Varnostna politika informacijskega sistema in njeno uresničevanje : diplomsko delo

Teks penuh

(1)UNIVERZA V MARIBORU EKONOMSKO – POSLOVNA FAKULTETA MARIBOR. DIPLOMSKO DELO. VARNOSTNA POLITIKA INFORMACIJSKEGA SISTEMA IN NJENO URESNIČEVANJE. Matjaž Bunderla. Maribor, september, 2005.

(2) PREDGOVOR Informacije so življenjskega pomena, brez njih ni obstoja tako v zasebnem kakor tudi v poslovnem življenju. Njihova točnost, pravočasnost, razpoložljivost in varnost dajejo možnosti za aktivno upravljanje z njimi, za kvalitativno ravnanje in odločanje kakor tudi reagiranje na nepredvidljive situacije. Informacije, ki nosijo v sebi tako subjektivno kot objektivno vrednost, je potrebno varovati, torej zaščititi na način, da bodo čim manj izpostavljene nevarnosti. Popolne varnosti ni, a vprašanje ostaja, koliko se lahko popolni varnosti približamo, koliko časa in sredstev bomo tej temi namenili. Eden od varnostnih strokovnjakov Norbert Wiener pravi: »Živeti učinkovito pomeni, biti vedno dobro informiran!« Podjetja ne morejo biti učinkovita, če malomarno upravljajo z informacijami in sistemom, ki jih obdeluje, posreduje in shranjuje. Takšna podjetja na dolgi rok niso uspešna (v posameznih primerih še niti na kratek in srednji rok). Skrbno načrtovanje upravljanja z informacijami pogojuje uspešno poslovanje ter daje sposobnost konkuriranja in preživetja na vse bolj neusmiljenem trgu. Učinkovitost informacij zahteva kakovostno varovanje le-teh. Gospodarske in negospodarske organizacije se zavedajo nevarnosti (bolj ali manj), ki jim pretijo, koliko pa so pripravljene storiti za varnost svojih informacij in informacijskega sistema, pa je druga zgodba. Pomanjkljivo znanje in pristop velikokrat botrujeta temu, kar zaznavamo v dnevnem časopisju – velike izgube, denarne in nedenarne, zaradi vdorov v osrčja sistemov, kraje informacij, okužbe informacijskega sistema ali celo celotnega uničenja vitalnih informacij. Posredna škoda pa je zgolj le slepo ugotavljanje stanja. Navsezadnje nekatere družbe celo same priznavajo, da temu posvečajo premalo pozornosti (s tem tudi namenjajo manj sredstev). Naloga upravljavcev – managementa je, da skrbi za nemoteno poslovanje, naloga varnostnih upravljavcev pa, da zaščitijo informacije in informacijski sistem, da bo le-ta posloval nemoteno. Ker se podjetja med seboj zelo razlikujejo, velja zanje, da so izpostavljena različnim stopnjam nevarnosti, ugotoviti je potrebno tveganja na individualni ravni in nato začeti sprejemati ukrepe za zmanjšanje teh tveganj. Na tržišču obstaja mnogo orodij za zagotavljanje varnosti informacij in informacijskega sistema – požarni zidovi oz. pregrade, protivirusna oprema, sistemi za odkrivanje vdorov, zaščita pred nezaželenimi elektronskimi sporočili itd., a vendar sama namestitev ni dovolj. Za potrebe zaščite se je potrebno podrobno seznaniti z informacijskim sistemom, ugotoviti njegove najšibkejše točke, temo varnosti pa ne omejiti zgolj na varnostne strokovnjake temveč na vse zaposlene. Varnost ni nikoli dokončan projekt, je proces, ki se nenehno nadgrajuje in prilagaja turbolentnemu okolju.. 2.

(3) Drugi strokovnjak na področju varnosti Per Thorsheim pravi: »Najboljše orodje na področju zagotavljanja varnosti so človeški možgani; z modro uporabo bo varnost napredovala!« Človek je center vsega dogajanja, predstavlja najšibkejši člen v informacijski verigi in hkrati ima možnost najučinkoviteje vplivati na zaščito. Varnostni upravljavci so najbolj nadgrajena človeška orodja varnosti, dolžnost vseh zaposlenih pa je, da se seznanijo s tveganji in nevarnostmi, spoznajo metode in postopke ter orodja za zmanjšanje le-teh in tako v najboljši meri pripomorejo k zagotavljanju varnosti in doseganju različnih ciljev podjetja. Diplomska naloga podrobno obravnava sklop tem o varnosti informacij in informacijskega sistema; prikazuje grožnje in tveganja, katerim je izpostavljeno podjetje, in nato poda možne ukrepe za zagotavljanje varnosti. Brez ustreznega dokumenta ne gre, to je varnostna politika, ki opredeljuje metode in postopke varovanja tako na teoretični kot na praktični ravni. V njej se opredelijo vsi potrebni elementi varnosti ter določijo uresničljivi cilji. Od predanosti upravljavcev ter zaposlenih pa je odvisno, v kolikšni meri se bo varnostna politika upoštevala in uresničevala. Zanimivo bo videti, kaj bo prinesla informacijska prihodnost, kakšne poti bo ubirala, kako se bo pri tem obravnavala varnost, predvsem pa, kaj bo narekovala bodoča ekonomija. Neodvisno od smeri razvijanja pa bodo sedanja dognanja postala temelj, na katerem se bo poslovanje razvijalo.. 3.

(4) KAZALO PREDGOVOR ..................................................................................................................... 2 KAZALO.............................................................................................................................. 4 1. UVOD ............................................................................................................................... 6 1.1. Opredelitev področja in opis problema ......................................................................... 6 1.2. Namen, cilji in osnovne trditve...................................................................................... 6 1.3. Predpostavke in omejitve raziskave .............................................................................. 7 1.4. Predvidene metode raziskovanja ................................................................................... 7 2. INFORMACIJSKA INFRASTRUKTURA PODJETJA IN TVEGANJA ................ 8 2.1 Opredelitev informacijskega sistema.............................................................................. 8 2.2 Informacijski sistem in varnost....................................................................................... 9 2.2.1 Varnost...................................................................................................................... 9 2.2.2 Etična analiza uporabe informacijske tehnologije in računalniške varnosti ......... 11 2.3 Analiza tveganj informacijskega sistema ..................................................................... 12 2.3.1 Tveganje.................................................................................................................. 12 2.3.2 Analiza tveganj ....................................................................................................... 13 2.4 Uresničevanje zavedanja varnosti ................................................................................ 15 2.5 Trening varnosti............................................................................................................ 15 3. VARNOSTNA POLITIKA IN INFORMACIJSKA VARNOST.............................. 17 3.1 Informacijska varnost v podjetju .................................................................................. 18 3.1.1 Informacijsko varnostne zahteve ............................................................................ 18 3.1.2 Načela upravljanja informacijske varnosti............................................................. 20 3.1.2.1 Načela upravljanja z vidika praktične vrednosti za organizacijo..................... 20 3.1.2.2 Načela upravljanja z vidika formalnih pravil organizacij................................ 21 3.1.2.3 Načela za upravljanje sistema na tehnični ravni .............................................. 21 3.2 Razvoj varnostne politike ............................................................................................. 22 3.3 Potreba po politiki ........................................................................................................ 23 3.3.1 Potreba po nadzoru ................................................................................................ 23 3.3.2 Iskanje najboljših praks .......................................................................................... 24 3.4 Odgovornost managementa-upravljavcev .................................................................... 24 3.5 Planiranje politike......................................................................................................... 25 3.6 Hierarhija varnostne politike ........................................................................................ 25 3.7 Tipi politik .................................................................................................................... 26 3.8 Varnostni pregled ......................................................................................................... 26 3.8.1 Razvoj varnostnih postopkov .................................................................................. 27 3.8.2 Razvoj politike ........................................................................................................ 27 3.9 Oblikovanje varnostne politike..................................................................................... 28 3.9.1 Uporaba standardnega razvojnega procesa .......................................................... 30 3.9.2 Priporočljiva razvojna metoda ............................................................................... 31. 4.

(5) 3.10 Administracija in upravljanje s politiko ..................................................................... 32 4. ZAGOTAVLJANJE VARNOSTI IN ZAŠČITA INFORMACIJSKEGA SISTEMA ............................................................................................................................................. 33 4.1 Nadzor in upravljanje IS............................................................................................... 34 4.2 Zaščita računalniško informacijskih sistemov in omrežij ............................................ 36 4.3. Razpršena- omrežna zaščita......................................................................................... 37 4.4 Vdiralci- hekerji............................................................................................................ 38 4.5 Škodljiva programska oprema ...................................................................................... 40 4.5.1 Virusi, črvi in trojanski konji .................................................................................. 40 4.5.2 Škoda škodljive programske opreme ...................................................................... 41 4.6 Ukrepi za zagotavljanje varnosti IS.............................................................................. 42 4.6.1 Proti-virusna zaščita............................................................................................... 43 4.6.2 Fizična raven zaščite .............................................................................................. 43 4.6.3 Zaščita notranjega omrežja in VPN-navidezno zasebne mreže.............................. 45 4.6.4 Požarni zid .............................................................................................................. 46 4.6.5 Sistemi za odkrivanje vdorov-IDS in druga varnostna orodja ............................... 48 4.6.6 Varnost spletnih aplikacij ....................................................................................... 48 4.6.7 Vnos in uporaba verodostojnih kod ........................................................................ 49 4.6.8 Osnovne varnostne naloge...................................................................................... 50 4.6.9 Plan v času incidenta.............................................................................................. 50 4.7 Zaščita elektronske pošte.............................................................................................. 51 4.8 Popolna varnost ............................................................................................................ 53 4.8.1 Oblikovanje popolnega sveta varnosti.................................................................... 53 4.8.2 Stroški zagotavljanja varnosti ................................................................................ 55 4.9 Inteligentni avtonomni agenti....................................................................................... 57 5. SKLEP ............................................................................................................................ 58 6. POVZETEK ................................................................................................................... 60 7. SEZNAM LITERATURE IN VIROV......................................................................... 61 8. PRILOGA ...................................................................................................................... 65. 5.

