UNIVERZA V MARIBORU FAKULTETA ZA LOGISTIKO. Diplomsko delo magistrskega študija. VARNOST V LOGISTIČNIH INFORMACIJSKIH SISTEMIH. Mentor: doc. dr. Branko Lobnikar. Celje, avgust 2008. Kandidat: Tomaž Krišelj.

ZAHVALA Zahvaljujem se mentorju doc. dr. Branku Lobnikarju. Hvala sodelavcem podjetja LOGOS.SI d.o.o. za pomoč in nasvete pri izdelavi magistrske naloge. Zahvaljujem se tudi lektorici Ani Peklenik, ki je lektorirala mojo magistrsko nalogo. Posebna zahvala za pomoč in predvsem podporo pri študiju gre mojim najbližjim..

POVZETEK Naloga se ukvarja z varnostjo v informacijskih sistemih. Informacijski sistemi zaradi izjemnega tehnološkega razvoja postajajo vse bolj kompleksni. Zakonodaja s tega področja se zato neprestano spreminja in dopolnjuje. V nalogi sem poskušal ugotoviti, kaj je potrebno, da informacijski sistemi delujejo varno in zanesljivo. Šele takrat se lahko začnejo povezovati med seboj. To pa je za prihodnjo konkurenčno sposobnost gospodarstva zelo pomembno.. KLJUČNE BESEDE -. ERP (Enterprise Resource Planning), ZVDAGA (Zakon o varstvu dokumentarnega in arhivskega gradiva ter arhivih) LOGOS.SI d.o.o. FIDS (Flight Information Display System) LoPolis. ABSTRACT The subject of this dissertation is safety in information systems. The information systems are becoming increasingly more complex due to the extremely rapid technological development. Legislation governing this field is therefore being constantly amended and upgraded . In this dissertation I try to find out what is necessary for safe and reliable functioning of the information systems. Such functioning is the prerequisite for their interconnection. And this is very important for the competitive capacity of the economy in the future.. KEYWORDS -. ERP (Enterprise Resource Planning), ZVDAGA - PDAAIA (Protection of Documents and Archives and Archival Institutions Act) LOGOS.SI d.o.o. FIDS (Flight Information Display System) LoPolis.

KAZALO 1. UVOD................................................................................................................1 1.1 PREDSTAVITEV PROBLEMA ..................................................................1 1.2 PREDSTAVITEV OKOLJA ........................................................................2 1.3 PREDPOSTAVKE IN OMEJITVE..............................................................4 1.4 METODE DELA ........................................................................................4 2 SISTEMI ERP....................................................................................................5 2.1 OPREDELITEV SISTEMOV ERP ...................................................................5 2.2 NAMEN SODOBNIH SISTEMOV ERP............................................................7 2.3 UVEDBA IN IMPLEMENTACIJA SISTEMOV ERP..........................................9 3 ZAHTEVE ZAKONODAJE IN STANDARDOV S STALIŠČA VARNOSTI INFORMACIJSKIH SISTEMOV ..............................................................................11 3.1 INFORMACIJSKA VARNOSTNA POLITIKA LOGOS.SI ...............................16 3.2 ORGANIZACIJA INFORMACIJSKE VARNOSTI ...........................................19 3.3 NABAVA OPREME IN STORITEV................................................................24 3.4 INFORMACIJSKI VIRI...................................................................................25 3.5 ČLOVEŠKI VIRI ............................................................................................26 3.6 VARNOSTNI DOGODKI IN POROČANJE ....................................................30 3.7 VARNO OKOLJE ..........................................................................................31 3.8 TEHNIČNI VARNOSTNI UKREPI .................................................................35 3.9 VARNOSTNE KOPIJE IN DNEVNIKI ............................................................39 3.10 OMREŽJE IN NOSILCI PODATKOV...........................................................41 3.11 UPORABNIŠKI RAČUN IN VARNA GESLA................................................43 3.12 UPRAVLJANJE DOSTOPA DO OMREŽJA ................................................48 3.13 PRENOSNA OPREMA................................................................................50 3.14 SISTEM UPRAVLJANJA NEPREKINJENEGA POSLOVANJA ...................52 4 INFORMACIJSKA SISTEMA LOGOS.SI .............................................................57 4.1 FIDS (FLIGHT INFORMATION DISPLAY SYSTEM).....................................57 4.2 LOPOLIS.......................................................................................................65 4.3 ERP – REZULTAT DOMAČEGA ZNANJA ....................................................70 5 ZAKLJUČEK....................................................................................................83 LITERATURA IN VIRI .........................................................................................84 KAZALO SLIK .....................................................................................................88.

Univerza v Mariboru - Fakulteta za logistiko. 1. UVOD. 1.1. PREDSTAVITEV PROBLEMA. Magistrsko delo. Vsi informacijski sistemi delujejo dobro, kadar ni težav. Razlike se pokažejo, ko gre vse narobe. Narobe pa gre takrat, ko je najmanj treba. To je največji problem. Poslovanje večine podjetij državnega in javnega sektorja se je v zadnjih dvajsetih letih preteklega stoletja korenito spremenilo, predvsem zaradi splošnega tehničnega napredka in napredka informacijske ter komunikacijske tehnologije. Spremembe so vedno bolj dinamične. Posledično se zato odpirajo nova tržišča, nastajajo novi izzivi in postavljajo se nova pravila. Ponudniki in uporabniki informacijskih sistemov so ne glede na svojo velikost in dejavnost postali del vedno bolj dinamičnih globalnih trgov, informacija pa je postala najpomembnejši faktor. Spremembe predstavljajo veliko nevarnost za subjekte, ki zaradi različnih razlogov niso zmožni hitrega odzivanja nanje, po drugi strani pa veliko priložnost za subjekte, ki so sposobni dovolj hitrega uvajanja novih organizacijskih oblik, konceptov poslovanja in posledično spreminjanja danih priložnosti v koristi. Zmožnost uporabe informacijskih tehnologij za pridobivanje pravih podatkov, pravilno obdelovanje podatkov, razumevanje in pretvarjanje le-teh v informacije, interpretiranje informacij ter posledično pravilno odločanje, izvajanje odločitev in merjenje uspešnosti izvajanja odločitev je postala ena izmed glavnih konkurenčnih prednosti in eden izmed glavnih ciljev strateškega načrtovanja. Namen magistrskega dela je predstaviti dva informacijska sistema, ki sta izjemno pomembna glede zanesljivosti delovanja, varnosti osebnih in občutljivih osebnih podatkov. Raziskal sem zakonodajo in standarde, ki to področje urejajo. Glede na to, da se oba spogledujeta s sodobnimi sistemi ERP (Enterprise Resource Planning), se v samostojnem poglavju ukvarjam tudi s problematiko, kaj takšni sistemi sploh so. Izraz ERP se mnogokrat zelo lahkotno uporablja, tudi v literaturi je glede na čas, v katerem so nastale, nekaj različnih razlag. Večina informacijskih sistemov se bo moralo zakonodaji in standardom zelo hitro prilagoditi, pri tem pa brez težav ne bo šlo. Informacijska sistema, ki ju predstavljam, upoštevata najnovejšo veljavno zakonodajo in standarde, na katerih ta zakonodaja temelji. Osnova je predvsem Zakon o varstvu dokumentarnega in arhivskega gradiva ter arhivih. V določenih primerih so namreč baze podatkov dokumentarno oz. arhivsko gradivo. Prvi primer je FIDS (Flight. Tomaž Krišelj: Varnost v logističnih informacijskih sistemih. stran 1.

Univerza v Mariboru - Fakulteta za logistiko. Magistrsko delo. Information Display Sistem), ki je namenjen logistični podpori potniškemu terminalu na Letališču Jožeta Pučnika, s katerim upravlja Aerodrom Ljubljana d.d. Nedelovanje sistema ali nepooblaščen dostop lahko povzroči velike zamude letal in posledično gospodarsko škodo. Drugi primer je informacijski sistem na področju šolstva in ga uporablja večina slovenskih šol in na tisoče staršev. Tukaj se srečujemo z zelo velikim številom uporabnikov sistema in občutljivimi osebnimi podatki. Na konkretnem primeru bom poskušal pokazati, da bodo v prihodnosti povsod zavladali t. i. poslovni informacijski sistemi oziroma ERP. Rešitve ERP so namreč postale hrbtenica sodobnih poslovnih modelov, njihova uspešna uvedba pa ključni dejavnik obstoja, uspeha in rasti podjetij. Res pa je tudi, da uvedbe rešitev ERP spremlja visoka stopnja neuspešnosti projektov, saj tuja in domača praksa na tem področju kažeta, da gre za projekte z visoko stopnjo tveganja in relativno nizko uspešnostjo. Analiza konkretnega primera bo koristna za nadaljnji razvoj informacijskih sistemov, ki jih predstavljam. Pri tem poudarjam, da z napisanim ne želim posploševati ter dajati vtisa, da je pri uvedbi rešitev ERP potrebno dosledno upoštevati zaključke diplomske naloge, saj menim, da je na projektih uvajanja ERP potrebno predvsem upoštevati specifične poslovnoorganizacijske, tehnične in kadrovske dejavnike, ki so značilni za konkretni projekt.. 1.2. PREDSTAVITEV OKOLJA. Podjetje LOGOS.SI d.o.o. je 11. 12. 2007 praznovalo 18-letnico obstoja. Glavna in osnovna dejavnost od vsega začetka je izdelava informacijskih sistemov. Na začetku so bili to sistemi na področju računovodstva, financ, proizvodnje (glavna knjga s saldakonti, osnovna sredstva, plače, materialno poslovanje, planiranje in terminiranje proizvodnje, vhodna kontrola …). Leta 1996 je bila podpisana prva pogodba z Ministrstvom za šolstvo in šport in takrat smo se preusmerili izključno v izdelavo informacijskih sistemov po naročilu za znane naročnike. Programe, ki smo jih izdelali na začetku, pa vzdržujemo in obnavljamo le v najnujnejšem obsegu. Večji projekti, ki tečejo v letu 2008, so opisani v nadaljevanju. Na Ministrstvo za šolstvo in šport smo leta 1996 začeli z računalniško podporo Vpisu učencev v srednje šole, dijaške domove in skupinskemu preverjanju znanja učencev osnovnih šol. To programsko opremo smo večkrat zelo prenovili, ministrstvo pa jo uporablja še danes. Trenutno vzdržujemo in nadgrajujemo programsko opremo za 1290 matičnih vzgojno-izobraževalnih zavodov (vrtcev, osnovnih šol, srednjih šol, višjih strokovnih šol, glasbenih šol, organizacij za Tomaž Krišelj: Varnost v logističnih informacijskih sistemih. stran 2.

Univerza v Mariboru - Fakulteta za logistiko. Magistrsko delo. izobraževanje odraslih, osnovnih šol za otroke s posebnimi potrebami, zavodov za otroke in mladostnike s posebnimi potrebami, dijaških domov). Na Gasilski zvezi Slovenije deluje informacijski sistem za vodenje evidenc v gasilskih organizacijah (Vulkan). To je spletna aplikacija s področja vodenja evidence članstva in opreme gasilskih društev. Aplikacija vsebuje tudi dokumentni sistem, ki v celoti nadomešča »papirnato poslovanje« s področja prijav na izobraževanja ter predlogov za napredovanja in odlikovanja. V sklop te aplikacije so vključeni tudi normativni akti, ki določajo pogoje za prej opisana področja (izobraževanje, napredovanje, pridobitev odlikovanja). Tako lahko uporabniki s pomočjo programa neposredno planirajo omenjene aktivnosti. Uprava RS za zaščito in reševanje uporablja informacijski sistem za zaščito in reševanje o nesrečah in intervencijah (SPIN). Omogoča izdelavo vseh poročil o nesrečah, javljenih na operativne regijske centre (112). Izdelane so tudi statistične obdelave zajetih podatkov. Informacijski sistem je povezan z grafičnim informacijskim sistemom (GIS). Med sistemoma je možno prenašati podatke o lokacijah nesreč. Na Upravi uporabljajo tudi informacijski sistem za ocenjevanje škode ob naravnih nesrečah. Ta spletna aplikacija omogoča izdelavo zapisnikov o ocenjevanju škode v primeru naravnih nesreč. Izdelane so tudi statistične obdelave zajetih podatkov. Informacijski sistem je povezan z grafičnim informacijskim sistemom (GIS). Med sistemoma je možno prenašati podatke o lokacijah poškodovanih objektov. Lovska zveza Slovenije uporablja informacijski sistem Lisjak. Spletna aplikacija omogoča vodenje evidence članstva lovskih družin, planiranje gospodarjenja z divjadjo in realizacijo načrtov gospodarjenja v loviščih. Vsebuje tudi dokumentni sistem, ki v celoti nadomešča »papirnato poslovanje« s področja prijav na izobraževanja ter predlogov za odlikovanja. V sklop te aplikacije so vključeni tudi normativni akti, ki določajo pogoje za izobraževanje in pridobitev odlikovanja Tako lahko uporabniki s pomočjo programa neposredno planirajo omenjene aktivnosti. Velika večina osnovnih in srednjih šol uporablja informacijski sistem za vodenje evidenc učencev in dijakov, pripravo dokumentov in obdelavo podatkov (LoPolis). Ta informacijski sistem bo podrobneje opisan v nadaljevanju. Nadgradnja tega informacijskega sistema je t. i. elektronska redovalnica. S pomočjo te spletne aplikacije starši preko spleta (z uporabo kvalificiranega spletnega digitalnega potrdila) lahko gledajo ocene svojih otrok, opravičujejo izostanke, odjavljajo otroke od šolske prehrane, komunicirajo s šolo. Na Aerodromu Ljubljana, ki upravlja z Letališčem Jožeta Pučnika, deluje t. i. FIDS (Flight information display system). To je sistem za Tomaž Krišelj: Varnost v logističnih informacijskih sistemih. stran 3.

Univerza v Mariboru - Fakulteta za logistiko. Magistrsko delo. obveščanje na javnih in službenih zaslonih za potnike in zaposlene na letališču.. 1.3. PREDPOSTAVKE IN OMEJITVE. Raziskava je v svojem teoretičnem izhodišču usmerjena v presojanje uporabnosti informacijskih sistemov s področja varnosti in zanesljivosti. Analiza predstavljenih rešitev služi kot izhodišče za kritično presojo uporabnosti informacijskih rešitev. Na tem izhodišču temeljijo naslednje predpostavke: • Odločitve o prenovi in informatizaciji poslovnih procesov lahko menedžment organizacije sprejema le na podlagi celovitih informacij. • Sodobne celovite informacijske rešitve omogočajo hitro in enostavno zbiranje podatkov. • Slovenske organizacije z javno oz. državno upravo so zaradi vse večje globalizacije in regionalizacije trgov, majhnosti slovenskega prostora ter izkoriščanja učinkov ekonomij, obsega in razpona prisiljene prenavljati in informatizirati poslovne procese. • Neizkoriščanje danih konceptov, modelov in orodij za prenovo in informatizacijo sistemov pomeni prepuščanje konkurenčne pobude tekmecem. • Pri opisovanju in analiziranju obravnavanega področja je pogled omejen na potrebe odločevalca – menedžerja po potrebnih informacijah, ki jih mora rešitev zagotoviti. • Analiza se ne spušča na opisovanje podrobnih programskih rešitev, saj bi s tem presegli namen in smisel magistrskega dela. • Tudi tehnično-tehnološka zasnova sistema je obdelana samo v obsegu, ki omogoča menedžmentu spoznavanje možnosti, ki jih ponuja tehnologija, oziroma mu predstavlja možnosti, ki jih lahko zahteva od sodobnih informacijskih tehnologij in celovitih informacijskih rešitev. • Raziskava se bo usmerila samo na dva informacijska sistema.. 1.4. METODE DELA. Namen in cilji raziskovalnega področja bodo med seboj povezati različna strokovna področja. Za opredelitev ciljev bom uporabil analitično, teoretično, izkustveno, zgodovinsko, induktivno in deduktivno metodo, s primerjalno metodo pa bom prikazane rešitve primerjal.. Tomaž Krišelj: Varnost v logističnih informacijskih sistemih. stran 4.

Univerza v Mariboru - Fakulteta za logistiko. 2. Magistrsko delo. SISTEMI ERP. 2.1 OPREDELITEV SISTEMOV ERP Sistem celovitih rešitev (Enterprise Resource Planning oziroma ERP) je ime za vrsto aplikativne programske opreme. To so kompleksni programski paketi, ki omogočajo integracijo različnih poslovnih funkcij. Rešitve ERP zagotavljajo tudi osnovo številnim procesom elektronskega poslovanja. Zanimivo je vprašanje, kako lahko sistem ERP ločimo od drugih rešitev. Razen klasične osnovne rešitve za finančno poslovanje mora programska rešitev, da bi jo lahko poimenovali sistem ERP, zadovoljevati še potrebe spremljanja za naslednje podsisteme: • upravljanje z zalogami, • upravljanje proizvodnje, • upravljanje kapacitet, • upravljanje projektov, • upravljanje virov (človeških in strojnih), • upravljanje poslovnih odnosov (CRM), • delo v večjezičnem okolju, • delo v sestavu več podjetij hkrati, • on-line konsolidacija podatkov več podjetij, • e-poslovanje (poslovanje, ki lahko v celoti poteka na internetu), • delo preko portala (formiranje namenskega uporabniškega dostopa do podatkov), • vgrajen lastni programski jezik za potrebe dodelav in lastnega razvoja. Zelo pomemben element vsakega sistema ERP je njegova modularnost, tako da se lahko podjetje odloči o nakupu posameznih modulov v skladu s potrebami. Ti moduli morajo biti popolnoma integrirani v sistem ERP. Znotraj modulov mora biti omogočeno še dodatno vejanje funkcionalnosti, tako da se omogoči popolna prilagodljivost sistema ERP poslovnim zahtevam uporabnika. Kot pravi O’Leary (2000), so sistemi ERP ‘korporacijsko čudo’, ki ima ogromen vpliv tako na poslovni svet kot na svet informacijske tehnologije, in vključuje naslednje razsežnosti: • vplivajo na večino velikih svetovnih korporacij, • vplivajo na mnoga srednja in manjša podjetja, • vplivajo na vedenje konkurence, • vplivajo na zahteve poslovnih partnerjev, • so spremenili naravo svetovalnih firm, • zagotavljajo eno primarnih orodij za prenovo poslovnih procesov, • temeljijo na uporabi ‘najboljše prakse’ na mnogih področjih, Tomaž Krišelj: Varnost v logističnih informacijskih sistemih. stran 5.

Univerza v Mariboru - Fakulteta za logistiko. Magistrsko delo. so prvi poslovni izdelek v okviru računalniške arhitekture strežnik – odjemalec, • so spremenili naravo funkcije informacijskih sistemov, • so spremenili naravo delovnih mest na vseh funkcijskih področjih, • so dragi in • so imeli ogromno tržno rast v zadnjih letih. Celovite rešitve zamenjuje stare informacijske sisteme. Njihov uspeh je predvsem v tem, da predstavljajo skupno integrirano programsko platformo za poslovne procese, kar je njihova največja prednost. Pomembna lastnost celovitih rešitev je zagotavljanje določene ravni integracije, integritete in zaščite podatkov, kar ni mogoče tako enostavno doseči z uporabo več programskih platform. •. Lastnosti s tehnološkega vidika so: • dejanska neodvisnost od strojne in sistemske programske opreme, • visoka stopnja združljivosti sistema, • visoka stopnja fleksibilnosti, • navidezna enotna struktura tabel, • podpora fazni (modularni) uvedbi in • skrajšan čas uvedbe. Lastnosti s poslovnega vidika pa so: • povrnitev naložbe v kratkem času, • kontroliran in kompatibilen reinženiring poslovnih procesov, • osredotočenost na rešitve, ki temeljijo na referenčnih modulih, • ena sama vhodna podatkovna točka, • omogočanje hitrih in kakovostnih informacij – nudijo možnost izdelave sprotnih (procesnih) poročil (angl. Real - Time Accounting), • sposobnost prilagajanja novih IT potrebam podjetja (eposlovanje), • kakovostno razviti in vgrajeni kontrolni postopki in • možnost revizije tako poslovnih kakor tudi računalniških rešitev, saj so tudi le-te množica tabel, procedur, ekranskih prikazov in tiskanih poročil. Danes je ponudnikov sistemov ERP mnogo. Medsebojna primerjava in analiza, ali posamezna rešitev ustreza pojmovanju sistema ERP, je stvar diskusije. Vse renomirane rešitve ERP pa omogočajo informatizacijo in podporo naslednjih področij delovanja organizacije: • •. financam in računovodstvu, vzdrževanju opreme,. