.

Kontrola 5:Kritične zmogljivosti za obdelavo informacij so nameščene na varovanih območjih.

Urejena je kontrola nadzora vstopa v območje, kjer se nahajajo informacijska sredstva UM (strežniki, komunikacijska oprema) – nadzorovano območje.

Mediji, ki se uporabljajo za arhiviranje in restavriranje podatkov, so fizično zavarovani pred nepooblaščenim dostopom, krajo in poškodovanjem.

Pred odstranitvijo opreme se pregledajo nosilci podatkov in odstranijo vsi podatki ter licenčna programska oprema.

Kriterij usklajenostiUpoštevanje kontrol opisanih v razdelku »Natančen opis«, je obvezno.


ImplementacijaVzpostavitev vseh zahtevanih kontrol za varovanje podatkovnega centra UM.

Natančen opis

Kontrola 5:Kritične zmogljivosti za obdelavo informacij so nameščene na varovanih območjih.

V varovanih območjih je poskrbljeno za sistem neprekinjenega napajanja, zaznavanje in zaščito pred požarom, vlomom in ustrezno klimatizacijo.

Urejena kontrola nadzora vstopa v območje, kjer se nahajajo informacijska sredstva UM (strežniki, komunikacijska oprema) – nadzorovano območje.

V nadzorovanih območjih morajo veljati naslednje kontrole oz. elementi varovanja:

1. Območje mora biti zaklenjeno tudi, ko je pod nadzorom.2. RCUM oz. odgovorne osebe na članicah univerze so zadolženi za

ugotavljanje poslovne potrebe za dostop do območja.3. Vsi dostopi v nadzorovano območje se beležijo.4. Osebe, ki se jim odvzame pravica dostopa, so takoj umaknjene z liste za

dostop.5. Izvaja se redni trimesečni pregled poročil o dostopih v nadzorovano

območje za ugotavljanje neavtoriziranih poskusov dostopa.6. Izvaja se redni letni pregled poslovne upravičenosti za dostop oseb na listi

dostopa.7. Alarmi morajo delovati z zasilnim napajanjem.8. Ob alarmnem dogodku se izvede preiskava. Na podlagi ugotovitev je

potrebno sprejeti korektivne ukrepe in po potrebi spremeniti način vstopa, da se prepreči ponovitev alarmnega dogodka.

Opombe:

Postopki za odpravljanje ugotovljenih napak ali nepravilnosti se morajo izvajati redno, po izvedenih četrtletnih ali letnih pregledih.

Mediji, ki se uporabljajo za arhiviranje in restavriranje podatkov, so fizično zavarovani pred nepooblaščenim dostopom, krajo in poškodovanjem.

Upoštevati je potrebno naslednja navodila: Mediji morajo biti shranjeni v nadzorovanem območju v omari, ki je

zaklenjena. Prostor, kjer so shranjeni mediji, mora biti ognjevaren. Dostop do medijev imajo samo pooblaščene osebe.

Pred odstranitvijo opreme se pregledajo nosilci podatkov in odstranijo vsi podatki in licenčna programska oprema.

Vse naprave, ki vsebujejo občutljive informacije (predvsem zaupni in osebni podatki), je potrebno fizično uničiti ali podatke izbrisati na način, ki onemogoča obnovitev izvirnih informacij (uporaba funkcij briši oz. formatiraj ni dovoljena).

2.3 Upravljanje s komunikacijo in produkcijo

Cilj upravljanja s komunikacijo in produkcijo je zagotoviti pravilno delovanje informacijskega sistema, zmanjšanje okvar sistema, zaščito programske opreme in informacij, vzdrževanje celovitosti in razpoložljivosti informacij, zaščito omrežij in podporne infrastrukture ter odkrivanje nepooblaščenega obdelovanja informacij.

Vsi delovni postopki so dokumentirani in na voljo vsem, ki jih potrebujejo.Podatki se varnostno kopirajo in hranijo na dveh ločenih lokacijah. Zapisani

podatki se v rednih intervalih preverjajo po zapisanih postopkih za obnovo.

Vzpostavljene so tehnične kontrole za preprečitev razširjanja in izvajanja škodljivih programov.

Informacije so med izmenjavo ustrezno zaščitene.Pred objavo javno dostopnih informacij se vse informacije ustrezno preverijo, tako

da se zagotovi pravilnost objavljenih podatkov.Razvijalci programske opreme morajo v okviru priprave končne različice produkta

izvesti tudi proti-virusno preverjanje.Instalacija popravkov programske opreme mora biti izvedena v okviru

odobrenega postopka upravljanja s spremembami (change management process).

Nadzorne zapise je potrebno kreirati za sisteme, programe in mrežno opremo, kjer je to tehnično izvedljivo.

Nadzorne zapise je potrebno kreirati za vse uspešne in neuspešne poskuse dostopa do informacijskih sredstev UM iz zunanjih lokacij.

Podatki o aktivnosti morajo vsebovati vsaj naslednje parametre: datum, čas, tip poskusa dostopa, identifikacija uporabnika.

Ure na vseh informacijskih sistemih so usklajene z dogovorjenim časovnim virom.



ImplementacijaZapis vseh nastavitev komunikacijske opreme – konfiguracija za posamezne elemente komunikacijske opreme.

Natančen opisKontrola 9:Vsi delovni postopki so dokumentirani in na voljo vsem, ki jih

potrebujejo.Postopki za sistemske dejavnosti so dokumentirani v delovnih navodilih za posamezne aktivnosti kot so postopki za:

zagon in zaustavitev strežnikov, izvajanje arhiviranja in restavriranja podatkov, vzdrževanje opreme, ravnanje z nosilci podatkov, dejavnosti povezane s komunikacijsko infrastrukturo, vzdrževanje varnostne infrastrukture.

Podatki se varnostno kopirajo in hranijo na dveh ločenih lokacijah. Zapisani podatki se v rednih intervalih preverjajo po zapisanih postopkih za obnovo.

Zaradi zagotavljanja neprekinjenega poslovanja in zaščite podatkov ob nepredvidenih dogodkih se na informacijskih virih izvajajo postopki varnostnega kopiranja in arhiviranja opisani v nadaljevanju tega dokumenta.Magnetni trakovi in drugi mediji za shranjevanje podatkov so shranjeni v ognjevarni omari.

StrežnikiOsebam zadolžena za izvajanje arhiviranja, skrbi tudi za arhiv podatkov. Arhiviranje podatkov se izvaja po vnaprej določenem načrtu za vsak strežnik.Arhiviranje se izvaja avtomatsko s pomočjo avtomatsko nastavljenih pravil vsakodnevno ob v naprej določenih urah. Oseba odgovorna za arhiviranje vsako jutro preveri uspešnost arhiv-a/ov in po potrebi zamenja medij ter poskrbi za transport medijev na varno lokacijo.Na centralni lokaciji se arhiviranje izvaja v režimu:

vsakodnevna inkrementalna arhiva (od ponedeljka do sobote), arhiviranje celotnega sistema (nedelja).

Delovne postajeZa ključne uporabnike je urejena sistemska centralna hramba podatkov in dokumentov. Uporabniki shranjujejo vse poslovne podatke in dokumente v mapo na omrežnem disku, ki je povezana v centralni sistem hrambe podatkov in dokumentov. Varovanje je urejeno z arhiviranjem v centralnem arhivskem sistemu.Uporabniki morajo za vse lokalno shranjene dokumente in podatke skrbeti sami z arhiviranjem na prenosljive medije (CD, DVD, USB, ipd.), ki jih primerno zaščitijo pred nedovoljenim dostopom. Za tako ustvarjen arhiv odgovarja uporabnik sam.

Mrežna infrastrukturaKonfiguracije komunikacijskih naprav so shranjene na centralnem mestu. Ob vsaki spremembi parametrov na komunikacijski opremi se naredi nova verzija varnostne kopije konfiguracijskih parametrov, s pomočjo katerih je mogoče ponovno vzpostaviti delovanje komunikacijskega omrežja.

Vzpostavljene so tehnične kontrole za preprečitev razširjanja in izvajanja škodljivih programov.

Preprečitev razširjanja in izvajanja škodljivih programov je izvedena z naslednjimi ukrepi:

Dovoljena je uporaba le odobrene rešitve za zaščito pred virusi. Sprotno posodabljanje proti-virusnega programa. Konfiguracija proti-virusnega programa, za avtomatsko obnavljanje

varnostnih definicij, vsaj enkrat dnevno. Če avtomatska obnova preko mreže ni mogoča, je potrebno vzpostaviti postopek za ročno obnovo virusnih definicij vsaj enkrat tedensko.

Konfiguracija proti-virusnega programa, da izvede preverjanje vsaj enkrat dnevno po obnovitvi varnostnih definicij in preverjanje celotnega sistema vsaj enkrat tedensko.

Opombe:

Če obstaja sum, da je na kateremkoli delu informacijskega sistema nameščena škodljiva programska oprema, je potrebno takoj obvestiti informacijskega varnostnega inženirja ali skrbnika, da pomaga zmanjšati škodo.

Informacije so med izmenjavo ustrezno zaščitene.V internem omrežju so vzpostavljene kontrole, ki preprečujejo prestrezanje in spreminjanje podatkov na komunikacijski poti. Pri izmenjavi podatkov s tretjimi strankami je potrebno vedno uporabiti zaščitene komunikacijske poti (šifriranje, digitalni podpisi, …).

Pred objavo javno dostopnih informacij se vse informacije ustrezno preverijo, tako da se zagotovi pravilnost objavljenih podatkov.

Pred objavo informacij na spletni strani je potrebno informacije preveriti. V okviru rednega preverjanja ranljivosti omrežja se izvaja tudi pregled ranljivosti javno dostopnih strežnikov.

Razvijalci programske opreme morajo v okviru priprave končne različice produkta izvesti tudi proti-virusno preverjanje.

V implementaciji te zahteve mora biti vključeno naslednje: Pred prenosom aplikacije v produkcijsko okolje mora biti aplikacija

varnostno preverjena. Varnostno preverjanje mora biti izvedeno tudi za popravke in nove različica

že vpeljanih aplikacij.

Namestitev popravkov programske opreme mora biti izvedena v okviru odobrenega postopka upravljanja s spremembami (change management process).

Sprememba podatkov in programov ni dovoljena brez v naprej načrtovane spremembe v skladu s postopkom upravljanja s spremembami, razen v primeru izrednega postopka za spremembe s strani pooblaščene osebe.

Nadzorne zapise je potrebno kreirati za sisteme, programe in mrežno opremo, kjer je to tehnično izvedljivo.

V nadzornih zapisih je potrebno beležiti naslednje aktivnosti: Uspešni in neuspešni poskusi prijave. Uspešni in neuspešni poskusi dostopa do nastavitev operacijskega

sistema (spreminjanje in/ali branje), ki odstopajo od splošno dovoljenih. Aktivnosti, ki jih izvaja administrator (npr. sprememba varnostne

konfiguracije). Zbiranje teh zapisov mora biti vedno vključeno. Uspešne dodelitve in razrešitve IP naslovov na ustreznih mrežnih

servisih (DHCP).

Nadzorne zapise je potrebno kreirati za vse uspešne in neuspešne poskuse dostopa do informacijskih sredstev UM iz zunanjih lokacij.

Vsi zapisi morajo biti shranjeni na ločenem sistemu v omrežju UM.Izjeme za zbiranje nadzornih zapisov niso dovoljene.Zapise je potrebno tedensko (avtomatsko ali ročno) preveriti zaradi odkrivanja sistematičnih napadov.

Podatki o aktivnosti morajo vsebovati vsaj naslednje parametre: datum, čas, tip poskusa dostopa, identifikacija uporabnika.

Različni informacijski viri hranijo informacije v različnih formatih z različnimi parametri. Vsi informacijski sistemi hranijo najmanj zgoraj naštete parametre.

Ure na vseh informacijskih sistemih so usklajene z dogovorjenim časovnim virom.Ure informacijskih virov znotraj UM se morajo sinhronizirati s centralno določenim časovnim virom na strežnikih RCUM-a ali članice univerze, ki se sinhronizira z zunanjimi strežniki.

2.4 Dostop do informacijskih sredstev

Cilj kontrol za dostop do informacijskih sredstev je zagotoviti dostop do informacij, zmogljivosti za obdelavo informacij in poslovnih procesov na podlagi poslovnih in varnostnih zahtev ter potreb.

Vsakemu uporabniku informacijske tehnologije na UM (zaposleni, študenti, zunanji sodelavci, zunanji izvajalci) je dodeljena unikatna oznaka.

Vzpostavljen je proces za dodeljevanje, spremembe in brisanje identifikacije uporabnikov.

Pooblastitev za skrbniški dostop do informacij temelji na poslovni potrebi ter jo določi lastnik informacijskega vira ali sistema.

Vzpostavljen je proces za redno letno preverjanje upravičenosti uporabnikov in drugih oseb , ki jim je dodeljena identifikacija za dostop do produkcijskih sistemov.

Identiteta uporabnika je overjena preden uporabnik prične z uporabo informacijskega sistema ali aplikacije.

Gesla za privilegiran dostop so dostopna samo osebam, ki jih potrebujejo pri svojem delu in so vezana na osebo, če je to možno.

Gesla za večkratno uporabo, ki se uporabljajo za preverjanje identitete upoštevajo definirana navodila, če tehnologija to omogoča.

Gesla za večkratno uporabo, ki se uporabljajo za preverjanje identitete, so zaščitena.

Sistemi ali aplikacije, ki uporabljajo gesla za neposredno komunikacijo z drugimi sistemi ali aplikacijami, lahko uporabljajo gesla, ki ne zastarajo.

Vse nedejavne seje se po določenem času neaktivnosti prekinejo.Dostop zunanjim sodelavcem in poslovnim partnerjem do internih informacijskih

sredstev UM mora biti odobren s strani odgovorne osebe ter tehnično omejen na najmanjšo možno mero za izvedbo dogovorjenih opravil.

Dobavitelj ali odgovorna služba mora poskrbeti za varnostno nastavitev uporabniških virov, ki dovoli dostop le pooblaščenim uporabnikom, potrjenim s strani lastnika informacijskega vira.

Vzpostavljen je tehničen nadzor za preprečevanje nedovoljenega dostopa do zaupnih podatkov UM in osebnih podatkov zaposlenih na UM, poslovnih partnerjev, strank ter drugih zaupnih podatkov.



ImplementacijaVzpostavitev registra uporabniških identifikacij.Vzpostavitev postopka rednega letnega preverjanja uporabniških identifikacij.

Natančen opis

Kontrola 20: Vsakemu uporabniku informacijske tehnologije na UM (zaposleni, študenti, zunanji sodelavci, zunanji izvajalci) je dodeljena unikatna oznaka.

Sistemi avtentikacije na UM se upravljajo ločeno. Posamezen uporabnik ima lahko na različnih virih različno unikatno oznako. Dodeljevanje pravic temelji na zahtevkih odgovornih oseb.

Vzpostavljen je proces za dodeljevanje, spremembe in brisanje identifikacije uporabnikov.

Dodeljevanje, spremembe in brisanje identifikacije uporabnikov poteka po postopku, ki je predpisan za posamezne sisteme oziroma vire. O dodeljevanju, spremembi in brisanju identifikacije uporabnikov odločajo lastniki informacijskih virov.

Postopki za zaposlene na UM:Dodeljevanje uporabniškega računa:

Kadrovska služba vnese osnovne podatke v kadrovski informacijski sistem za novo zaposlenega.

Odgovorna oseba na članici za zaposlenega na podlagi poslovne potrebe in v okviru svojih pooblastil, sestavi informacijske zahteve glede na delovno mesto, zadolžitve, funkcije in mandate in jih posreduje skrbniku sistema.

Skrbnik sistema ustrezno uredi uporabniške pravice in dostope za uporabniški račun ter obvesti o izvršeni akciji kadrovsko službo in vodjo zaposlenega.

Brisanje uporabniškega računa: Vodja zaposlenega posreduje podatke za zaprtje uporabniškega računa

skrbniku sistema. Poleg zahteve vodje zaposlenega lahko skrbnik preverja aktivnost

zaposlenih v kadrovskem informacijskem sistemu ter v primeru prenehanja delovnega razmerja ali delovne vloge uporabniku odvzame pravice dostopa do informacijskih sistemov.

Skrbnik sistema onemogoči dostop do uporabniškega računa in sproži postopke za ukinitev.

Sprememba uporabniškega računa: Vodja zaposlenega posreduje zahteve za spremembe skrbniku sistema. Skrbnik sistema ustrezno uredi uporabniške pravice in dostope za

uporabniški račun in obvesti o izvršeni akciji vodjo zaposlenega.

Pooblastitev za skrbniški dostop do informacij temelji na poslovni potrebi ter jo določi lastnik informacijskega vira ali sistema.

Dodeljevanje pooblastila za skrbnika se izvaja po v naprej določenem procesu, ki vključuje:

preverjanje potrebe, preverjanje nekaznovanosti, preverjanje potrebne izobrazbe in delovnih izkušenj.

Vsa pooblastila mora potrditi odgovorna oseba za informacijsko varnost.

Pregled poslovnih potreb za ohranjanje pooblastil se izvaja vsaj enkrat letno. Odstranitev pooblastil se izvede v treh delovnih dneh po odkritju, da ni več poslovnih potreb ali prejemu ustreznega obvestila.

Vzpostavljen je proces za redno letno preverjanje upravičenosti uporabnikov in drugih oseb, ki jim je dodeljena identifikacija za dostop do produkcijskih sistemov.

Preverjanje upravičenosti dostopa do posameznega informacijskega vira se izvaja za vsak informacijski vir posebej. Za pregled podatkov so odgovorni lastniki informacijskih sredstev.

Identiteta uporabnika je overjena preden uporabnik prične z uporabo informacijskega sistema ali aplikacije.

Na UM obstajajo naslednji načini overjanja: Aktivni imenik - AD (ali Lightweight Directory Access Protocol - LDAP) za

vse uporabnike informacijskega sistema. Overjanje, ki je izvedeno v posameznih informacijskih rešitvah (npr.

EDUROAM ipd.). Overjanje za dostop do zunanjih aplikacij kot so npr. ZZZV, elektronsko

bančništvo .Avtentikacija uporabnika predstavlja samo začetno preverjanje. Na informacijskem viru se po osnovni avtentikaciji v AD / LDAP izvaja avtorizacija dostopa do posameznih delov ali sklopov v okviru informacijskega vira.Dostop do nekaterih informacijskih virov je lahko izveden z dodatno avtentikacijo in avtorizacijo.V primeru neupravičenega dostopa lahko skrbnik onemogoči dostop do informacijskega vira ali ustrezno spremeni avtorizacijske pravice na informacijskem viru.V primeru uporabe zunanjih aplikacij je potrebno varnostne pristope, avtentikacijo in nastavitve uporabniških profilov nastaviti v skladu s ponudnikom/skrbnikom aplikacije.

Gesla za privilegiran dostop so dostopna samo osebam, ki jih potrebujejo pri svojem delu in so vezana na osebo, če je to možno.

Gesla za privilegiran dostop v informacijski sistem so dostopna samo osebam, ki jih potrebujejo pri svojem delu in so shranjena na varnem mestu (zapečatena kuverta). Vsak dostop do gesla je zabeležen.

Gesla za večkratno uporabo, ki se uporabljajo za preverjanje identitete, upoštevajo definirana navodila, če tehnologija to omogoča.

Priporočila za izbiro gesel so objavljena na spletni strani RCUM.

Gesla za večkratno uporabo, ki se uporabljajo za preverjanje identitete, so zaščitena.

Navodila za preverjanje identitete gesel so: geslo je šifrirano. Če šifriranje ni mogoče, je dostop do gesel omejen le na

avtorizirane skrbnike sistemov, gesla ne sme uporabljati več uporabnikov, razen če je zagotovljen nadzor

in evidenca (audit) uporabe po uporabnikih,

za ponastavitev gesla je zagotovljen varen proces, ki vključuje preverjanje zahtevka za ponastavitev gesla,

privzeto uporabniško geslo, ki je nastavljeno ob namestitvi operacijskega sistema ali aplikacije, je potrebno spremeniti med ali takoj po namestitvi,

prenašanje gesla preko interneta, javnih omrežij ali brezžičnih omrežij je dovoljeno le v varnem načinu v šifrirani obliki.

Sistemi ali aplikacije, ki uporabljajo gesla za neposredno komunikacijo z drugimi sistemi ali aplikacijami, lahko uporabljajo gesla, ki ne zastarajo (non-expiring).

Neposredna komunikacija z drugimi sistemi ali aplikacijami poteka preko odobrenih komunikacijskih poti. Vsako novo komunikacijsko povezavo med informacijskimi sistemi mora odobriti varnostni inženir oz. skrbniki informacijskih sistemov, ki se povezujejo.

Vse nedejavne seje se po določenem času neaktivnosti prekinejo.Nedejavne seje se po določenem času prekinejo. Čas je odvisen od kritičnosti sistema in ga določi lastnik vira. Uporabnik se mora po prekinitvi ponovno prijaviti.

Dostop zunanjim sodelavcem in poslovnim partnerjem do internih informacijskih sredstev UM mora biti odobren s strani odgovorne osebe ter tehnično omejen na najmanjšo možno mero za izvedbo dogovorjenih opravil.

Najmanj enkrat letno se opravi pregled vseh pravic in dostopov za zunanje sodelavce in poslovne partnerje. Če je mogoče se dostopi zunanjim sodelavcem omogočijo le na izrecno zahtevo.

Vsi nepotrebni dostopi do informacijskih sredstev UM se onemogočijo ali trajno izbrišejo. Pregled izvede lastnik informacijskega vira in rezultate posreduje odgovorna oseba za informacijsko varnost.

Dobavitelj ali odgovorna služba mora poskrbeti za varnostno nastavitev uporabniških virov, ki dovoli dostop le pooblaščenim uporabnikom, potrjenim s strani lastnika informacijskega vira.

Pred prehodom v produkcijsko okolje je potrebno onemogočiti vsa privzeta uporabniška imena in spremeniti privzeta gesla na vseh sistemih.

Dostop do informacijskega sistema je omogočen samo uporabnikom, ki dostop potrebujejo za opravljanje svojega dela.

Vzpostavljen je tehnični nadzor za preprečevanje nedovoljenega dostopa do zaupnih podatkov UM in osebnih podatkov zaposlenih na UM, poslovnih partnerjev, strank ter drugih zaupnih podatkov.

Dostop do zaupnih podatkov UM je dovoljen le tistim, ki ga potrebujejo in je izrecno odobren s strani vodstva. Dostop skupini je dovoljeno odobriti le, če vsi člani skupine potrebujejo dostop; če je le mogoče naj bo dostop urejen za posameznega člana.

V primeru, da ni mogoče vzpostaviti tehničnega nadzora, je vzpostavljen proceduralni nadzor, vključno z dnevnikom sprememb in dostopa do podatkov.

2.5 Upravljanje incidentov

Cilj upravljanja incidentov je zagotoviti, da se dogodki in slabosti informacijskih sistemov sporočajo na centralno mesto. Na podlagi tako zbranih dogodkov se sprejemajo vse aktivnosti za hiter, učinkovit in urejen odziv na incidente pri varovanju informacij.

Vse incidente je potrebno prijaviti odgovorni osebi za informacijsko varnost in skrbniku na predpisan način.

V primeru resnega varnostnega incidenta, kakor je: nedovoljen dostop do zaupnih ali občutljivih podatkov, sprememba ali ogrožanje celovitosti sistemov/strežnikov, odpovedovanje dostopnosti storitev (npr. denial of service – DOS/DDOS), sprememba ali kvarjenje spletnih strani ali strežnikov, vdor ali poizkus vdora v sistem, uničenje podatkov, prevara, in podobno; je potrebno izvesti predpisane aktivnosti.

Če se pri pregledu varnosti odkrije zlorabo pooblastil, morata biti o tem obveščena odgovorna oseba za informacijsko varnost in lastnik informacijskega sredstva.



ImplementacijaAžuren, natančen in verodostojen zapis incidentov, ki je dostopen le pooblaščenim osebam.

Natančen opisIzvor varnostnega incidenta je lahko notranji ali zunanji. Varnostni incidenti se razlikujejo po obsegu, cilju in učinkih na poslovanje UM.

Kontrola 33: Vse incidente je potrebno prijaviti varnostnemu inženirju in skrbniku na predpisan način.

Uporabnik prijavi varnostni incident skrbniku. Skrbnik odpravi napako in zavede intervencijo v dnevnik aktivnosti. Uporabnik po končani aktivnosti skrbnika potrdi odpravo incidenta. Vsi varnostni incidenti se beležijo v centralni register, ki ga vodi informacijski varnostni inženir.

V primeru resnega varnostnega incidenta, kakor je: nedovoljen dostop do zaupnih ali občutljivih podatkov, sprememba ali ogrožanje celovitosti sistemov/strežnikov, odpovedovanje dostopnosti storitev (npr. denial of service – DOS/DDOS), sprememba ali kvarjenje spletnih strani ali strežnikov, vdor ali poizkus vdora v sistem, uničenje podatkov, prevara, in podobno; je potrebno izvesti predpisane aktivnosti.

V primeru varnostnega incidenta se izvedejo naslednje aktivnosti: Obvestiti informacijskega varnostnega inženirja, ki izvede preiskavo

incidenta in izvede postopek za odpravo posledic incidenta.

Z nastankom varnostnega incidenta se začne voditi dnevnik, ki vsebuje vse informacije in akcije, povezane z varnostnim incidentom. Za vsak vnos v dnevnik je potrebno dodati datum, čas in vir informacije.

Če ni mogoče oceniti predvidenega časa izpada in se oceni, da je tveganje za UM visoko, mora osebje RCUM oz. članic univerze takoj pričeti z nadzorovanimi ukrepi za obvladovanje in zmanjšanje škode na poslovno informacijskem sistemu UM.

Varnostne incidente, povezane s fizično varnostjo je potrebno javiti pristojni varnostni službi.

V primeru suma varnostnega incidenta ni dovoljeno: Nepooblaščeno izvajati preiskave, saj bi to lahko imelo za posledico

uničenje sledi in ogrožanje preiskave. Obvestiti posameznike, pri katerih bi lahko bil izvor varnostnega incidenta.

Vse aktivnosti je potrebno uskladiti z informacijskim varnostnim inženirjem.

Poskusiti izvesti protinapad proti napadalcu. Tak postopek je nevaren in je lahko v nasprotju z zakonom.

Poskusiti odstraniti ogroženost brez odobritve informacijskega varnostnega inženirja, kar bi lahko imelo za posledico uničenje sledi in ogrožanje preiskave.

Informacije o preiskavi varnostnih incidentov so dostopne le tistim, ki so do njih upravičeni. Zato ni dovoljeno razkrivati podatkov o preiskavi, njenega namena, podrobnosti ali rezultatov nikomur, razen v primeru, da informacijski varnostni inženir oz. odgovorna oseba odloči drugače. Prav tako ni dovoljeno brez odobritve vodstva UM razkriti nobene informacije komurkoli izven UM.

Če se pri pregledu varnosti odkrije zlorabo pooblastil, morata biti o tem obveščena informacijski varnostni inženir in lastnik informacijskega sredstva.

2.6 Upravljanje neprekinjenega poslovanja

Cilj upravljanja neprekinjenega poslovanja je zaščita kritičnih poslovnih procesov pred posledicami večjih okvar informacijskih sistemov ali nesreč ter zagotovitev pravočasnega ponovnega delovanja.

Lastniki informacijskih virov in vodstvo na osnovi tveganj, verjetnosti in pomembnosti posameznega informacijskega vira določijo prioritete, ki določajo čas ponovne vzpostavitve delovanja za posamezne dele informacijskega sistema.

Podrobni postopki za ponovno vzpostavitev delovanja informacijskega sistema so zapisani v dokumentu »Okrevalni načrt«, ki je dostopen pooblaščenim osebam za njegovo kontrolo in izvajanje.

Predpisani postopki okrevalnega načrta se testirajo ob vsaki večji spremembi informacijskega sistema ali vsaj enkrat letno.



ImplementacijaIzdelava in preizkus okrevalnega načrta.

Natančen opis

Kontrola 36: Lastniki informacijskih virov in vodstvo na osnovi tveganj, verjetnosti in pomembnosti posameznega informacijskega vira določijo prioritete, ki določajo čas ponovne vzpostavitve delovanja za posamezne dele informacijskega sistema.

Prioritete posameznih kritičnih aplikacij glede na procese so določene v tabeli »Povezave med poslovnimi procesi in informacijskimi sredstvi«. Prioritete so označene z barvo, kjer rdeča pomeni najvišjo prioriteto, zelena pa najnižjo. Vsebina tabele se ažurira skladno z razvojem informacijskega sistema.

Podrobni postopki za ponovno vzpostavitev delovanja informacijskega sistema so zapisani v dokumentu Okrevalni načrt, ki je dostopen pooblaščenim osebam za njegovo kontrolo in izvajanje.

Okrevalni načrt vsebuje vse tehnične podrobnosti potrebne za obnovo sistemov, vključno s kontaktnimi podatki vseh oseb, ki so potrebne za izvedbo aktivnosti v okviru okrevalnega načrta.Okrevalni načrt se posodablja ob vsaki spremembi okolja na UM ali članicah univerze. Primeri sprememb pri katerih je potrebno posodobiti okrevalni načrt so nakup nove opreme, nadgradnja sistemov, vpeljava novih funkcionalnosti v sisteme in spremembe tveganj.

Predpisani postopki okrevalnega načrta se testirajo ob vsaki večji spremembi informacijskega sistema ali vsaj enkrat letno.

Testiranje se izvede s pomočjo vzpostavljenega testnega okolja za posamezne sklope ali v celoti, če to dopuščajo viri, ki so na voljo.

2.7 Združljivost

Cilj združljivosti je preprečiti kršitve zakonov in drugih zakonskih ali pogodbenih obveznosti in vsakršnih varnostnih zahtev.

Vsi osebni podatki so obravnavani kot to predvideva Zakon o varovanju osebnih podatkov (ZVOP-1).

Dostopi do zmogljivosti UM so opremljeni z opozorilom o dovoljeni uporabi in nedovoljenem dostopu oseb brez pooblastila.

Varnostni pregled informacijskih sistemov se mora izvajati redno v predpisanih intervalih.

Pregled varnostnih procesov mora biti izveden letno na reprezentativnem vzorcu različnih sistemov in lokacij.



ImplementacijaIzvedba neodvisnega varnostnega testiranja.

Natančen opis

Kontrola 39: Vsi osebni podatki so obravnavani kot to predvideva Zakon o varovanju osebnih podatkov (ZVOP-1).

Vse zbirke osebnih podatkov UM so prijavljene v registru zbirk osebnih podatkov pri informacijskem pooblaščencu Republike Slovenije. Pri varovanju se upoštevajo predpisane kontrole. Podrobneje je sistem varovanja osebnih podatkov opredeljen v pravilniku, ki ureja to področje (Pravilnik o zavarovanju osebnih in zaupnih podatkov št. A11/2006-524 JR).

Dostopi zmogljivosti UM so opremljeni z opozorilom o dovoljeni uporabi in nedovoljenem dostopu oseb brez pooblastila.

Nepooblaščena uporaba zmogljivosti UM za neposlovne potrebe je brez posebne odobritve vodstva prepovedana. Vsako nepooblaščeno dejavnost je potrebno sporočiti nadrejenemu, ki je zadolžen za izvajanje nadaljnjih postopkov.

Varnostni pregled informacijskih sistemov se mora izvajati redno v predpisanih intervalih.

Varnostni pregledi se morajo izvajati v rednih časovnih intervalih v odvisnosti od strežnika:

Tip strežnika Varnostni pregled

Spletni strežniki, splošno dostopni strežniki 3 meseci

Produkcijski interni strežniki 6 mesecev

Ostali interni strežniki in mrežna oprema 1 leto

Preverjanje mora vključevati najmanj naslednje elemente: Vse zahtevane kontrole morajo biti nastavljene in izvedene v skladu s

tehničnimi navodili. Skrbniška pooblastila imajo le odobreni uporabniki. Dostop do virov operacijskega sistema imajo le odobreni uporabniki. Vsi zahtevani programi za zaščito pred zlonamernimi programi in kodo so

nameščeni in delujoči. Zahtevano zbiranje nadzornih zapisov je vzpostavljeno.

Vsa ugotovljena odstopanja/nepravilnosti obravnava informacijski varnostni inženir in lastnik podatkov. Vodstvo UM je obveščeno o vseh nepravilnostih na rednih sestankih. Ob pojavu večjih nepravilnostih je vodstvo obveščeno takoj.

Opombe:Internetni strežniki, za katere je odkrita ranljivost in le-ta ni odpravljena v definiranem časovnem okvirju, se morajo umakniti iz uporabe, dokler se ranljivost ne odpravi.Uporaba orodij za preverjanje ranljivosti s strani nepooblaščenih oseb, je prepovedana.

Pregled varnostnih procesov mora biti izveden letno na reprezentativnem vzorcu različnih sistemov in lokacij.

Pri pregledu varnostnih procesov je potrebno zajeti: Upravljanje uporabniških sredstev. Fizično kontrolo dostopa. Dostop do informacijskih sredstev.

o Administracijo uporabniških identifikacij in gesel (odobritev, odvzem, redni pregledi, ponastavitev gesel),

o pooblastila za skrbniški dostop do informacij in sistemov. Zajem in pregled nadzornih zapisov.

o Hramba zahtevanih nadzornih zapisov. Integriteta informacijskih storitev in razpoložljivost.

o Upravljanje administracijskih in varnostnih pooblastil,o testiranje ranljivosti,o upravljanje nameščanja varnostnih popravkov,o nadzor in detekcija napačnih priklopov na sistem in sistematičnih

napadov,o aktivacija neodobrenih sistemov in servisov.

Prehodne in končne določbeInformacijska varnostna politika za področje IT velja za vse zaposlene na UM, ki skrbijo za informacijsko infrastrukturo.

Vsaka kršitev navodil v dokumentu se obravnava kot kršitev delovnih oziroma pogodbenih in študijskih obveznosti.





OSNUTEK

Informacijska varnostna politika za uporabnike

Vsebina1. UVOD................................................................................................................................................... 4

2. SPLOŠNA VARNOST IN ZAHTEVE ZA UPORABO......................................................................................5

2.1 DOVOLJEN NAČIN UPORABE RAČUNALNIŠKE OPREME ............................................................................................52.2 ZAKONODAJA ...............................................................................................................................................52.3 ZAŠČITA INFORMACIJ .....................................................................................................................................62.4 LOKALNO RAČUNALNIŠKO OMREŽJE ..................................................................................................................72.5 ZUNANJE POVEZAVE IN ODDALJENI DOSTOP ........................................................................................................82.6 ELEKTRONSKA POŠTA IN INTERNET ....................................................................................................................8

3. VARNOSTNE ZAHTEVE ZA DELOVNE POSTAJE......................................................................................12

3.1 VARNOST DELOVNE POSTAJE .........................................................................................................................123.2 VARNOST MOBILNIH NAPRAV ........................................................................................................................123.3 ZLONAMERNA PROGRAMSKA OPREMA .............................................................................................................123.4 POŽARNA PREGRADA ...................................................................................................................................133.5 DOSTOP DO DELOVNE POSTAJE ......................................................................................................................13

4. SPOROČANJE VARNOSTNIH INCIDENTOV............................................................................................14

5. PREHODNE IN KONČNE DOLOČBE.......................................................................................................15

1. Uvod

Dokument »Informacijska varnostna politika za uporabnike« vsebuje javne informacije, ki po klasifikaciji dokumentov ne potrebujejo posebne oznake. Z informacijami tega dokumenta morajo biti seznanjeni vsi uporabniki informacijskega sistema UM.

Dokument opisuje osnovne informacijske varnostne mehanizme, ki jih morajo poznati in spoštovati vsi zaposleni na UM, poslovni partnerji in ostali uporabniki informacijskega sistema UM.

Dokument obravnava odgovornosti vseh zaposlenih in drugih uporabnikov za zaščito informacij in infrastrukture UM in najpomembnejše postopke za zaščito delovnih postaj ter zaščito pred zlonamernimi programi.

Natančna navodila za implementacijo v tem dokumentu definiranih zahtev so opisana v ustreznih organizacijskih predpisih.

Nespoštovanje zahtev, opisanih v tem dokumentu, pomeni kršitev delovnih oz. pogodbenih in študijskih obveznosti.

Pri ostalih uporabnikih storitev UM, ki niso pogodbeno vezani z UM, je pristojnost RCUM ali da omeji ali odvzame dostop.

Dokument se pregleduje letno. V primeru predlaganih sprememb dokumenta varnostni inženir opravi pregled vseh predlaganih sprememb in pripravi končni predlog sprememb dokumenta.

2. Splošna varnost in zahteve za uporabo

2.1 Dovoljen način uporabe računalniške opreme2.1.1 Postavitev in konfiguracija delovne postaje za zaposlenePostavljanje in premeščanje stacionarne računalniške informacijske opreme uporabnikom in nepooblaščenim osebam ni dovoljeno.

Spreminjanje nastavitev delovne postaje (npr. spreminjanje parametrov dostopa do interneta, izklapljanje protivirusne zaščite, požarne pregrade, ...) s strani uporabnika ali druge nepooblaščene osebe določajo predpisi za posamezno članico UM.

2.1.2 Uporaba računalniške opreme in infrastrukture UM v zasebne namene

Uporaba računalniške informacijske opreme in infrastrukture UM, je namenjena samo za nekomercialno uporabo (pedagoška, raziskovalna raba). Uporaba zasebne računalniške informacijske opreme v informacijskem okolju UM ni dovoljena, razen v izjemnih primerih in ob odobritvi UM in v skladu z navodili RCUM ali ob predhodni odobritvi ustrezne pooblaščene osebe.

Uporaba zasebne računalniške opreme je dovoljena za študente in gostujoče strokovnjake (za čas gostovanja) v skladu s pravili uporabe, ki jih določa RCUM.

2.1.3 Uporaba interneta in elektronske pošteUporaba elektronske pošte in interneta se dovoljuje in omejuje v skladu s politiko UM in se regulira v smislu večanja varnosti in zmanjševanja informacijskih incidentov. Vse sistemske uporabniške aktivnosti se beležijo z namenom zagotavljanja nemotenega delovanja informacijskega sistema. Vsebina uporabniških aktivnosti, t.j. vsebina uporabnikovih paketov (vsebina e-pošte, vsebina priponk, vsebina obiskov internetnih strani), se ne beleži ali kako drugače spremlja.

Kakšno koli časovno omejeno pregledovanje šifriranega prometa SSL za znane ciljne naslove z namenom odkrivanja zlorab je dovoljeno le ob prehodnem obvestilu uporabnikov. V tem primeru je potrebno uporabnikom poslati po e-pošti natančno obvestilo o trajanju in obsegu pregledovanja, kar se mora objaviti tudi na spletni strani univerze in RCUM.

Omejevanje in sproščanje dostopa se izvaja v soglasju s članicami Univerze in ob potrditvi UM.

V primeru prejema nenavadne elektronske pošte ali neobičajnega obnašanja informacijskega sistema je uporabnik dolžan obvestiti odgovorno osebo za informacijsko varnost na UM in ravnati po njihovih navodilih. RCUM vodi evidenco informacijskih incidentov, ki jo redno pregleduje odgovorna oseba za informacijsko varnost in izvaja ustrezne varnostne ukrepe.

2.2 Zakonodaja2.2.1 Licence programske opremePosebna skrb mora biti posvečena pri uporabi programske opreme, ki je kot intelektualna lastnina zaščitena z avtorskimi pravicami. Pred nameščanjem programske opreme se lahko uporabnik posvetuje s skrbniki informacijskih sistemov.

Če uporabnik potrebuje programsko opremo, ki ni del standardne, se za nakup in nameščanje opreme dogovori s predpostavljenim, pri čemer sam odgovarja zanjo.

Uporaba programske opreme, pridobljene na nelegalen način, je prepovedana.

2.2.2 Avtorske pravice in intelektualna lastninaVečina informacij in programske opreme (glasba, video, programi, filmi, dokumenti, ...), ki so dostopni v javni domeni (vključno z internetom), je zaščitena z avtorskimi pravicami ali drugo obliko zaščite intelektualne lastnine. S kršenjem avtorskih pravic in intelektualne lastnine posameznik prevzame vso materialno in kazensko odgovornost. V primeru dvomov o možnosti uporabe materialov se je potrebno posvetovati s pristojno službo.

2.2.3 Varovanje zasebnostiUM zbira in vzdržuje osebne informacije, ki so zbrane v zbirkah, ki so objavljene v registru zbirk osebnih podatkov pri informacijskem pooblaščencu.

Osebne datoteke, informacije in podatke je potrebno vedno hraniti na za to predpisanih informacijskih sredstvih, ki so zavarovana. Postopki varovanja so podrobneje določeni v pravilniku, ki ureja to področje - Pravilnik o zavarovanju osebnih in zaupnih podatkov št. A11/2006-524 JR.

Zaposleni ne smejo dostopati do informacijskih sredstev drugih zaposlenih (npr. datotek, zapisov, drugih vsebin na različnih napravah in v fizični obliki) brez predhodne odobritve lastnika oz. skrbnika (v primeru osebnih podatkov brez privolitve posameznika).

2.3 Zaščita informacij2.3.1 GeslaGeslo v povezavi z uporabniškim imenom za računalniški dostop je glavni način identifikacije in posledično omogoča dostop do informacijskih virov UM. Za lastno zaščito in za zaščito informacijskih sredstev in virov UM mora biti geslo tajno in ga ni dovoljeno deliti z drugimi.

Na sistemih UM in aplikacijah je potrebno za postavljanje gesel in pri njihovem rokovanju upoštevati pravila, ki jih objavi RCUM na svoji spletni strani.

Gesla so obravnavana kot zaupne informacije. Uporabnik je dolžan skrbeti za tajnost svojega gesla, tako da:

ga ne deli ali razkrije drugim uporabnikom, ga ne sporoča po telefonu,

ga ne razkrije (npr. vodji, administratorju ali skrbniku računalniškega informacijskega sistema),

ne uporablja možnosti shranjevanja gesel v aplikacijah, ki to omogočajo, si ga ne zapisuje, ga ne shranjuje v informacijskih sredstvih (računalnik, dlančnik, mobilni

telefon ipd.), uporablja taka službena gesla, ki niso enaka geslom, ki se uporabljajo v

zasebne ali druge namene.

Šifrirna gesla za informacijska sredstva se uporabljajo za zaščito pred nedovoljenim dostopom in ne za identifikacijo. Zato ta gesla sporočimo nadrejenemu, ki jih shrani v zapečateni kuverti na varnem mestu.Pri dostopu do informacijskih virov, ki niso pod kontrolo UM (domači računalniki, privatni elektronski predal, ...), ni dovoljeno izbirati istih gesel kot za dostop do informacijskih virov na UM.

2.3.2 Varovanje zaupnih informacijVse informacije na UM so opredeljene kot je določeno v Pravilniku o zavarovanju osebnih in zaupnih podatkov št. A11/2006-524 JR.

Zaupne informacije UM morajo biti varovane pred nepooblaščenim dostopom, pregledom in spreminjanjem:

Zaupne informacije UM morajo biti praviloma kriptirane ob pošiljanju izven omrežja UM.

Zaupne informacije na prenosnih medijih (diskete, CD, USB ključi…) je potrebno označiti kot zaupne in hraniti v ustreznih prostorih ali omarah.

Zaupne informacije UM ne smejo biti shranjene na računalnikih, ki niso v lasti UM.

Pri tiskanju zaupnih informacij UM je dovoljeno uporabljati le interne tiskalnike. Tiskani material je potrebno takoj pobrati in varno hraniti.

Zaposleni morajo upoštevati načelo čiste mize. Ta določa, da ni dovoljeno puščati materialov z zaupnimi informacijami na mizi v času svoje odsotnosti. Zaupne materiale je potrebno hraniti v zaklenjenih predalih, omarah ali sobi.

Po prenehanju uporabe natisnjenih dokumentov oz. drugih medijev, ki vsebujejo zaupne informacije, je potrebno medije fizično uničiti ali podatke izbrisati na način, ki onemogoča obnovitev izvirnih informacij (razrez tiskanih medijev, fizično uničenje nosilcev kot so CD, DVD, večkratni prepis pomnilniškega medija z naključnimi vrednostmi).

2.3.3 Varovanje zaupnih podatkov poslovnih partnerjevV okviru običajnega poslovanja se na UM zbirajo tudi informacije o drugih organizacijah in poslovnih partnerjih. Te informacije so namenjene izključno poslovni rabi in so opredeljene kot zaupne.

2.4 Lokalno računalniško omrežjeOb priklopu na lokalno računalniško omrežje UM je potrebno upoštevati naslednje zahteve:

na omrežju se ni dovoljeno predstavljati kot nekdo drug (maskiranje), prisluškovanje omrežnemu prometu ni dovoljeno,

poganjanje sistemskih in varnostnih aplikacij na sistemih ni dovoljeno, razen pooblaščenim osebam,

dodajanje mrežnih naprav, ki razširjajo infrastrukturo UM (stikalo, usmerjevalnik, hub, modem, brezžična dostopna točka, ...) ni dovoljeno, razen pooblaščenim osebam. Uporabnik, ki dodaja mrežne naprave v omrežje UM, je odgovoren za njihovo uporabo in prav tako za dejavnosti vseh uporabnikov, ki so priključeni na to napravo.

V primeru uporabe drugih omrežij v prostorih UM se je potrebno predhodno posvetovati in upoštevati navodila informacijskega varnostnega inženirja in RCUM-a, ki določi pogoje za uporabo druge opreme (predvsem velja za opremo, ki omogoča brezžičen dostop).

2.5 Zunanje povezave in oddaljeni dostop2.5.1 Zunanje povezavePriklop sistemov ali omrežij na druge sisteme ali omrežja, vključno z internetom, ali direktne povezave, predstavlja za UM varnostno grožnjo, zato veljajo sledeče zahteve:

dostop do drugih omrežij je dovoljen le na sistemsko odobren način, ni dovoljen mimo varnostnih mehanizmov zaščite UM,

pred priključitvijo na informacijske sisteme ali omrežje UM iz zunanjih omrežij mora biti uporabnik registriran in mora uporabiti dovoljene vhodne točke. Dostop se uredi na pisno zahtevo in ob odobritvi odgovorne osebe.

2.5.2 Oddaljen dostop do virov UMZaposleni na UM lahko dostopajo do informacijskih virov na daljavo preko splošno dostopnih komunikacijskih poti in uporabi šifrirane povezave do omrežja UM.

Pri delu na daljavo, kjer ne uporabljamo informacijskih sredstev v lasti UM in za katere ne skrbi UM, je potrebno upoštevati:

na informacijsko napravo ne prenašamo informacijskih vsebin, ki so označene kot zaupne,

če za oddaljen pristop uporabljamo spletni brskalnik, ga po končanem delu zapremo in pobrišemo vse delovne procese-aplikacije,

vse delovne dokumente, ki smo jih ustvarili na oddaljenem informacijskem sredstvu izbrišemo in zapremo aplikacije.

2.6 Elektronska pošta in internet 2.6.1 Uporaba storitev elektronske pošteDo elektronskega predala UM so upravičeni vsi zaposleni na UM, zaslužni profesorji UM ter tisti, ki imajo pogodbo o zaposlitvi na UM v mirovanju. Vsem tem se omogoči uporaba elektronske pošte v obliki [email protected] na univerzitetnem strežniku za e-pošto.

Z dnem prekinitve delovnega razmerja se odvzame pravica do uporabe informacijskih sredstev, vključno z e-naslovom in ukinejo vsi dostopi do informacijskih virov.

Upokojenim (bivši visokošolski učitelji in sodelavci ter administrativno osebje, ki se je upokojilo na UM) se na zahtevo dodeli naslov elektronske pošte [email protected] na univerzitetnem strežniku za e-pošto, na katerega se preusmeri elektronska pošta z elektronskega naslova UM, ki je veljal pred upokojitvijo.

Elektronski naslov oblike [email protected] se omogoči za druge sodelujoče z UM, kjer obstaja za sodelovanje pravna podlaga s finančnim učinkom. V tem primeru vlogo, ki jo pripravi predlagatelj, ki je nekdo izmed zaposlenih na UM, odobri dekan ali rektor. Odgovornost predlagatelja je, da poskrbi, da se ob zaključku sodelovanja elektronski račun ukine, da ne pride do neupravičene uporabe sredstev UM. Opustitev takega dolžnega ravnanja se šteje za kršitev delovnih obveznosti.

Študentom se dodeli elektronski naslov oblike [email protected]. Pravica do uporabe informacijskih sredstev UM s strani študentov je povezana s statusom, ki ga ima posamezni študent.

Osebam , ki v posameznem študijskem letu nimajo statusa študenta in želijo opraviti oziroma dokončati študijske obveznosti, se po odobritvi pristojnega referata za študijske zadeve, ki obravnava individualno zaprosilo študenta, odobri dostop do informacijskih sredstev UM največ do konca študijskega leta. V teh primerih lahko Univerza v Mariboru zaračuna strošek dodelitve dostopa in uporabe informacijskih sredstev UM. Višino plačila določi Upravni odbor Univerze v Mariboru v Ceniku storitev Univerze v Mariboru.

Za druge potrebe, kot so: organizacijske enote, posamezni projekti, pomoč uporabnikom in podobno, se lahko odprejo institucionalni oziroma namenski predali oblike [email protected]. Elektronska sporočila, ki prispejo v take predale, uporabljajo in upravljajo pooblaščeni uporabniki. Znana mora biti odgovorna oseba.

Veljajo tudi naslednja pravila: elektronski naslovi za fizično osebo morajo biti oblike

ime.priimek@[guest,student].um.si . Ime je lahko tudi krajše kot uradno ime in je lahko tako, kot ga oseba uporablja (Nikolaj – Niko, Aleksander - Sašo).

Anonimnih elektronskih naslovov na UM ni. Dodeljen elektronski predal se uporablja za komunikacijo znotraj UM.

Uporaba drugih elektronskih predalov uporabnika je za komunikacijo znotraj in v imenu UM nezaželena.

Skrbnik sistema elektronske pošte UM je RCUM, ki sme posamezna administrativna opravila poveriti skrbnikom članic.

Skrbnik sistema elektronske pošte kreira in ureja uporabniške poštne predale na zahtevo pristojnih oseb, ki mu posredujejo vse potrebne podatke.

V primeru prenehanja uporabe ali ukinitve uporabniškega predala se ukine e-poštni naslov, kar lahko pomeni tudi ukinitev dostopa do domenskih storitev. Vsebina predala se izbriše po preteku treh mesecev od dneva zaprtja predala. Do zaprtja predala lahko uporabnik sam poskrbi za prenos/zaščito vsebine, po zaprtju pa za zaščito vsebine poskrbi skrbnik sistema elektronske pošte.

Preusmeritev elektronskih sporočil uporabnika v predal izven informacijskega sistema UM iz razlogov zagotavljanja razpoložljivosti ni dovoljena.

Uporaba poštnega predalaVsak uporabnik elektronske pošte ima svoj elektronski predal. Za druge potrebe, kot so: organizacijske enote, posamezni projekti, pomoč uporabnikom in podobno; se odprejo namenski predali. Elektronska sporočila, ki prispejo v namenske predale, uporabljajo in upravljajo pooblaščeni uporabniki.

Uporabnik ne sme uporabljati predala v neslužbene namene kot so pridobitna dejavnost, neslužbene (ankete in vprašalniki, trgovina, ipd.) in politične aktivnosti. Prepovedano je razpošiljanje vseh vrst neželene pošte.

Priporočila:Elektronska sporočila naj bodo kratka z malo priponk. Velikost poslane ali sprejete elektronske pošte skupaj s priponkami je omejena. V primeru, da je omejitev presežena, se sporočilo avtomatično zavrne. Pošiljatelj dobi obvestilo o zavrnitvi. Omejitev je preventivni ukrep za preprečevanje prekomernega obremenjevanja sistema. Če uporabnik po pomoti prejme sporočilo, ki mu ni namenjeno, vsebine tega sporočila ne sme shraniti ali uporabljati za katerikoli namen. O pomoti je dolžan nemudoma obvestiti pošiljatelja in prejeto sporočilo takoj izbrisati.

Pošiljanje in prejemanje elektronskih sporočilPri pošiljanju elektronskih sporočil mora uporabnik upoštevati načelo racionalnosti in varnosti. Obsežnih priponk naj se ne pošilja, če pa že, naj se jih pretvori v ustrezni format, ki omogoča stiskanje vsebine. Iz varnostnih razlogov dokumentov s končnicami, ki omogočajo avtomatsko izvajanje , ni priporočljivo prenašati z elektronsko pošto. Vsi pripeti dokumenti morajo biti opisani v besedilnem delu sporočila, tako da lahko prejemnik zanesljivo prepozna njihovo prisotnost in namen že iz spremljajočega opisa.Uporabnik se ne sme prijavljati s službenim naslovom na elektronske poštne sezname, če ti niso vsebinsko povezani z delovnimi nalogami uporabnika ali uporabljati službeni naslov elektronske pošte kot podatek pri izpolnjevanju elektronskih obrazcev, če ti niso vsebinsko povezani z delovnimi nalogami uporabnika.Uporabnik ne sme preusmerjati elektronskih sporočil.

Brisanje elektronskih sporočilUporabnik mora vzdrževati svoj elektronski poštni predal tako, da občasno arhivira in izbriše vsa elektronska sporočila, ki jih ne potrebuje več v službene namene ali so zasebne narave.

Skrbnik se lahko odloči za ukrepanje v primeru, če bi uporabnik: uporabljal elektronsko pošto za pošiljanje verižnih pisem, uporabljal elektronsko pošto za prenos množičnih sporočil ("spamming").

V primeru nedovoljene uporabe sistema za elektronska sporočila, lahko skrbnik začasno onemogoči uporabo sistema za uporabnika.

2.6.2 Uporaba storitev internetaUporabnikom je dostop do interneta omogočen za njihovo delo in izobraževanje. Uporabnik se mora obnašati racionalno in internet uporabljati kot delovni pripomoček. Omrežje UM je povezano z omrežjem internet preko povezave, ki jo zagotavlja ARNES, zato je potrebno upoštevati pravila dopustne rabe, ki jo predpisuje ARNES1.

Pri uporabi storitev v oblaku, ki omogočajo shranjevanje podatkov in peer-to-peer omrežij, ni dovoljeno prenašati ali shranjevati podatkov, ki so povezani z UM in dejavnostjo UM. Promet pri uporabi prenosa datotek je potrebno omejiti na razumno mejo, tako da ne onemogoča dela drugih uporabnikov.

Pravila obnašanja na internetuZa vsak dostop v omrežje internet se vodi evidenca v skladu z informacijsko varnostno politiko, ki je namenjena spremljanju uporabe interneta za statistične prikaze, za planiranje kapacitet strežnikov in za odkrivanje morebitnih zlorab. Ti podatki so tajni in ne vsebujejo osebnih podatkov uporabnikov.Omrežje internet smejo uporabljati le uporabniki informacijskega sistema UM, ki so vključeni v omrežje UM.Pri vključitvi v omrežje in uporabi storitve ni dovoljeno uporabljati lažnih ali zavajajočih osebnih podatkov.Nedopustno je pošiljati prispevke za nestrokovne ali osebne polemike, oglase, verižna sporočila ali početi karkoli, kar moti delo drugih uporabnikov.Ni dovoljeno prenašati podatkov z žaljivo ali pornografsko vsebino, tajnih podatkov ali podatkov, ki so zaščiteni z avtorskimi pravicami ali so v lasti drugih uporabnikov.Nedopustno je uničevanje ali spreminjanje podatkov, ki so last drugih uporabnikov, ter uporaba programov ali postopkov, ki ovirajo normalno delovanje informacijskih naprav, ki sestavljajo omrežje.

Skrbnik se lahko odloči za ukrepanje v primeru, če bi uporabnik: uporabljal javne konferenčne sisteme za komercialno oglaševanje, zmerjal, zasmehoval ali žalil druge uporabnike interneta ("flaming"), ščuval k verski, rasni, seksualni, nacionalni, politični ali kakšni drugi

nestrpnosti, izvajal aktivnosti, ki lahko povzročijo pošiljanje velikih količin podatkov in

privedejo do zavrnitve storitev (DoS in DDoS napad), izvajal aktivnosti, ki lahko privedejo do sprožitve velikega števila zahtev po

vzpostavitvi povezav in s tem onemogočijo uporabo storitev drugim uporabnikom ("SYN attack")

V primeru nedovoljene uporabe storitev na omrežju internet, lahko skrbnik začasno onemogoči uporabo sistema za uporabnika.

1 http://www.arnes.si/pomoc-uporabnikom/pravila-uporabe-omrezja-arnes.html

http://www.arnes.si/pomoc-uporabnikom/pravila-uporabe-omrezja-arnes.html

3. Varnostne zahteve za delovne postaje3.1 Varnost delovne postajeVsak zaposleni je odgovoren in dolžan poskrbeti za varnost in neodtujljivost njemu zaupanih informacijskih sredstev, ki so last podjetja. Na vseh delovnih postajah mora biti:

nastavljeno zaklepanje tipkovnice in zaslona, ki se samodejno vključi po določenem obdobju neaktivnosti, ki ne sme biti daljše od 15 minut,

med odmori ali odsotnostmi je obvezno aktiviranje zaklepanja tipkovnice in zaslona,

dokumenti, ki vsebujejo informacije z oznako zaupno, morajo biti šifrirani. Način šifriranja predpiše in uvede RCUM.

Varovanje mobilnih naprav (prenosnikov, tablic, mobilnih telefonov): napravo je potrebno imeti vedno pri sebi (velja tudi med uporabo vseh vrst

transportnih sredstev), naprave ni dovoljeno puščati na nezavarovanih in javnih mestih, v hotelu je potrebno napravo shraniti v sefu, če je le-ta na voljo in če je to

mogoče.

Če potujete z zaupnimi informacijami UM na prenosnih medijih (papir, CD, tablica,...), je potrebno informacije zaščititi na enak način kot mobilno napravo.

Opombe: Gesel, ki niso povezana z uporabniškimi računi (npr. geslo zagon naprave ali šifriranje diska), ni potrebno periodično spreminjati.Če izgubite ali vam ukradejo mobilno napravo ali zaupne dokumente, je potrebno to takoj sporočiti osebi, odgovorni za ravnanje z informacijsko komunikacijsko tehnologijo.

3.2 Varnost mobilnih naprav Mobilne naprave (dlančniki, tablice, mobilni telefoni z dostopom do podatkov,...) in prenosni mediji (USB ključ, prenosni diski…) potrebujejo fizično in logično zaščito, če so na njih shranjeni zaupni podatki UM ali se preko naprave do njih dostopa. Potrebno je poskrbeti za naslednje ukrepe:

prenosne informacijske naprave je potrebno imeti nenehno pri sebi, nastaviti je potrebno zaščitno geslo za vklop in časovno nadzorovan izklop

ali zaklepanje na napravah, ki to omogočajo.

Z mobilnimi napravami in prenosnimi mediji je potrebno ravnati varno in skrbno ter jih ni dovoljeno odlagati na nezaščitenih in javnih prostorih kjer so izpostavljene pogledom in možnosti odtujitve.

3.3 Zlonamerna programska opremaNa delovni postaji mora biti nameščena in delujoča protivirusna zaščita. Vrsto in način protivirusne zaščite določa odgovorna oseba za informacijsko varnost. Pri nameščanju protivirusne zaščite lahko pomagajo skrbniki.

Uporabnik mora spoštovati naslednje zahteve:

ne sme namerno nameščati zlonamerne programske opreme v naprave in jo namerno širiti,

v primeru suma zlonamerne programske opreme mora o tem takoj obvestiti odgovorno osebo za informacijsko varnost in postopati po njegovih navodilih,

ne sme odpirati in zaganjati njemu nepoznanih datotek, če ne pozna njihovega izvora,

zaposleni mora v primeru suma ali ugotovitve, da sistem protivirusne zaščite ne deluje ali ni ustrezno posodobljen, takoj obvestiti lastnika ali odgovorno osebo za informacijsko varnost,

ne sme preusmerjati obvestil o morebitnih resničnih ali lažnih novih virusih drugim uporabnikom, prijateljem in znancem. Sumljivo pošto mora posredovati skrbniku ali informacijskemu varnostnemu inženirju.

3.4 Požarna pregradaNa delovni postaji oz. mobilni napravi mora biti nameščena in omogočena požarna pregrada z ustreznimi varnostnimi nastavitvami, če je to tehnično mogoče. Požarna pregrada onemogoča nepooblaščen dostop do podatkov in nedovoljeno uporabo delovne postaje.

3.5 Dostop do delovne postaje Nepooblaščen in nedogovorjen dostop do datotek na delovni postaji s strani drugih uporabnikov preko računalniškega omrežja podjetja ni dovoljen in je praviloma tudi tehnično onemogočen.

Nepooblaščen in nedogovorjen oddaljen nadzor nad delovnimi postajami ni dovoljen. Pravila za omejeno in kontrolirano uporabo oddaljenega nadzora določa lastnik informacijskega sredstva.

4. Sporočanje varnostnih incidentovOb sumu, da se dogaja ali se je zgodil informacijski varnostni incident, je potrebno takoj obvesti odgovorno osebo za informacijsko varnost in se ravnati po posredovanih navodilih.

Zaposleni ne smejo raziskovati ali izvajati akcije proti napadalcu/krivcu. Za obravnavo informacijskih varnostnih incidentov je zadolžena odgovorna oseba za informacijsko varnost.

5. Prehodne in končne določbe

Informacijska varnostna politika za uporabnike velja za vse uporabnike informacijskega sistema UM.

Vsaka kršitev navodil v dokumentu se obravnava kot kršitev delovnih in študijskih obveznosti.


Informacijska varnostna politika za uporabnike prične veljati osmi dan po objavi v Obvestilih Univerze v Mariboru.



OSNUTEK

Informacijska varnostna politika za zunanje izvajalce

Vsebina1. UVOD................................................................................................................................................... 4

2. VRSTE DELA.......................................................................................................................................... 5

2.1. VZDRŽEVANJE – ČASOVNO NEOMEJENA UPORABA ..........................................................................................52.2. PROJEKTI – ČASOVNO ZAKLJUČENI NAJEM .....................................................................................................5

3. DOSTOP DO INFORMACIJSKIH SREDSTEV UM........................................................................................6

3.1. UPRAVIČENOST DOSTOPA ..........................................................................................................................63.2. DOSTOP DO INFORMACIJSKIH VIROV .............................................................................................................6

4. UPRAVLJANJE Z INFORMACIJSKIMI SREDSTVI......................................................................................10

5. PRIPOROČENA DOLOČILA POGODBE Z ZUNANJIM IZVAJALCEM...........................................................12

6. PREHODNE IN KONČNE DOLOČBE.......................................................................................................15

1. UvodDokument »Informacijska varnostna politika za zunanje izvajalce« vsebuje informacije, ki so po klasifikaciji dokumentov opredeljeni kot zaupni. Z informacijami tega dokumenta lahko razpolagajo samo zaposleni na UM in zunanji izvajalci.

Varnost informacijskega sistema je vitalna komponenta poslovanja UM.

Zaradi kompleksnosti informacijskega sistema so za njegovo obvladovanje potrebna specifična znanja, ki jih je v določenih primerih lažje zagotoviti s pomočjo zunanjih izvajalcev. Namen politike za zunanje izvajanje je zagotavljanje potrebnega nadzora nad delom zunanjih izvajalcev in prepoznavanje tveganj, ki jih vnašajo zunanji izvajalci v poslovne procese.

Dokument je razdeljen na štiri poglavja v katerih so opredeljeni načini dela, dostop do informacijskih virov, delo zunanjih partnerjev in pogodbene obveznosti.

Dokument se pregleduje letno. V primeru predlaganih sprememb dokumenta Varnostni inženir opravi pregled vseh predlaganih sprememb in pripravi končni predlog sprememb dokumenta.

4.Vrste delaPred dostopom zunanjih izvajalcev do informacijskega sistema UM se preuči vpliv zunanjega izvajanja na celoten proces in predvsem na zagotavljanje neprekinjenega poslovanja. Analizo vplivov opravi informacijski varnostni inženir. Analiza mora vsebovati tudi ukrepe v primeru nepričakovane prekinitve pogodbenega razmerja z zunanjim izvajalcem.

V primeru, ko varovanje informacij upravlja zunanji izvajalec, se določi način zagotavljanja ustrezne varnosti glede na oceno tveganja (prilagajanje varovanja, prepoznava in obravnava vseh sprememb v zvezi s tveganji).

Vse dejavnosti zunanjih izvajalcev so predmet rednih pregledov z namenom pregleda ustreznosti najema zunanjih izvajalcev in zagotavljanjem ustrezne kakovosti storitve.

4.1 Vzdrževanje – časovno neomejena uporabaVzdrževanje obsega vsa operativna dela, ki so potrebna za vsakodnevno delo.

Spremljanje in nadzor najema zunanjih izvajalcev.Za primer časovno neomejenega najema zunanjih izvajalcev se izvaja nadzor na podlagi v naprej dogovorjenih kriterijev in medsebojnih obveznosti opredeljenih v pogodbi. V primeru nenadne odpovedi pogodbe, so v načrtu neprekinjenega poslovanja opredeljeni alternativni postopki in način delovanja v primeru krajših ali daljših motenj.

4.2 Projekti – časovno zaključeni najemProjekt obsega razvoj novih produktov ali instalacijo/konfiguracijo informacijskih virov, ki se konča v naprej znanem roku. Vključuje tudi naloge (svetovalne, vzdrževalne), čeprav to po definiciji niso projekti.

Spremljanje napredka razvoja po v naprej zastavljenih časovnih mejnikih.Pri časovno zaključenem najemu zunanjih izvajalcev se izvaja spremljanje napredka razvoja oz. instalacije po v naprej določenih časovnih mejnikih opredeljenih za posamezen projekt.

Ukrepanje v primeru odstopanj od vnaprej zastavljenega načrta izvedbe projekta.Pri vsakem odstopanju od začrtanih rezultatov se ponovno preučijo vsa tveganja in sprejmejo ukrepi za zagotovitev pravočasnega zaključka projekta. V primeru večjih odstopanj lahko na podlagi ocene tveganj UM prekine pogodbeno razmerje in projekt dokonča z lastnimi viri ali z najemom drugega zunanjega izvajalca. Pri razvoju programske opreme je potrebno za takšne primere v pogodbo vključiti tudi člen, ki opredeljuje lastništvo izvorne programske kode.

5.Dostop do informacijskih sredstev UMOdgovorna oseba na UM je dolžna seznaniti zunanjega izvajalca z naslednjimi predpogoji za delo v prostorih UM:

opravljanje dela mora biti najavljeno vsaj 24ur pred načrtovanim posegom, razen v nujnih primerih, ko poseg zahteva odgovorna oseba UM,

ob prijavi posega je potrebno posredovati najmanj naslednje podatke:o ime in priimek zunanjega izvajalca,o ime podjetja zunanjega izvajalca.

Odgovorna oseba na UM skrbi za ažuren seznam zunanjih izvajalcev. V seznamu mora biti tudi naveden pripadajoč skrbnik posameznega področja.

5.1 Upravičenost dostopa

Dostop imajo samo zunanji izvajalci s sklenjeno pogodbo z UM.

Pred pričetkom del na UM mora imeti zunanji izvajalec sklenjeno pogodbo in če je potrebno tudi dogovor o varovanju poslovne skrivnosti.

Vzpostavljen je proces za redno letno preverjanje upravičenosti dostopa zunanjih izvajalcev.

Redno, letno, se pregleduje dodeljene pravice dostopa uporabnikov do posameznih informacijskih virov ter preveri, kdo ta dostop še potrebuje. Preverjanje se izvaja v sodelovanju lastnikom informacijskega vira.

Dostop zunanjim sodelavcem do internih informacijskih sredstev UM mora biti odobren s strani vodstva ter tehnično omejen na najmanjšo možno mero za izvedbo dogovorjenih opravil.

Najmanj enkrat letno se opravi pregled vseh pravic in dostopov za zunanje sodelavce in poslovne partnerje. Če je mogoče, se dostopi zunanjim sodelavcem omogočijo na izrecno zahtevo in z omejenimi termini pristopa.

Vsi nepotrebni dostopi do informacijskih sredstev UM se onemogočijo ali trajno izbrišejo. Pregled izvede skrbnik informacijskega vira in rezultate posreduje odgovorni osebi v RCUM-u.

5.2 Dostop do informacijskih virov

Vsakemu uporabniku informacijskega sistema UM (zaposleni, poslovni partnerji, zunanji izvajalci, študentje) je dodeljena unikatna oznaka.

Za uporabnike skrbi vsaka članica univerze zase. Uporabniki so zavedeni v posamezne sisteme članic oz. RCUM-a. V kolikor sistemi posameznih članic univerze in RCUM-a niso povezani, morajo skrbniki posameznih sistemov skrbeti za ažurno stanje podatkov o uporabnikih.

Za vzpostavitev oddaljenega dostopa za uporabnike in dostopa do spletnih aplikacij, ki niso v lasti UM, se uporabljajo ločeni sistemi za avtentikacijo.

Vzpostavljen je proces za dodeljevanje, spremembo in brisanje identifikacije uporabnikov.

Dodeljevanje, sprememba in brisanje identifikacije uporabnikov poteka po določenem postopku.

Dodeljevanje uporabniškega računa: Na osnovi pogodbe z zunanjim izvajalcem in podatkov oseb, ki bodo

opravljale delo na virih UM, se določijo prijavni parametri za vsako osebo, ki potrebuje dostop.

Vodja, odgovoren za izvedbo dela, na podlagi poslovne potrebe in v okviru svojih pooblastil podrobneje določi pravice glede na delo, ki ga bo opravljal zunanji izvajalec in jih posreduje skrbniku informacijskega vira.

Skrbnik informacijskega vira ustrezno nastavi informacijski sistem in seznani vodjo z izvršeno akcijo.

Brisanje uporabniškega računa: Vodja, odgovoren za izvedbo dela, posreduje podatke za izbris računa

skrbniku informacijskega sistema. Po prenehanju potrebe po dostopu (prekinitev pogodbe, končanje projekta)

se ukinejo pravice dostopa do vseh sistemov. Skrbnik onemogoči dostop do uporabniškega računa.

Sprememba uporabniškega računa: Vodja, odgovoren za izvedbo dela, posreduje zahteve za spremembe

skrbniku. Skrbnik ustrezno nastavi informacijski sistem in seznani vodjo z izvršeno

akcijo.

Pooblastitev za skrbniški dostop temelji na poslovni potrebi ter jo določi lastnik informacijskega vira ali sistema.

Dodeljevanje pooblastila za skrbnika se izvaja po v naprej določenem procesu, ki vključuje preverjanje potrebe in podpis dogovora o varovanju poslovne skrivnosti. Odstranitev pooblastil se izvede, če je to možno takoj, najkasneje pa v treh delovnih dneh po odkritju, da ni več poslovnih potreb ali prejemu ustreznega obvestila.

Vzpostavljen je proces za redno preverjanje upravičenosti zunanjih uporabnikov, ki jim je dodeljena identifikacija za dostop do produkcijskih sistemov.

Preverjanje upravičenosti dostopa do posameznega informacijskega vira se izvaja za vsak informacijski vir. Za pregled podatkov so odgovorni lastniki informacijskih sredstev.

Identiteta zunanjega uporabnika je overjena preden uporabnik prične z uporabo informacijskega sistema ali aplikacije.

Na UM obstajajo naslednji načini overjanja: aktivni imenik (AD), Open Lightweight Directory Access Protocol (LDAP), overjanje, ki je izvedeno v posameznih informacijskih rešitvah (npr.

Oracle, OpenVMS).

Avtentikacija uporabnika predstavlja samo začetno preverjanje. Na vsakem informacijskem viru se po osnovni avtentikaciji izvaja avtorizacija dostopa do posameznih delov oz. sklopov v okviru informacijskega vira.

Gesla za privilegiran dostop so dostopna samo osebam, ki jih potrebujejo pri svojem delu in so vezana na osebo. Gesla niso vezana na osebo le v izjemnih primerih.

Vsa gesla so shranjena na varnem mestu (zapečatena kuverta). Dostop do gesel imajo skrbniki informacijskih virov in komunikacijskega omrežja. Vsak dostop do gesla je zabeležen. Po prenehanju uporabe gesel za privilegiran dostop s strani zunanjih izvajalcev se vsa razkrita gesla ponastavijo na novo vrednost.

Gesla za večkratno uporabo, ki se uporabljajo za preverjanje identitete, upoštevajo definirana navodila, če tehnologija to omogoča: 1. Dolžina gesla mora biti vsaj osem znakov.2. Geslo ne sme vsebovati uporabniškega imena kot dela gesla.3. Sistem avtomatično zahteva zamenjavo gesla vsakih 180 dni.4. Geslo se ne sme ponoviti najmanj petkrat ali dve leti.5. Ob začetni nastavitvi gesla s strani službe informatike se geslo nastavi na

poteklo (expired) – uporabnik mora geslo spremeniti ob prvi prijavi.6. Priporoča se, da geslo vsebuje mešanico črk in ostalih znakov (številke,

ločila, posebni znaki).7. Zahteve za gesla so podrobneje opredeljene na spletni strani RCUM.

Gesla za večkratno uporabo, ki se uporabljajo za preverjanje identitete, so zaščitena: 1. Geslo je šifrirano oz. je zapisana samo zgoščena funkcija gesla, kadar se

hrani na informacijskih sistemih UM. Če šifriranje ni mogoče, je dostop do gesel omejen le na avtorizirane skrbnike sistemov.

2. Gesla ne sme uporabljati več uporabnikov, razen če je zagotovljen nadzor in evidenca (audit) uporabe po uporabnikih.

3. Za ponastavitev gesla je zagotovljen varen proces, ki vključuje preverjanje zahtevka za ponastavitev gesla.

4. Privzeto uporabniško geslo, ki je nastavljeno ob namestitvi operacijskega sistema ali aplikacije, je potrebno spremeniti med ali takoj po namestitvi.

5. Prenašanje nešifriranega gesla preko interneta, javnih omrežij ali brezžičnih omrežij ni dovoljeno.

Vse nedejavne seje se po določenem času neaktivnosti prekinejo.Nedejavne seje se po določenem času, ki ga določi skrbnik vira, prekinejo. Uporabnik se mora potem ponovno prijaviti.

Dobavitelj ali služba informatike mora poskrbeti za varnostno nastavitev uporabniških virov, ki dovoli dostop le pooblaščenim uporabnikom, potrjenim s strani upravljavca informacijskega vira.

Pred prehodom v produkcijsko okolje je potrebno onemogočiti vsa privzeta uporabniška imena in spremeniti privzeta gesla na vseh sistemih.Dostop do informacijskega sistema je omogočen samo uporabnikom, ki dostop potrebujejo za opravljanje svojega dela.

6.Upravljanje z informacijskimi sredstviZunanji izvajalec lahko dostopa v omrežje UM samo s parametri, ki mu jih določi

odgovorna oseba.

Za dostop do omrežja oz. sredstev UM je potrebno uporabljati samo programsko opremo, ki jo predpiše in potrdi odgovorna oseba za informacijsko varnost. Odgovorna oseba UM preda vse potrebne parametre za dostop na omrežje in/ali informacijska sredstva UM zunanjemu izvajalcu po podpisu pogodbe. Vse tehnične probleme rešuje zunanji izvajalec s skrbnikom sistema ali odgovorno osebo.

Zunanji izvajalec mora za dostop do omrežja UM uporabiti le varnostno pregledovano in licencirano informacijsko opremo.

Skrbnik informacijskega sistema UM ima pravico varnostno pregledati informacijsko opremo zunanjega izvajalca. V primeru odstopanj od standardov zaščite podjetja ima skrbnik pravico prekiniti (odvzeti) dostop zunanjemu izvajalcu do omrežja in/ali sistemov UM.

Zunanji izvajalec lahko opravlja dela v za to odobrenih prostorih.V primeru, da zunanji izvajalec opravlja delo v prostorih UM, se lahko priklopi na omrežje in opravlja svoje delo samo v prostorih, ki mu jih predpiše odgovorna oseba.

Zunanji izvajalec lahko opravlja dela samo ob prisotnosti zaposlenega na UM.Delo v zavarovanih prostorih (npr. prostor s strežniki) in na kritičnih sistemih lahko opravlja zunanji izvajalec samo ob prisotnosti zaposlenega na UM.

Dostop zunanjega izvajalca za delo na daljavo se odobri za vsak poseg posebej.Dostop potrdi odgovorna oseba, ki poskrbi, da se zunanjemu izvajalcu omogoči dostop do omrežja in/ali informacijskega sredstva UM s predpisano programsko opremo in ustreznimi parametri. Vsak dostop za delo na daljavo je časovno omejen na posamezen poseg in se ne sme izvajati zunaj razpona delovnega časa, če to ni posebej odobreno.

Zunanji izvajalci morajo uporabljati predpisano programsko opremo za vzpostavitev povezave do omrežja in/ali informacijska sredstva UM.

Dostop iz delovnih postaj izven omrežja UM je izveden z vzpostavitvijo varne povezave s predpisanim odjemalcem.

Delo preko zunanje povezave je možno samo za v naprej dogovorjene posege.

Zunanji razvijalci programske opreme morajo v okviru razvoja opraviti varnostno testiranje produkta.

Testne parametre za varnostno testiranje določi vodja projekta v sodelovanju z odgovorno osebo za informacijsko varnost. Rezultate varnostnega testiranja je potrebno predložiti takoj po opravljanjem testiranju, vendar najkasneje pred implementacijo programske opreme.

Zunanji razvijalci programske opreme morajo v okviru priprave končne verzije produkta izvesti tudi varnostno preverjanje (preverjanje prisotnosti škodljive programske opreme).

V implementaciji te zahteve mora biti vključeno naslednje: Pred prenosom aplikacije v produkcijsko okolje mora biti aplikacija

varnostno preverjena. Varnostno preverjanje mora biti izvedeno tudi za nove verzije že vpeljanih

aplikacij.

Nadzorne zapise je potrebno kreirati za vse uspešne in neuspešne poskuse dostopa do omrežja UM iz zunanjih lokacij.

Vsi zapisi morajo biti shranjeni na ločenem sistemu v omrežju UM. Izjeme v nadzornih zapisih niso dovoljene.

Zapise je potrebno tedensko (avtomatsko ali ročno) preveriti zaradi odkrivanja sistematičnih napadov.

Podatki o aktivnosti morajo vsebovati vsaj naslednje parametre: datum in čas, tip poskusa dostopa, identifikacija uporabnika.

Različni informacijski viri hranijo informacije v različnih formatih z različnimi parametri. Vsi informacijski sistemi hranijo najmanj zgoraj naštete parametre.

Po prenehanju dela mora zunanji izvajalec predati vso pridobljeno gradivo UM, ki ga je pridobil v času pogodbene aktivnosti na UM.

Zunanji izvajalec mora vso pridobljeno gradivo, ki ga je dobil v okviru izvajanja pogodbenih aktivnosti od zaposlenih na UM, predati pred zaključkom aktivnosti.

7.Priporočena določila pogodbe z zunanjim izvajalcemPred dostopom do informacijskih virov oz. omrežja UM je potrebno skleniti pogodbo oziroma ustrezen pisni dogovor z zunanjim izvajalcem.

V proces priprave pogodbe je vključena odgovorna oseba za informacijsko varnost, ki pomaga pri identifikaciji tveganj, načrtovanju ustreznih kontrol, sistema poročanja in kasneje nadziranju izvrševanja pogodbenih obveznosti, ter pravna služba.

V pogodbi je podan način dela in dostopa do omrežja in storitev, ki so predmet zunanjega izvajanja ali vzdrževanja. Podrobni podatki o dostopu vsebujejo ime in priimek osebe zaposlene v podjetju zunanjega izvajalca, izjavo o tajnosti in nerazkritju podatkov ter informacij, do katerih ima dostop med svojim delom.

Pogodba med zunanjim izvajalcem in UM vsebuje: - varnostne odgovornosti zunanjega izvajalca in njegovih podizvajalcev,- načine vzdrževanja in testiranja opreme, ki je predmet pogodbe z

zunanjimi izvajalci z namenom, da se ohrani zaupnost in celovitost informacij,

- postopke in varnostne mehanizme, ki se bodo upoštevali pri dostopu zunanjega izvajalca,

- način zagotavljanja varovanja opreme in podatkov, ki se vnašajo ali iznašajo iz UM,

- pravice pooblaščenih delavcev UM do stalnega nadzora izvajanja del zunanjega izvajalca,

- zagotavljanje skladnosti delovanja zunanjega izvajalca z veljavno zakonodajo in drugimi predpisi,

- merila, na podlagi katerih lahko naročnik (UM) in zunanji izvajalec ocenita ustreznost kakovosti storitve.

Določila v pogodbi med zunanjim izvajalcem in UM se pred podpisom ustrezno uskladijo tako, da zahteve v pogodbi ne vplivajo na oslabitev:

- izvajanja poslovnih dejavnosti,- procesa upravljanja s tveganji,- sistema notranjih kontrol.

To velja še posebej v primeru, če pogodbo pripravi zunanji izvajalec.

Pogodbene obveznosti zunanjih izvajalcev so določene glede na zahteve, ki izhajajo iz zagotavljanja ustrezne kakovosti storitev in identificiranimi tveganji, ki se nanašajo na storitev oz. poslovno dejavnost, ki jo izvaja zunanji izvajalec za UM.

Za zagotovitev ustrezne ravni kakovosti storitve vsebuje pogodba o ravni kakovosti storitev kvantitativna in/ali kvalitativna merila, na podlagi katerih lahko zunanji izvajalec in UM ocenita ustreznost kakovosti storitve.

Pred vsako uporabo imena UM v kakršnekoli namene (npr. marketing, reference) mora zunanji izvajalec pridobiti soglasje odgovorne osebe na UM.

Kontrole v pogodbi z zunanjimi izvajalciKontrola 40: Dela lahko opravljajo samo zunanji izvajalci s sklenjeno

pogodbo z UM. Podjetje zunanjega izvajalca določi osebe, ki bodo opravljale delo. Vsako spremembo oseb, ki potrebujejo dostop do virov UM, je potrebno sporočiti vnaprej.

Kontrola 41: Vsi posegi se opravljajo praviloma samo v testnem ali razvojnem okolju. V izjemnih primerih je možen poseg tudi neposredno na produkcijsko okolje. Vsak poseg v produkcijsko okolje mora biti predhodno odobren s strani odgovorne osebe in ustrezno nadzorovan.

Kontrola 42: Zunanji izvajalec mora upoštevati vse interno predpisane postopke in varnostne mehanizme pri delu z informacijskimi viri UM.

Kontrola 43: Opravljanje dela mora biti najavljeno vsaj 24 ur pred posegom, razen v nujnih primerih, ko poseg zahteva odgovorna oseba UM.

Kontrola 44: Ob prijavi posega mora zunanji izvajalec posredovati naslednje podatke:

ime in priimek osebe, ki bo opravljala poseg, ime podjetja zunanjega izvajalca, namen oz. opis posega.

Kontrola 45: Vsi posegi zunanjih izvajalcev morajo ohraniti zaupnost, razpoložljivost in celovitost obstoječih informacij.

Kontrola 46: Odgovorna oseba UM ima pravico stalnega nadzora izvajanja del zunanjega izvajalca.

Kontrola 47: Zunanji izvajalec lahko opravlja dela v za to odobrenih prostorih ali po posebni odobritvi na daljavo. Pri delu na daljavo mora upoštevati vse predpisane varnostne mehanizme.

Kontrola 48: Zunanji izvajalec lahko opravlja dela, kjer je potreben fizični dostop do informacijskih virov samo ob prisotnosti odgovorne osebe UM.

Kontrola 49: Dostop zunanjega izvajalca za delo na daljavo se odobri za vsak poseg zase.

Kontrola 50: Zunanji izvajalec se lahko priklopi na omrežje samo s parametri, ki mu jih določi / sporoči odgovorna oseba UM.

Kontrola 51: Zunanji izvajalci morajo uporabljati predpisano programsko opremo in način dela za vzpostavitev povezave do omrežja UM.

Kontrola 52: Delo preko stalno vzpostavljene zunanje povezave je možno samo za v naprej dogovorjene posege.

Kontrola 53: Vsak dlje trajajoči projekt / poseg se spremlja z namenom spremljanja napredka razvoja po v naprej zastavljenih časovnih mejnikih.

Kontrola 54: Vsak poseg je zabeležen z namenom spremljanja, ocenitve kakovosti in nadzora uporabe zunanjih izvajalcev.

Kontrola 55: Po končanem posegu mora zunanji izvajalec pripraviti poročilo o poteku in uspešnosti posega. Poročilo mora posredovati odgovorni osebi na UM.

Kontrola 56: Po končanem posegu mora zunanji izvajalec predati vse pridobljene informacije v okviru projekta odgovorni osebi na UM.

Kontrola 57: Poseg ali aktivnost se zaključi po sprejemu in potrditvi poročila o opravljenem posegu. Poročilo potrdi odgovorna oseba na UM.

8.Prehodne in končne določbeSkrbniki informacijske tehnologije po članicah so dolžni v roku 9 mesecev po sprejemu varnostne politike zagotoviti spoštovanje pravil iz tega dokumenta.

Informacijska varnostna politika za zunanje izvajalce velja za vse zunanje izvajalce UM.

Vsaka kršitev navodil v dokumentu se obravnava kot kršitev pogodbenih obveznosti.




Documents

v... · Web viewZa vsak vnos v dnevnik je potrebno dodati datum, čas in vir informacije. Če ni mogoče oceniti predvidenega časa izpada in se oceni, da je tveganje za UM visoko,