(6) 1. UVOD 1.1. Opredelitev področja in opis problema Informacijski sistem podjetja je postal temelj, na katerem se posluje in gradi poslovanje v visoko tehnološko razvitem okolju. Značilnost sodobnega uspešnega podjetja je prilagodljivost na mnoge spremembe, še zlasti na področju informatike, ki prevzema vse dominantnejšo vlogo. Komunikacija in pretok informacij sta pomembna za obstoj in rast slehernega podjetja, varovanje le-tega pa postaja vedno bolj kompleksno in zahtevno. Zaščita podatkov in informacij je prerasla začetno varnostno politiko velikih podjetij, dejstvo je, da mora sodobno podjetje nenehno vlagati sredstva v zaščito svojih vitalnih informacij in informacijskih sistemov pred zlorabo ali uničenjem. Brez tega je obsojeno na propad. Kljub poplavi informacij glede zaščite informacijskih sistemov pa obstaja še veliko podjetij, ki tej temi pripisujejo premajhen pomen. Pogosto ne vedo, kaj grozi njihovim poslovnim sistemom, kakšna tveganja obstajajo, možne načine okužbe in vdora v njihove sisteme, kar s seboj prinaša veliko motenj v poslovnem procesu, težav pri odpravljanju in posledično nepotrebne višje stroške poslovanja. Varnostna politika podjetja in njeno uresničevanje postajata ključen element, potreba in zahteva za vse poslovne sisteme, gospodarske in ostale, ki poslujejo preko interneta, sodelujejo s partnerji ali se soočajo z različnimi stopnjami težavnosti poslovanja. Uresničevanje varnostne politike je zahtevna naloga managementa, ki mora delovanje le-te sproti preverjati in dopolnjevati. 1.2. Namen, cilji in osnovne trditve Namen diplomske naloge je prikazati pomen varnostne politike podjetja in njenega uresničevanja v obdobju turbolentnega razvoja novih virusov in nepooblaščenih vdorov v osrčja sistemov. Z diplomsko nalogo se naslanjamo na področje poslovanja, ki rapidno pridobiva na pomenu, saj z novimi tehnologijami in novimi priložnostmi prihajajo nove pasti in nevarnosti. Cilji, ki jih želimo doseči z diplomsko nalogo so: . prikazati tveganja, s katerimi se soočajo podjetja, definirati pojme varnostne politike in njenega uresničevanja, opredeliti varnost in varovanje računalniških informacijskih sistemov, prikazati nevarnosti, ki pretijo podjetjem in nakazati ukrepe, ki zmanjšujejo te nevarnosti.. Pomen varnostne politike je pomemben del celotne politike podjetja. Dejstvo je, da se v današnjem času podjetja tega premalo zavedajo, varnostne politike nimajo, jo zanemarjajo, je pomanjkljiva ali pa se je ne znajo primerno lotiti, to je na pravilen način zastaviti in jo uresničevati. Obstaja enovit način reševanja varnosti informacijskih sistemov, to je s posameznimi ukrepi prilagojen sodobnim tržnim razmeram.. 6.

(7) 1.3. Predpostavke in omejitve raziskave Glavna predpostavka diplomske naloge je, da bo postalo okolje podjetja vedno bolj spremenljivo zaradi konkurenčnosti in hitrega tehnološkega razvoja, kar pomeni, da bo varnostna politika vse bolj pridobivala na pomenu in bo postala del dnevnega poslovanja. Z novimi priložnostmi bodo nastajali novi podjemi in tehnologije, z njimi pa nove grožnje in tveganja za podjetja, ki jih bodo le-ta morala obvladovati. Menim, da se bo varnostna politika razvijala še naprej in postala orodje za učinkovit način obvladovanja tveganj. Omejitve naloge so naslednje: . v diplomski nalogi se bomo posvetili varnostni politiki na splošno in na način, ki pokriva politiko v sodobnih tržnih podjetjih in drugih organizacijah, pri uresničevanju varnostne politike se bomo omejili na informacijski sistem podjetja in pretok informacij preko informacijskih spletnih kanalov, več različnih tipov poslovanj podjetij prinaša tudi več različnih tipov varnostnih politik, obseg raziskave bo dovoljeval podrobno spremljanje politike, ki pokriva vse organizacije.. 1.4. Predvidene metode raziskovanja Pri obravnavanju varnostne politike in načinih njenega uresničevanja je potrebno preučiti obsežno strokovno literaturo kakor tudi vse sodobne vire, internet in članke v redni izdaji, ki proučujejo to temo in poročajo o novih spremembah. Izvedli bomo poslovno raziskavo, saj bo raziskava proučevala informacijski sistem podjetja. Naša raziskava bo dinamične narave, saj bo upoštevala spremembe različnih parametrov varnosti informacijskega sistema podjetja. Uporabili bomo deskriptivni pristop s sledečimi metodami: . metoda deskripcije – opisovali bomo vse procese in pojave ter dejstva obravnavana na temo varnostne politike v okviru informacijskega sistema, metoda kompilacije – povzeli bomo določena spoznanja in rezultate drugih avtorjev.. 7.

(8) 2. INFORMACIJSKA INFRASTRUKTURA PODJETJA IN TVEGANJA 2.1 Opredelitev informacijskega sistema Informacijski sistem (v nadaljevanju IS) predstavlja temeljni živčni sistem celotnega podjetja, z njim obvladujemo celotno poslovanje podjetja, obvladujemo stroške ter ga uporabljamo kot orodje za posamezne ali vrste ukrepov pri izvajanju sprememb. Ostali sistemi znotraj podjetja so zasnovani na njem kot tudi povezava podjetja z okoljem. IS je celota sestavin, ki zagotavljajo podatke in informacije ter povezave med temi sestavinami v organizaciji in njenem okolju. Ljudje z uporabo informacijske tehnologije pridobivajo in posredujejo podatke, da si z njimi oblikujejo informacije v zvezi s procesi. Cilj IS je posredovati potrebno informacijo na pravo mesto v najkrajšem možnem času z minimalnimi stroški (Sriča 1995, 21). Njegove štiri temeljne funkcije so: zbiranje podatkov, obdelava podatkov, hranjenje podatkov in informacij, posredovanje podatkov in informacij uporabnikom. IS je sestoji iz naslednjih sestavin: Hardware – strojna oprema, ki sestoji iz informacijske tehnologije kot so osebni računalniki, delovne postaje, strežniki, modemi, komunikacijske linije itd., Software – programske oprema in rešitve za uporabo strojne opreme, Lifeware – ljudje kot uporabniki informacijskih tehnologij IS, Orgware – organizacijski postopki, metode in načini povezovanja teh sestavin v skladno in funkcionalno celoto, Netware – zasnova in realizacija komunikacijskega povezovanja vseh elementov sistema v skladno celoto in Dataware – podatkovni viri, to je zasnova, sestava in vsebina informacijskih virov vsebovana v bazi podatkov. Z vidika varnosti je pomemben vsak nivo IS, saj predstavlja močno orožje za obvladovanje poslovnih aktivnosti (prav tam, 26). IS v podjetju se uporablja: kot strateško orožje, za avtomatiziranje in združevanje proizvodnih in poslovnih postopkov, ki bi jih sicer opravljali ročno in kot podlaga za upravljanje in vodenje oz. vir informacij, ki jih upravljavci – managerji potrebujejo pri sprejemanju poslovnih odločitev. Ločimo dve temeljni obliki in sicer poslovni ter upravljalni IS, vendar z vidika varnosti in zaščite sestavljata enotni del. Poslovni IS je sestavljen iz določenega števila takšnih računalniško podprtih funkcij in procesov, ki jih imenujemo podsistemi. Večji del funkcij postane sčasoma računalniško podprt in šele takrat lahko govorimo o celovitem IS. Informatika je dejavnost oblikovanja, uvajanja in izvajanja IS v organizaciji, je pa tudi teoretična disciplina o sestavi, oblikovanju, delovanju in vzdrževanju IS.. 8.

(9) 2.2 Informacijski sistem in varnost Bolj kot je posamezna organizacija odvisna od informacijske tehnologije in IS, tem bolj se mora posvečati problematiki varnosti in vsega v zvezi z njo. Pomembnost varovanja podatkov in informacij pride v ospredje šele ob izgubi vitalnih informacij ali ob težavah in motenjih poslovnega procesa. Podjetje je prisiljeno opredeliti, kaj pomeni zanjo varnost in hkrati kakšna je nevarnost, ki jo ogroža. 2.2.1 Varnost Varnost je v bistvu izključevanje nevarnosti. Govoriti o varnosti je zelo težko, če ne celo nesmiselno, če ne znamo ali ne moremo opredeliti nevarnosti. Ko govorimo o nevarnosti, je bistveno vprašanje, kdo je tisti, ki se boji in je v nevarnosti (Vidmar 2002, 501). Tehnološki elementi varnosti so pogojeni s stopnjo uporabnikove varnosti. Torej je uporabnik tisti, ki mora opredeliti stopnjo varnosti/nevarnosti, ki jo zanj pomeni IS. V tem poslovanju se varnost uporabniškega poslovanja in mesto IS postavljata v ospredje, poleg tehnologije poslovanja pa je pomembna tudi njena organiziranost. Organizacijski segment varnosti je enako, če ne celo bistveno, pomembnejši kot tehnološki. Uporabniška varnost in vloga IS v poslovanju pogojujeta potrebne varnostne mehanizme in varnostne politike, ki jih je treba vgraditi v uporabniško naravnan sistem. Na prvo mesto postavljamo uporabnika, varnost pa je v veliki meri opredeljena subjektivno, tako ima osveščenost uporabnika pri obravnavanju varnosti oz. stopnji varovanja ključno vlogo pri uvajanju varnostnih mehanizmov. Običajno pa je uporabnikova osveščenost na žalost še vedno zelo redek pojav in je na zelo nizkem nivoju, posebno ko gre za uporabo informacijskih tehnologij. Ker je varnost pogojena z razgledanostjo uporabnika oz. s tem, koliko se nevarnosti zaveda in katere od teh se mu zdijo pomembne za njegov občutek varnosti, je treba reševanje varnostnih problemov v okviru tako imenovanih varnostno občutljivih sistemov prepustiti specialistom – varnostnim strokovnjakom (prav tam, 503). Dejstvo je, da absolutno varnega sistema ni. Stopnja varnosti je odvisna predvsem od tega, koliko se ukvarjamo s tistimi nevarnostmi, ki nam objektivno grozijo, in ne kar z nekim imaginarnim notranjim, zunanjim ali kakršnimkoli sovražnikom. Napadalec je v končni fazi vedno človek in ne na splošno neka služba, organizacija ali država. Varovanje naj bo usmerjeno v preprečevanje potencialno možnih nevarnosti, le-te lahko predvidimo, še več pa jih lahko identificiramo s kakovostnim in zanesljivim nadzorom sistema. Varnost je zelo draga dobrina še posebno takrat, ko imamo opraviti s politiki in z državo. Ne smemo prezreti možnosti, da je poslovanju lahko nevaren tudi legalen, registriran uporabnik, ki koristno izkorišča svoj status. Taka korist je lahko posledica njegovega neznanja, lahko pa svoj status proda in da na razpolago zunanjemu sodelavcu. To dejstvo je seveda dovolj močan argument za to, da moramo nadzorovati tudi legalne uporabnike. V praksi se je izkazalo, da so ti v bistvu najšibkejši element varnostnega sistema. Ne smemo pozabiti, da se za denar dobi vse.. 9.

(10) Varovanje tehnoloških virov IS je veliko lažji in veliko cenejši posel kot pa nadzor iznajdljivih uporabnikov. Tehnologije so dobre, znane in zanesljive, problematična pa je organizacija njihove pravilne uporabe (prav tam, 504). Vidiki, ki vplivajo na uporabniško varnost: usposobljenost uporabnikov za delo z IS je širok pojem in predpostavlja izvedbo različnih tečajev in podobnega usposabljanja, možnost dostopa do uporabniških pripomočkov, ki morajo biti vedno na voljo, neposredno uvajanje pri delu in v primeru težav pomoč na delovnem mestu, motivacija je pomemben del organizacije poslovanja, saj zagotavlja delovanje uporabnikov v dogovorjenih in predpisanih okvirih na posameznih delovnih mestih, plača je v tem primeru zelo pomemben dejavnik varnosti, kooperativnost pogojuje uspešno poslovanje in servisiranje IS, saj uporabniki s pravilnim odnosom do svoje okolice prispevajo k uspešnosti celotne produkcije, splošni pogoji poslovanja niso brez pomena. Očitno je varnost kompozit različnih vidikov. Pomembno se je zavedati, da posameznih vidikov varnosti ne moremo obravnavati izolirano in posamično, temveč je pomembno, da upoštevamo tudi njihovo medsebojno odvisnost. IS je varnejši, če nam uspe ugotoviti prepletenost in odvisnost posameznih vidikov varnosti. Tehnologija in tehnika lahko prispevata zgolj izvedbena orodja.Varnost IS je zelo obsežno področje. Treba ga je zelo skrbno strukturirati in načrtovati. Varnost je mogoče razdeliti na dve področji (Vidmar 2002, 505): Zanesljivost – opredeljuje varnost, ki jo določa razmerje med uporabniki in IS. Zanesljivost IS v najširšem smislu pomeni zagotavljanje razmer za delovanje storitev in normalno delo uporabnikov. Jasno je, da se uporabnik ne počuti preveč varnega, če ve, da IS vsake toliko časa odpove, da se podatki, ki jih vnaša v podatkovne baze, izgubljajo, da so rezultati njihovega procesiranja večkrat nepravilni. Zanesljivost IS dosežemo predvsem s skrbnim načrtovanjem, nadzorom in upravljanjem. Pri tem imata pomembno vlogo organiziranost poslovanja in usposobljenost uporabnikov. Zaščita – zaščita opredeljuje varnost, ki jo določa razmerje med dejansko uporabo in predvideno namembnostjo IS. Zaščita IS onemogoča izvajanje nelegalnih storitev. To pomeni, da je potrebno zagotoviti, da se v IS ne izvajajo storitve, za katere ta ni predviden. To velja za regularne in tudi za neregularne uporabnike. Drugi vidik zaščite je preprečevanje dostopa do virov IS neregularnim uporabnikom. Neregularnega uporabnika bomo poimenovali kar vdiralec. Tudi t. i. registriran uporabnik je lahko vdiralec, če deluje zunaj svoje uporabniške kvote oz. pravic, ki mu jih dodeljuje upravljavec IS.. 10.

(11) 2.2.2 Etična analiza uporabe informacijske tehnologije in računalniške varnosti Pri uporabi informacijskih tehnologij se odpirajo določena vprašanja, ki zadevajo osebnost uporabnika. Opozoriti velja na tri pristope etičnosti glede informacijsko tehnološke varnosti sedanjosti in prihodnosti: pristop upoštevanja pravic in dolžnosti, utilitaristični pristop (glede na korist) in pristop pomislekov o pravičnosti in zakona. Specifične odločitve vključujejo nove tehnologije v novem tisočletju, toda problematika etike in morale ostaja ista (Gilbert 2001, 20). Etična analiza pomaga posameznikom kot tudi skupinam pri zaskrbljenosti- ali na prav način delajo prav! Najpomembnejša etična vprašanja so (središče za e-poslovanje 2004): Varovanje osebnosti – postane vprašljivo tedaj, ko ni mogoče priti le do posameznega podatka temveč tudi te podatke povezati v celoto, nakar pridemo do posameznikovih osebnih informacij o njegovih navadah. Varovanje zasebnosti ali nadzor zaposlenih – v nepredvidljivem okolju sveta informatike polnem nevarnosti je potrebno zmanjšati tveganja na minimum. Analiza pokaže, da je to v moralni dilemi le uravnoteženje med interesi delodajalcev in zaposlenimi. Politike in postopki, ki vzamejo v zakup pravice in odgovornosti enih in drugih, dajejo analizo in odgovor določenim situacijam v praktičnem in etičnem smislu, ne rešijo pa vseh situacij saj so le ta podvržena moralnim in etičnim vrednotam sleherne posamične situacije. Nadzorovanje elektronske pošte, telefonskih pogovorov ali obiskov spletnih strani se zdi sporno s strani zaposlenih kot tudi dejstvo, da lahko zaposleni izkoriščajo telefone v zasebne namene, porabljajo čas za elektronsko pošiljanje zasebne narave kot tudi spletnega ogledovanja strani, ki niso v korist podjetja ampak, tako le ogrožajo podjetje in njen IS (oddajanje internih informacij, okužba preko elektronske pošte, interneta, itd.). Še zmeraj pa obstaja vprašanje, koliko je vredno samoizobraževanje zaposlenih preko svetovnega spleta, ki prinaša učinke šele na določen rok, ter zaposlenih, ki delajo preko delovnega časa in pod določenimi pogoji. Razosebljanje – se kaže v stikih, ki jih imajo uporabniki z drugimi preko IS in Interneta, povečuje se obseg komunikacij tudi z ljudmi, ki jih ne poznamo osebno, tehnologija omogoča navezati več stikov, kot pa smo to sposobni osebno uresničiti. Varovanje intelektualne lastnine – je sicer urejeno s pravnimi predpisi, v veliki meri pa pogojeno z vrednotami in normami, ki so vgrajene v zavest ljudi. Pri vseh treh pristopih velja piratstvo programske opreme za neetično dejanje. Z zakonskega vidika je to kraja intelektualne lastnine, saj proizvajalec ne prejme denarja, ki mu pripada, pirati pa za malo denarja ali zastonj distribuirajo ali uporabljajo programsko opremo. Obstaja nekaj argumentov za upravičevanje, z utilitarističnega vidika proizvajalci ustvarijo ogromne dobičke pri prodaji programov, ki bi lahko bili cenovno ugodnejši, bolj dostopni, in s tem bi bilo posledično manj piratstva, hkrati pa se srečujemo z dejstvom, da proizvajalce piratstvo odvrača od tovrstne dejavnosti. Računalniško nepooblaščeno vdiranje – je verjetno najbolj pogosta tema med varnostnimi inženirji, saj dela sive lase tako podjetjem kot tudi snovalcem varnostne zaščite. Vdiranje je neetično in nemoralno, vdiralci v sisteme so pogosto tekmovalci v preizkušanju svojega razuma in genialnosti, etična analiza jasnega razmišljanja pa daje jasni odgovor (tudi v odnosu zaposlovanja le-teh). Po zakonu. 11.

(12) je nepooblaščen vdor kriminalno dejanje, ne glede na to ali je bila povzročena škoda ali ne. Z razkritjem informacij zaupne narave se ne ustvari splošno dobro, ne za vdiralca, ne za ostale, temveč le neposredna ali posredna škoda. Je pa potrebno upoštevati spremembe v odnosu administratorjev informatikov do dostopa sistema, po tem ko je bil opravljen nepooblaščeni vdor, le-ti lahko omejijo dostop zaposlenim, ki so upravičeni do dostopa, ali ogrožajo sistem v znak zaščite delovnega položaja. Predvsem računalniško nepooblaščeno vdiranje predstavlja glavno jedro informacijske nevarnosti. Kljub vednosti, da so ta dejanja nezakonita, pa kazenski zakonik omili kazen kršiteljev pri njihovem ravnanju, saj jih ne demotivira pri teh dejanjih, kazni so smešno nizke četudi se že sami poskusi opredeljujejo kot kaznivi. Za neupravičene vstope in vdore je zagrožena kazen do treh let, le v primeru povzročitve velike premoženjske škode je predpisana kazen do pet let. Z izredno težko možnostjo odkritja kršiteljev ter majhno verjetnostjo, da bodo kaznovani z nizkimi kaznimi, se trend nepooblaščenih vdorov dviguje in se bo dvigoval še naprej (Akademska in raziskovalna mreža Slovenije 2004). 2.3 Analiza tveganj informacijskega sistema Poznavanje groženj in nevarnosti, ki pretijo IS, ni zadostno, potrebno je opredeliti in oceniti tveganja, ki podjetjem grozijo. Analiza tveganja in upravljanje s tveganji (risk management) pridobivata na pomenu; sposobnost podjetja, da identificira tveganja, sprejme odločitve za zmanjšanje tveganj in s protiukrepi prepreči nezaželene dogodke, prinaša pomembne koristi pri zagotavljanju nemotenega poslovanja v času največjih groženj. Upravljanje s tveganji je ključ do učinkovitega izvrševanja načrtovanega proaktivnega reševanja potencialnih nesreč. Varnostni upravljavci interaktivno sodelujejo z njimi, si posredujejo informacije in enotno reagirajo v času incidentov (Henry 2002, 408). 2.3.1 Tveganje Tveganje označujemo kot matematični zmnožek (Henry 2002, 411): groženj – verjetnost dogodka oz. nesreče, ki bo vplivala na poslovanje. Navkljub temu se grožnja opisuje tako v pozitivnem (posledice niso nujno slabe) kot v negativnem smislu, je slednja najpogosteje interpretirana; ranljivosti – točka slabosti, ki jo je možno izkoriščati, mišljene so vse Ahilove tetive IS, ki predstavljajo ranljivost v negativnem smislu, pozitivno gledano lahko nudijo priložnost za maksimum koristi tveganj ter vrednosti predmeta – stvari, ki jo bo tveganje doletelo. Poznamo dve vrsti tveganj (Olovsson 1992, 204): naključna tveganja – nastopijo kot posledica izpostavljenosti zaupnih informacij nepooblaščenim osebam zaradi lastnih napak in se tako poraja dvom o neoporečnosti podatkov ter namerni vdori – namerno vdiranje nepooblaščene osebe s posledicami uničenja, spreminjanja, ponarejanja in prestrezanja podatkov; rezultat je razkritje informacij.. 12.

(13) 2.3.2 Analiza tveganj Temeljni koncept zavarovanja infrastrukture sestoji iz: identificiranja ranljivosti, identifikacije vseh groženj, ki se jih lahko izkorišča ter oblikovanja in implementiranja povratnega udarca za zmanjšanje tveganja, ki lahko izkorišča ranljivost (Kaplan 2002, 396). S tveganji se srečujemo sleherni dan, za njih je značilno, da jih le domnevamo, ne vemo pa natančno ali se bodo uresničila. Namen analize tveganj je, da ugotovimo: koliko smo izpostavljeni tveganju, kako nevarno je okolje, koliko naj investiramo v zagotavljanje varnosti in kako zanesljivi so varnostni mehanizmi. Glavni cilj analize tveganj je oceniti potencialno izgubo oz. škodo, ki jo povzroči slučajni ali namerni dogodek (Caelli 1989, 131). Po varnostnih standardih BS 7799 uporabljamo metode analize tveganj za celotne IS in opremo, lahko pa jih omejimo tudi na posamezne sestavine, če je le to uresničljivo in koristno. Ocenjevanje tveganj zajema ocenjevanje poslovne škode, ki verjetno izhaja iz vdora v IS in dejanske verjetnosti, da bi tak vdor nastal v pogojih obstoječih nevarnosti in kontrol (prav tam, 132). Analiza tveganj je proces, kjer se identificirajo vsa morebitna tveganja ter se analizira in določi resnost vsakega tveganja. Rezultat procesa je lista tveganj, ki služi kot osnova za določitev varnostne politike (Bundesamt 2004). Projekt izdelave splošne ocene tveganj zajema izdelavo in dokončanje naslednjih aktivnosti: 1. priprava na projekt – najpomembnejši del je zbiranje podatkov, zajema različne dejavnosti kot so klasificiranje potencialnih nevarnosti, opis organizacijske strukture, tehnologije in ključnih poslovnih procesov, izdelava liste odgovornosti in seznama oz. kataloga tveganj, 2. definiranje procesov – ugotoviti tok informacij, razumeti vlogo uporabnikov, verificirati ključna sredstva in kontrolne točke za spremljavo in nadzor nad procesi, 3. ocena nevarnosti in ranljivosti – izdelati listo ranljivosti, nevarnosti in incidentov ter opis vpliva identificiranih incidentov glede na poslovanja, 4. določitev tveganj – analiza tveganj in določitev njihove prioritete, 5. določitev varnostnih ukrepov – vsakemu identificiranemu incidentu se poišče rešitev z zmanjšanjem ranljivosti sistema, ne zmanjšuje se vpliv incidenta temveč samo verjetnost pojavljanja, 6. poročanje – predstaviti vodstvu podjetja trenutno stanje glede na ugotovljena tveganja in predstaviti rešitve ter 7. zaključek in dokončanje projekta – usklajevanje posameznih elementov poročanja.. 13.

(14) Obstajata dve vrsti analiz tveganj ( Henry 2002, 419): kvantitativna analiza tveganja – številčna interpretacija tveganja, ki daje natančno predstavitev v stroških in jo je mogoče izvesti v relativno manjšem obsegu s podporo celotne strokovne ekipe, slabosti pa ostajajo v nenatančnem ocenjevanju škode ostalih faktorjev: vpliva na zaposlene, delničarje, lastnike, stranke, dobavitelje, agencije za regulacijo in agencije za ocenjevanje kreditnega ratinga ter kvalitativna analiza tveganja – proces ocenjevanja tveganj na podlagi scenarijev in določevanja vpliva incidentov; scenariji raziskujejo vsa področja, na katera bi incident lahko vplival in do kakšne razsežnosti škode bi lahko prišlo. Temelji na najboljših ocenah vpletenega osebja vseh možnih področij vpliva, vplivi se združijo in determinira se vpliv vsakega scenarija z oceno nižji, srednji ali visok vpliv incidenta, analize vključujejo produktivnost, moralo, kredibilnost, vpliv javnosti in možen vpliv na strateške iniciative, slabost te analize je nejasen odgovor analize strošek-korist potrebne za sprejemanje protiukrepov. Najboljša je kombinacija obeh metod, ki posameznim scenarijem dodaja stroškoven pogled na vse vplive incidentov. Trije najpomembnejši ključi za analizo tveganj so (prav tam, 428): znanje – učinkovita analiza zahteva podrobno in realistično poznavanje okolja, v katerem podjetje posluje, razumeti je potrebno grožnje in ranljivosti, upravljavci s tveganji morajo imeti potrebno znanje, trende, orodja in sestavine za ustvarjanje realističnega portreta možnih groženj in njihovih protiukrepov, opazovanje – je sposobnost spregledanja skozi vplive vsakršnih nenormalnih aktivnosti za ugotavljanje možnih scenarijev ter poslovna bistroumnost – zmožnost poslovanja učinkovito razumeti metode in tehnike za doseganje želenih rezultatov. Analiza tveganj prinaša mnoge koristi (C&A systems security 2002): stroškovno upravičeno varnost – dodatna varnost prinaša dodatne stroške, zato je pomembno le te upravičiti kakor vse varnostne predloge, večjo produktivnost – s formaliziranjem in avtomatiziranjem pregledov ter z združevanjem znanja je mogoče produktivno izkoristiti čas in vključevati dodatno znanje, zmanjševanje ovir – igra proaktivno vlogo v razumevanju upravljavcev in osebja informacijskih tehnologij, samoanalizo – sistem ocenjevanja tveganj naj bi zajemal vsa področja, tako da varnost postane del organizacijske kulture podjetja, povečano varnostno zavedanje – varnost mora biti razložena in o njej je potrebno razpravljati, izboljšave pri varnostnem ciljanju – varnost se mora neposredno soočati s potencialnimi nevarnostmi, grožnjami, riziki in obstoječimi ranljivostmi, s tem omogoča natančnejše varnostne odločitve, namestitev osnovne varnosti in varnostne politike – organizacije potrebujejo določene standarde, varnostno politiko, kontrole in skladnost z zakonodajo ter konsistentnost – prinaša konstanten in objektiven pristop varnostnim pregledom.. 14.

(15) 2.4 Uresničevanje zavedanja varnosti Različna varnostna poročila poudarjajo, da če poslovni sistem nima dostopa do svojih informacij 10 dni, ekonomske škode ni mogoče popraviti. Velja namreč, da se vsakršna varnost začne s prizadevnostjo njenih upravljavcev (managementa). Zaposleni predstavljajo najpomembnejši vidik informacijsko sistemskega varnostnega programa, podpora upravljavcev pa je ključ za zagotovitev uspešnega programa zavedanja varnosti. Program zavedanja varnosti naj bo pomembna stvar varnostnega načrta zaščite IS ter del učenja in treninga. Statistike iz računalniškega kriminala kažejo na grožnjo, ki prihaja od znotraj podjetja, ta znaša od 65 % do 90 %. Zaposleni omogočajo ranljivost sistema ne le z vdiranjem v sistem, temveč predvsem z nalaganjem nelegalnih kopij programske opreme s svetovnega spleta ter druge programske opreme, ustvarjanje ranljivih gesel ali delitev teh z drugimi. Zaposleni se morajo navaditi pravil obnašanja in izvajanja varnostnih veščin (Hansche 2002, 324). Program zavedanja varnosti naj bo prirejen posameznim potrebam organizacij. Prvi korak je postavitev ciljev programa, nato razvoj plana programa, ki naj bo predstavljen celotnemu managementu. Potrebno je zbrati potrebna sredstva za uresničitev programa kot so osebje, denar in moralna podpora. Začetek predstavlja širjenje določenih informacij o varnosti, šele nato sledi nadgrajevanje. Program je stopnička k višjemu nivoju distribucije informacijske varnosti, to je trening varnosti, kar predstavlja podrobnejšo nadgradnjo, skupaj pa predstavljata nenehno trajajočo obliko izpopolnjevanja informacijske varnosti. 2.5 Trening varnosti Varnost IS se hitro spreminja, to je visoko tvegano področje, ki zajema vse vidike poslovanja podjetja. Zaposleni predstavljajo največje bogastvo, izobraževani in trenirani zaposleni v varnosti pa predstavljajo učinkovito podlago za nemoteno poslovanje in zaščito IS. Program treninga varnosti se začne s programom zavedanja varnosti, ki prikazuje zaposlenim najpomembnejšo varnostno tematiko in s tem podaja osnovne koncepte varnosti IS. Iz osnovnega treninga sledi vrsta specifičnih predavanj in treningov, ki so prilagojena posameznim delovnim mestom znotraj podjetja. Pri tem je izredno pomembna podpora managementa, ki so seznanjeni s posameznim napredkom v obliki poročil o varnosti (Hansche 2002, 326).. 15.

(16) Program treninga varnosti je sestavljen iz več faz, prva faza je analiziranje potreb in definicija ciljev programa, nato sledi oblikovanje predavanja, ki mora biti dokumentirano, da je vidna smer izpopolnjevanja varnosti in mesto nahajanja. Po zaključku posameznega razvojnega predavanja je pomembna faza uresničevanja s testiranjem in ocenjevanjem uspešnosti (kritična faza uspešnosti). Z nenehnim razvojem in spremembo tehnologij ter varnosti je potrebno programe treninga varnosti sproti prilagajati. Sleherna organizacija mora planirati povečevanje strokovnjakov informacijskih tehnologij, ki se bodo sposobni soočiti in reševati težave informacijskih sistemov, saj z razvojem tehnologij postaja poslovanje kompleksnejše, varovanje njenega IS pa vedno bolj zahtevno (prav tam, 327). Uspešni program treninga varnosti lahko pomaga zagotoviti celovitost, razpoložljivost in zaupnost informacijsko-tehnološkega premoženja in informacij – prvega in najpomembnejšega cilja varnosti informacijskega sistema in tehnologij.. 16.

(17) 3. VARNOSTNA POLITIKA IN INFORMACIJSKA VARNOST V letu 1999 so zaradi razpok v varnostni računalniški zaščiti finančne izgube tretjo leto zapored znašale več kot sto milijonov ameriških dolarjev (124 milijonov). Največje finančne izgube je moč pripisati kraji lastniških informacij, kar predstavlja verjetno največjo grožnjo celotni ekonomski konkurenčnosti v globalno tržni ekonomiji. V bitki proti informacijski kraji so se podjetja odločila za šifriranje, kar predstavlja tipično tehnologijo varnosti do leta 1998. Računalniška kraja strojne in programske opreme je bila na petem mestu in šele na sedmem mestu internet/intranet kriminaliteta; danes postaja internet najbolj verjeten način okužbe (Whitman 2001, 10). Trije glavni elementi varnosti so kontrola, verodostojnost in odgovornost. Kljub šifriranju, nadzoru dostopa in podobnemu, ki predstavljajo najbolj vidne komponente efektivnega sistema zaščite, se začne zaščita podjetja proti kraji lastniških informacij in ostalih oblik računalniško finančne kriminalitete šele z obsežno varnostno politiko IS. Tudi najboljši varnostni sistemi so lahko dvoumni, če niso skladno uporabljeni; dobro izgrajen in natančno uporabljen sistem uporablja varnostno politiko z osredotočenjem na tri glavne cilje varnosti – zaupnostjo, integriteto in dostopnostjo, kar zagotavlja rezultat varnostne investicije v podjetje. Prva prioriteta sistemske zaščite je vzpostavitev varnostne politike (prav tam,11). Grožnje varnosti informacijskega sistema so različne kot sami sistemi. Medtem ko so posamezni varnostni mehanizmi značilni za večino organizacij, so drugi značilni le za določene organizacije ali industrijska podjetja, ne obstaja pa enotna politika, ki bi ustrezala vsem organizacijam do potankosti. Varnostna politika je definirana kot niz zakonov, pravil in postopkov, ki urejajo upravljanje v organizaciji, zaščito in distribucijo pomembnih informacij. To je obsežen dokument, ki ureja upravljanje s celotnim poslovanjem ter z varnostjo in zaščito podjetniškega največjega bogastva – informacije. Politike se razlikujejo glede na organizacije, ki so odvisne od vrednosti in občutljivosti informacij, katere je potrebno zaščititi, kakor tudi potencialne možnosti poškodb, modifikacij ali celo razkritij. Sistem varnostnih politik se dotika več različnih vrst tem. Dobra varnostna politika ureja varnost na psihični ravni; politika mora zaščititi funkcionalno raven sistema; politika mora urejati postopke zaščite sistema pred zunanjimi grožnjami in pirati. Neupoštevanje le-tega lahko vodi v finančno izgubo. Oblikovanje varnosti sistema z učinkovito varnostno politiko predstavlja kritičen korak za organizacijo, da zagotovi integriteto sistema. S kodiranjem varnostnih postopkov se varnostna politika oblikuje za podporo organizacijskim ciljem brez ustvarjanja nepotrebnih ovir in omejitev na funkcionalni ravni (prav tam, 12). Obstaja pravilno ravnotežje med zaščito in dostopom. Popolna zaščita se neizogibno odraža v nedostopnosti, popoln dostop pa se tako odraža v popolnem pomanjkanju zaščite. Varnost postaja tako proces uravnoteženja, kjer varnostni upravljavci skušajo determinirati raven zaščite, v kateri je podjetje pripravljeno delovati, z namenom nuditi zadosten dostop do informacij za zaposlene.. 17.

(18) 3.1 Informacijska varnost v podjetju Informacija je najvrednejše imetje, ki ga podjetje premore. Informacije so danes z vidika dostopa in geografske lokacije bolj razpršene kot v preteklosti. Istočasno se je povečalo število uporabnikov IS, dostop do njega pa je veliko enostavnejši. Elementarni cilj je ponuditi končnim uporabnikom varno razpoložljivost informacij in s primerno ceno zadovoljiti potrebe celotne organizacije, to je s primernim ter obširnim varnostnim ogrodjem (Sharp 2002, 431). V preteklosti je veljalo, da do polovice vseh napadov na IS pride znotraj organizacije, danes pa prevladujejo napadi od zunaj. V raziskavah so ugotovili, da obstaja manj kot polovica varnih spletnih strani, 30 % jih velja za tvegane in 30 % za visoko tvegane spletne strani. Trend napadov na IS le še narašča, nevarnost, da se vitalne informacije izgubijo ali pridejo v napačne roke, pa povečuje. Iz teh razlogov je podjetju nujno potrebno varno okolje omrežja. 3.1.1 Informacijsko varnostne zahteve Varnostne zahteve naslavljajo več nivojev varnosti, varnostne implementacije pa rešujejo le določene probleme. Dejstvo je, da se zahteve morajo uresničevati na vseh nivojih, integrirati se morajo v obstoječo ogrodje IS in v varnostno implementacijo (Sharp 2002, 433). Primarne funkcije dobrega varnega ogrodja (prav tam, 436): 1. Verodostojnost – z zaupanjem identificirati uporabnika, zahteva od uporabnika dokaz identitete. V podjetju je najenostavnejši mehanizem vpis gesla po zavarovanem kanalu, ki predstavlja najšibkejši člen omrežja, saj se z izbiro enostavnih gesel ponudi nepooblaščenim osebam lahek dostop do dela ali celotnega IS podjetja, nadgradnja je uvedba pametnih kartic in šifriranja. 2. Nadzor dostopa oz. pooblastitev – zagotoviti dostop do podatkov in informacij le pooblaščenim osebam. 3. Zasebnost – zagotovitev zaupnosti komuniciranja med uporabniki in pretoka podatkov je temelj varnostnega okolja, orodja za to so simetrično in asimetrično šifriranje, kartice identitete, certifikati ipd.. 4. Integriteta podatkov – zagotavljanje zaščite podatkov pred uničenjem, nepooblaščenim spreminjanjem in uporabo, zahteva vključuje zaščito integritete storitev, aplikacij in omrežij. 5. Zagotovitev – zakonski dokaz v elektronskem svetu, da je določen pošiljatelj poslal določeno sporočilo določenemu prejemniku.. 18.

(19) Spisek vseh varnostnih načel je daljši, leta 1992 je OECD (Organizacija za ekonomsko sodelovanje in razvoj) izdala navodila za razvoj prava, politik, tehničnih in administrativnih meril ter izobraževanja (Hare 2002, 356): 1. odgovornost – vsaka vpletena oseba v varnosti informacij mora prevzemati odgovornost za svoja dejanja, 2. zavedanje – vsak se mora izobraževati in izpopolnjevati v varnostnih merilih, v praksah in postopkih ter povečevati zaupanje v IS, 3. etika – metode, katere se uporabljajo v varnostnih mehanizmih, morajo spoštovati zasebnost in zakonite pravice ostalih, 4. multidisciplinarnost načel – vsa mnenja morajo biti tehtno premišljena v razvoju politik, kar vključuje pravne, tehnične, administrativne, organizacijske, operativne, komercialne in izobraževalne vidike, 5. sorazmernost – varnostna merila morajo biti osnovana na informacijski vrednosti in nivoju tveganj posameznih informacij, 6. celovitost – varnostna merila naj bodo integrirana v poslovanje za dosego temeljite obrambe varnostnega sistema, 7. pravočasnost – vsi sodelujoči naj delujejo skupno in koordinirano v primeru nevarnosti, 8. preverjanje – za zagotovitev varnosti se morajo varnostni mehanizmi preverjati periodično in sproti, 9. demokratičnost – varnost informacij in IS mora biti v skladu z zakonito uporabo in prenosom informacij, 10. individualna odgovornost – individualne osebe so unikatno prepoznavne varnostnim sistemom in odgovorne za svoja dejanja, 11. pooblaščenje – varnostni mehanizmi morajo odobravati pooblastitev za dostop do ustreznih informacij na podlagi identifikacije uporabnika, 12. najnižji privilegij – dostop določenih oseb do ustreznih informacij za potrebe in čas njegovega dela, 13. ločitev dolžnosti – funkcije in dolžnosti morajo biti deljene, da se prepreči kritje zlorabe posamezne osebe, 14. pregled in nadzor – delo in izpolnjevanje ciljev mora biti nadzorovano za zagotovitev skladnosti s postavljenimi postopki in pravilnostjo dela, 15. izobilje – informacija mora biti na razpolago kadarkoli je potrebovana in 16. zmanjševanje tveganja – cilj je zmanjševanje tveganj, koliko je to mogoče. Primarno varnostno načelo razpoložljivosti se povezuje predvsem z ostalima pomembnejšima primarnima varnostnima načeloma – zaupnostjo in celovitostjo. Zaupnost skrbi za zasebnost in dostop do informacij ter se nanaša na nepooblaščen dostop, spremembo in uničevanje zaščitenih informacij. Celovitost preprečuje modifikacijo informacije in zagotavlja pravilen dostop do prejemnika.. 19.

(20) 3.1.2 Načela upravljanja informacijske varnosti V novejšem času je pomembno razviti razumevanje koncepta, saj izzivi upravljanja informacijske varnosti sežejo globoko v osebno in poslovno življenje. Ne glede na to ali rezerviramo letalsko karto preko Interneta, zbiramo informacije ali komuniciramo tako zasebno kot s poslovnimi nameni, je varovanje informacij ključnega pomena. Podjetja ne želijo deliti zasebnih poslovnih informacij s konkurenco, niti dovoljevati nepooblaščenega dostopa zunaj niti znotraj poslovnega sistema. Ti razlogi poudarjajo nujnost premisleka glede temeljnih načel kot glavnih kazalcev za vzpostavitev informacijske vizije in strategije ter kot olajšavo pri nastajanju podrobnejše varnostne politike. Izpostavljeno je troje vrst načel (Dhilon 2001b, 174): . načela upravljanja z vidika praktične vrednosti za organizacijo, načela upravljanja z vidika formalnih pravil organizacij in načela za upravljanje tehničnega sistema.. 3.1.2.1 Načela upravljanja z vidika praktične vrednosti za organizacijo V določenem kontekstu je prevara obravnavana kot legitimno dejanje. S tega vidika je pomembno razumeti kontekst, v katerem je implementirana informacijska tehnologija. S pazljivo interpretacijo je mogoče razumeti interakcijo tehničnega in socialnega vidika informacijske tehnologije na področju preprečevanja prevar. Pri ocenjevanju neetične računalniške uporabe se je pokazala nujnost vzpostavitve kulture zaupanja in odgovornosti (Dhilon 2001b ,175). Načelo 1: Učenje, vaja in zavedanje so kljub pomembnosti nezadosten pogoj za upravljanje informacijske varnosti. Osredotočenje na razvoj varnostne kulture mora biti skladen in hkraten z razvojem in ohranjanjem varnostnega okolja. Raziskave so pokazale, da kljub znanju, zavedanju in vajah, ki so pomembne za upravljanje informacijske varnosti, mora podjetje vlagati trud v vzpostavitev varnostne kulture, saj je brez tega ogrožena celotna integriteta podjetja. Razlika med potrebami in cilji organizacije lahko potencialno škodi zdravju podjetja in organizacijskim procesom komuniciranja, spreminjanja in postavljanja odločitev, saj se to vtisne v podjetje in nerazumevanje vodi do težav varnosti informacijskega sistema. Navkljub zavedanju upravljavcev potencialnih težav, še zmeraj prevladuje samozadostnost kot pa sprejemanje proaktivnih korakov. Načelo 2: Odgovornost, integriteta, zaupanje in etičnost so temelji za vzdrževanje varnostnega okolja. Tradicionalna načela varnosti zaupnosti, integritete ter razpoložljivosti so zelo omejena. Odgovor na to so RITE (odgovornost, integriteta, zaupanje in etičnost) načela. RITE načela sežejo nazaj v obdobje zaupanja v tehnologijo za namene tesnega nadziranja in kontrole razpršenih aktivnosti.. 20.

(21) 3.1.2.2 Načela upravljanja z vidika formalnih pravil organizacij Z naraščanjem zapletenosti znotraj organizacije se pojavljajo vedno bolj zapletene formalizirane strukture (Dhilon 2001b, 176). Načelo 3: Vzpostavitev mej med formaliziranim postavljanjem norm je temelj za vzpostavitev ustreznih kontrolnih meril. Težave z varnostjo nastanejo kot posledica prevelike formalizacije in upravljavske nezmožnosti vrednotenja dela z vidika pravil in norm. Formalna pravila in postopki se vzpostavljajo za podporo informacijskega sistema, kar preprečuje nerazumevanje med pravili in informacijami ter onemogoča nastajanje varnostnih težav. V praksi imajo kontrole neučinkovit efekt, izolirane rešitve so mišljene le za posamične težave, ne upoštevajo preostale kontrole in njihovo vsebino. Načelo 4: Pravila za upravljanje z informacijsko varnostjo imajo le majhno vrednost če niso hkrati razumljena in jasno definirana. Nesposobnost razumevanja situacije se pri uporabi pravil za upravljanje z informacijsko varnostjo kaže kot škodljivo za varnost podjetja. Varnostna politika se uporablja le kot sredstvo za ustanovitev posamične vizije, za opredelitev načina delovanja varnostnih kontrol ter kako se bodo varovali podatki in informacije znotraj podjetja. Oblikovanje varnostne politike temelji na poslovnih odločitvah, ki pripisujejo vrednost varovanju podatkov in informacij ter z njimi povezana tveganja, ker pa so podjetja različna, je težko poenotiti elemente varnosti temveč je oblikovanje politike stvar specifičnosti. 3.1.2.3 Načela za upravljanje sistema na tehnični ravni Varnost je oblika zavarovanja, da se bodo uporabne aktivnosti podjetja nemoteno nadaljevale ter preprečevale nenavadne dogodke. Obstaja resna zahteva za razvoj varnostne vizije in strategije (Dhilon 2001b, 177). Načelo 5: Upravljanje sistema na tehnični ravni z racionalno oblikovano enotno strategijo ne bo učinkovito. Znotraj upravljanja informacijske tehnologije je središče spreminjanja – nova tehnologija, nenehne inovacije in unikatni vplivi na poslovne sisteme in njihovo integriteto. Pomen je še večji, saj te nenehne spremembe na novo določajo meje podjetij, v času omrežnega in virtualnega podjetništva pa racionalno planirana strategija in njeno uresničevanje ne izpolnjujeta svojega namena. Načelo 6: Ustaljeni in formalni modeli za vzdrževanje zaupnosti, integritete in razpoložljivosti (CIA) informacij niso primerni za komercialna podjetja. Upravljanje na mikro ravni za dosego CIA je korak naprej. V zadnjem obdobju, ko je poslovanje podjetja odvisno od Interneta, nastane dvoje vrst težav. Prva je, da organizacijska realnost kakor tudi oblikovana varnostna politika ni značilna za vsa podjetja in druga, da model, razvit v vojaške namene, v resnici ni nujno zadovoljiv za komercialne namene (večina varnostnih modelov je bila razvita na vojaškem področju). Potrebno je razviti nove modele za posamezne modele poslovanja pri. 21.

(22) informacijski varnosti kar pomeni razvoj mikro strategij za posamezno poslovanje ali na funkcijskih ravneh. 3.2 Razvoj varnostne politike Učinkovita varnost IS se ne prične v vakuumu. V samem snovanju vsakršne politike je potrebno jasno razumevanje teme in snovi, katere povzema politika, pri razvoju učinkovite varnostne politike IS pa je potrebno popolno razumevanje varnostnih izzivov in reakcij podjetja na te izzive. Po zbranih informacijah je nujno, da se proces varnostnega planiranja, vključno z razvijanjem politike, integrira s kratkoročnimi in dolgoročni cilji organizacije. Ustvariti statično politiko brez skrbi za nenehno revizijo, izpopolnjevanje in spreminjanje glede na spremembe v okolju podjetja, pomeni ustvariti nepomemben dokument. Dobra politika temelji na razvoju dobrih varnostnih postopkov, to je mogoče le ob temeljiti notranji analizi. Prvi korak varnostne politike je lotiti se raziskovanja in ocene tveganj podjetja, ranljivosti in nagnjenost h grožnjam in nevarnostim. Notranja analiza in ocena je prepoznavna kot varnostni pregled (Hare 2002, 357). Varnostna politika se je v preteklosti razvijala v skladu s potrebami, ki so jo narekovale nenehne spremembe v tehnologiji in poslovanju podjetja, organizacijska kultura v podjetju pa je igrala pomemben element pri razvoju takšne politike. Varnostna politika je definirana kot sistem vaj in praks, ki urejajo načine organizacijskega upravljanja, varovanja in dodelitve virov za zagotovitev varnostnih ciljev. Ti cilji morajo biti usklajeni s situacijo in cilji organizacije, prav tako mora biti določen način doseganja varnostnih ciljev. Ta kombinacija daje možnost nadzorovanja upravljavcev za zmanjšanje tveganj povezanih z zlorabo in človeškimi napakami. Varnostne politike so se razvijale postopoma in so zasnovane na varnostnih načelih (Whitman 2001, 11). Varnostna politika je odločitev upravljavcev, v posameznih primerih jo snujejo na varnostnih modelih. Varnostni model definira metode za implementiranje politike in tehnologije, predstavlja matematični model preverjen skozi določeno obdobje, iz katerega se razvije varnostna politika. Področje varnostne politike je široko, za uspešno uresničitev je pomemben natančen prenos na tehnično raven, dokumentiranje in specifikacija morata biti nedvoumna, definicija varnostne politike mora biti specificirana in kar se da natančno določena. Glede na informacijsko-tehnološko situacijo je potrebno večkrat interpretirati varnostno politiko za več ravni, še posebej pri IS in glede na lastno identifikacijo uporabnikov (prav tam, 12). Varnostna politika mora biti praktična in uporabna ter stroškovno učinkovita, njena vrednost uresničevanja pa ne sme presegati vrednosti zaščitenih informacij. Definirati mora konkretne standarde in določati natančne reakcije, ki jih bodo razumeli vsi uporabniki. Pomembno je tudi iskanje pravilne uravnoteženosti med varnostjo in lahkotnostjo uporabe.. 22.

(23) 3.3 Potreba po politiki Varnost ima dolgo tradicijo, računalniška varnost kot veda pa traja le krajši čas. Še zlasti vojska je spredvidela pomembnost varovanja informacij pred sovražniki, rezultat tega je pojav šifriranja. Veliko politik in varnostne tehnologije je namenjenih zaščiti pred individualno zlorabo za nadzorovanje in ustvarjanje določenih praks (Hare 2002, 358). Primarni namen varnostne politike je informirati uporabnike, osebje ter upravljavce osnovnih zahtev za zaščito različnega imetja vključujoče ljudi, strojnih in programskih ter podatkovnih virov. Politika mora specificirati mehanizme za izpolnjevanje teh zahtev. Drug namen je zagotoviti temelje za pridobitev, konfiguriranje in urejanje računalniških IS ter omrežij v skladnosti z varnostno politiko. To dovoljuje kasnejši razvoj operativnih postopkov, vzpostavitev pravil za kontrolo dostopa in različnih aplikacij, sistemov, omrežij ter psihičnih kontrol in parametrov (Weise 2001). Vsako podjetje bi naj imelo jasno definirano in centralistično upravljano varnostno politiko, saj le-te opredeljujejo kontrolo dostopa, dovoljenja, odgovornosti, identifikacijo, verodostojnost in varovanje z informacijskega in fizičnega vidika. S tem se zagotavlja, da so programski in strojni mehanizmi usklajeni. S politiko se nadzirajo akcije subjektov in njihovo obnašanje. Varnostni standardi določajo zahteve za implementiranje politike. Cilj splošno določenih varnostnih standardov BS7799 in ISO 17799 je usmerjanje upravljavcev in podpora pri zagotavljanju informacijske varnosti. Upravljavci bi naj predstavljali zgled zavezanosti varnostni politiki ter demonstrirali podporo in širjenje pomembnosti in zavedanja skozi celotno organizacij (Security web sites 2004). 3.3.1 Potreba po nadzoru Politika je pomembna zato, da zaposlenim pomaga reševati določene situacije. Razlogov zanjo je več – upoštevanje zakonskih določil, vzdrževanje zaupanja njenih delničarjev in kot demonstracijo zaposlenim, da je podjetje sposobno dosegati zastavljene cilje. Obstaja več zakonskih zahtev za razvoj varnostne politike in postopkov. Te zahteve vključujejo dolžnost zvestobe in dolžnost za skrb. Dolžnost zvestobe se pojavlja v določenih zakonskih konceptih kot je dolžnost po enakopravnosti, konflikt interesov in zaupnosti. Pri konfliktih interesov se morajo zaposleni odpovedati določenemu zunanjemu sodelovanju, ki ima možnosti vpliva na interese podjetja. Dolžnost po enakopravnosti določa zaposlenemu naj dela v največjo korist vseh vpletenih strank (Hare 2002, 359). Pojavlja se potreba po osnovnih elementih, ki so skupni v večini sprejetih programov in imajo pozitivni učinek na odkrivanje katerihkoli zlorab in to so (prav tam, 360): vzpostaviti standard in postopke za vodenje delovne sile, določiti glavnega upravljavca za pregled nad ustreznostjo politik, postopkov in standardov, vnašati primerno skrb pri dopuščanju diskretne avtoritete pri zaposlenih, zagotavljati izvajanje primerne politike, posredovati standarde in postopke vsem zaposlenim,. 23.

(24) . uveljavljati politiko, standarde in postopke konsistentno disciplinarnimi ukrepi in vnašati postopke za popravke in spremembe v primeru zlorab.. s. primernimi. Podjetje mora varovati vitalno pomembne informacije, zato je potreba za nadzor nad zaposlenimi, prodajalci, strankami in ostalimi pooblaščenimi uporabniki omrežja velika in sili varnostno politiko v vse večjo celovitost. 3.3.2 Iskanje najboljših praks Ob nenehnih spremembah in razvoju poslovanja je neobhodno, da se politike prilagajajo potrebam podjetij. Priporočljiva je izmenjava izkušenj in sodelovanje podjetij z ostalimi primernimi organizacijami, kar prinaša izboljšave in industrijski napredek. Obstaja več vrst organizacij, kjer se podjetja lahko včlanijo in aktivno spremljajo najnovejša mnenja in dobivajo nasvete ostalih podjetij, vključno s forumi (Hare 2002, 360). 3.4 Odgovornost managementa – upravljavcev Da varnostna politika ne zastari, je potrebno izvajati redni pregled nad celotnim procesom in vnašati sprotne spremembe nadgradnje sistema in ga usklajevati z varnostno politiko. Specifični del organizacije mora biti zadolžen za varnost in nadgradnjo varnostne politike (Weise 2001). V razvoju in implementaciji nosijo upravljavci posebno odgovornost, zadolženi so za razumevanje in uporabo politike ter zbiranje za to potrebnih sredstev. Odgovornost se nanaša tako na zakonodajo kakor tudi na lastnike in zaposlene, in s tem zasledujejo sledeča načela, ki usmerjajo delovanje podjetja (Hare 2002, 362): 1. dolžnost zvestobe – pričakovati je, da zaposleni dela zmeraj v najboljšem interesu podjetja, vse spremembe v odnosu do tega so razumljene kot zmanjševanje dolžnosti za skrb, zmanjšanje lojalnosti ali delovanje v dobri veri; upravljavec nosi dolžnost, da posvari zaposlenega oz. (najpogosteje) pisno opomni; 2. konflikt interesov – delovanje v polnem zavedanju, ki prinaša bonitete eni stranki in hkrati dela v škodo drugi; 3. dolžnost skrbi – dolžnost pazljivega delovanja in izpolnjevanja pomembnih nalog; upravljavec je polno odgovoren za varnost in zaščito informacij in IS, razen v primeru, kadar dokaže, da je storil vse za preprečitev zlonamernega dejanja; 4. najnižji privilegij – vsak proces vsebuje toliko privilegijev, kot jih v resnici potrebuje; 5. ločenje dolžnosti/privilegijev – dolžnost se nanaša na zaposlene, medtem ko privilegiji na mehanizme, pri katerih se morajo ti strinjati za določen dostop do informacij itd.; 6. odgovornost – organizacija mora unikatno identificirati individualnega zaposlenega, tako da ta lahko odgovarja za svoja dejanja, kar pomeni določanje identifikacije, pooblaščanje in trajanja dostopa in 7. podpora upravljavcev politiki – uspešnost varnostne politike je odvisna od podpore aktivnostim za razvoj politike.. 24.

(25) 3.5 Planiranje politike Planiranje in priprava sta integralni del politike, standardov in razvoja postopkov, a velikokrat podcenjeni. Politika izpostavlja uresničevanje glavnih zahtev, standardi definirajo orodja, postopki pa nudijo zaposlenim navodila za dosego le-teh zahtev. Zaposleni uporabljajo politiko za informiranje in vodila, kadar upravljavci niso na voljo in kot določitev odgovornosti za posamezne aktivnosti. Učinkovita politika uresničuje dva pomembna ključa varnostnih zahtev: ločitev dolžnosti in določanje nalog. Noben posameznik naj ne bi imel celotnega nadzora nad procesom od začetka do konca saj to učinkovito preprečuje zlorabo (Hare 2002, 364). Planiranje skozi razvoj politike mora upoštevati in vključevati vsa varnostna načela. Zaposlenim, katerim so dodeljene občutljive naloge, se mora periodično dodeljevati nove naloge, tako da prihaja do napredka in delovne učinkovitosti, hkrati pa se preprečujejo napake in padec kvalitete. Po osnovanju politike je potrebno definirati standarde glede strojne in programske opreme ter komunikacijskih protokolov; pomemben del je oskrbeti zaposlene z informacijami, kako naj izvajajo svoje naloge v skladu s politiko. Upravljavci so zadolženi, da komunicirajo z zaposlenimi o vsebini politike in odgovornosti v njenem izvajanju (prav tam, 365). Ustvarjanje politike je delo strokovnjakov, ki se dopolnjuje z upravljavci in interesno skupino (zaposleni), da bodo cilji politike realistični in dosegljivi. Dodatni viri in strokovnjaki povečujejo kakovostno vrednost politike. 3.6 Hierarhija varnostne politike Varnostna politika udejanja upravljavska pričakovanja in cilje. Da bi se uresničevala in implementirala mora imeti definirane standarde, navodila in postopke. To mora zagotavljati skladnost vseh operacij z namembnostjo varnostne politike. Standardi, navodila in postopki poučujejo uporabnike, stranke, tehnično osebje, upravljavce in ostale, ki sodelujejo pri implementiranju (Weise 2002). Zakonodaja ima največji vpliv na vse ravni podjetja. Politika je izdelana s strani podjetja, priznana od upravljavcev in opisuje njeno pomembnost za podjetje. Iz politike izhaja tretji nivo – standardi, ki definirajo natančne in merljive norme. Naslednji nivo so postopki, to so natančna navodila za uporabnike, tako da ti uresničujejo politiko in standarde. Zadnji nivo so vodniki, ki določajo, kaj želi podjetje od svojih zaposlenih, to so t. i. splošna priporočila. Obstaja še en nivo- prakse, ki se vrinejo med standarde in postopke. Standard definira, kaj mora biti opravljeno, praksa definira kako in zakaj, postopki pa so navodila po korakih za implementacijo politike (Hare 2002, 365).. 25.

(26) 3.7 Tipi politik Obstaja troje večjih specifikacij politik (Hare 2002, 366): 1. Regulatorna (urejevalna) politika – državotvorna telesa (zdravstvo, pravo), ki delujejo v javno korist, se poslužujejo takšne politike. Sestavljena je iz serij zakonskih določil v podrobnosti – kaj in kdaj mora biti storjeno, kdo je pomemben in zakaj je pomembno opraviti. Uporablja se dvoje premis za uporabo takšne politike, prva je vzpostavitev konstantnega procesa in druga vzpostavitev možnosti delovanja tistih zaposlenih v področjih, kjer so tehnično sposobni izpeljati naloge. Tovrstna politika velja za zelo omejeno na področjih, kjer je trenutno odločanje in kompleksnost velika. 2. Svetovalna politika – nudi priporočila napisana za točno določene primere in situacije, namenjena je izobraženim posameznikom za odločanje v posameznih situacijah. Ob ignoriranju nasveta, danega v politiki, lahko pride do naslednjih nezaželenih vplivov: neupoštevanje pomembnih informacij za odločitev, nezmožnost pravočasnega in pravilnega informiranja za to zadolženih ljudi ter sprejemanja odločitev in izguba dragocenega časa. Omejitve te politike se nanašajo na ozko uporabo strokovno usposobljenih ljudi, ostali zaposleni pa se morajo držati natančnih navodil brez možnosti improviziranja odločitev. 3. Informativna politika – njen namen je posredovati informacije ciljnim zaposlenim, ki imajo možnost proučevanja politike vendar za neupoštevanje le-te ne nosijo odgovornosti in ni predpisana nobena kazen. Čeprav predstavlja ta dokument najmanj obvezujočega, pa velja le za določene primere, posamezni deli so bolj specifični in namenjeni ciljnim zaposlenim. 3.8 Varnostni pregled Pomembno je izvršiti varnostni pregled ter razviti varnostne postopke, še preden se pripravi varnostna politika. Varnostna politika je primerna za šifriranje varnostnih postopkov, ki odražajo izzive okolja, v katerem deluje podjetje. Varnostni pregled (ali varnostna ocena) služi več ciljem: najprej ustvari formalni proces za pregled varnostnih izzivov v okolju organizacije, drugič-zbira in koordinira informacije za obstoječe varnostne postopke ter pričenja s procesom razširitve varnostne tematike širšemu spektru udeležencev (Hare 2002, 367). Pred izvajanjem pregleda mora skupina, ki pregleduje, razviti specifične postopke za preverjanje, kakor tudi pregled zbranih informacij in postopkov za spopad z varnostnimi težavami, ki jih pregled odkrije. Pomembno je, da ima ta skupina člane iz drugih funkcionalnih področij, ki vplivajo na politiko. To služi dvojnemu namenu: vključitev celotnega osebja in drugih operativnih enot zagotovi, da celotne sorodne teme varnosti pridejo v ospredje in drugič, vključno neinformacijsko osebje pomaga zagotoviti sprejemljivost delovanja varnostnih postopkov in morebitne politike ter sprejemanje s strani zaposlenih. Niti ena politika ne bo uspešna, če zahteve te politike ovirajo zmožnost zaposlenih, da neovirano opravljajo svoje delo; v takem primeru končni uporabnik ignorira pravila in ogroža integriteto sistema (Whitman 2001, 13).. 26.

(27) Pripravljena skupina za sestavo politike se bo v skladu s svojo odgovornostjo osredotočila na identificiranje največjih groženj varnosti sistemu, tekočih varnostnih postopkov, prepoznanim grožnjam drugega IT osebja ter drugih zaposlenih. Sleherni od teh pregledov je neodvisno kritičen, samostojni ponovni pregled pa lahko zgreši kritične težave. Izjemno koristno je uporabljati metodologijo in varnostno preverjanje po kontrolnih točkah. Po sestavi tega lahko skupina za preverjanje razčleni varnostne izzive, s katerimi se mora spoprijeti organizacija ter začeti proces ustvarjanja zaščite sistema in primerne politike za zaščito le-tega. Še preden skupina za planiranje opredeli varnostne alternative, mora jasno identificirati kriterije sposobnosti, po katerih se ocenjujejo postopki in spremljajoča politika. Ustvarjanje sposobnosti kriterijev v teh okoliščinah nudi bolj objektivni pregled politike in učinkovitost postopkov, kot bi ad hoc pregled na kasnejši čas. Vzpostavitev kriterija sposobnosti vzpostavlja jasne cilje, kaj naj bi varnostni sistem dosegel, kar meri v samo oblikovanje sistema (prav tam, 14). 3.8.1 Razvoj varnostnih postopkov Pred sestavljanjem politike, se morajo vsi procesi, ki zagotavljajo varnost sistema, previdno oblikovati in ovrednotiti. Varnostni postopki naj ne bi zadrževali zaposlenih, celotni spekter namenov ima lahko tak efekt; vse od večkratnih gesel in dvojnih dostopov do informacij lahko frustrira operativno produktivnost zaposlenih. Planska skupina mora sodelovati tesno z osebjem na funkcionalni ravni, da zagotovi neoviranje zaposlenih z varnostnimi protokoli in nepotrebnimi ovirami pri delovnih aktivnostih. Pogosto mora biti vzpostavljeno ravnotežje med varnostnimi postopki ter produktivnostjo zaposlenih (Whitman 2001, 15). Pri sestavi postopkov reakcij mora skupina za planiranje sestaviti alternativne rešitve varnostnih izzivov, kadar je to možno. S tem odkriva celotni spekter možnih reakcij, kot pa da bi se zadovoljila s prvo razumno sugestijo. Temu sledi naloga optimiranja ravnotežja med varnostjo in organizacijsko učinkovitostjo. Sledi še predstavitev sestavljenih postopkov relevantnih uporabnikov za pridobitev povratnih informacij (feedback). 3.8.2 Razvoj politike Po vzpostavitvi navodil za postopke, sestavljanje dokumenta politike šifrira te postopke. Pomembno je, da varnostne aktivnosti do določene mere ostanejo zunaj politike, saj je politika javni dokument in posamezne reakcije sistemov ne bi bilo primerno vključiti v politiko. Politika je oblikovana tako IT osebju kot funkcionalnim ravnem organizacije. Ker je politika navodilo za uporabnike, mora prevajati potencialno tehnične postopke v jezik, ki je razumljiv vsem uporabnikom. Prvotno razvita politika organizacije je poskus obelodaniti varnostne skrbi, obravnavana je kot temeljna politika in služi kot izhodišče za prihodnje ponovitve, revizije, modifikacije nadgradnje (Whitman 2001, 16).. 27.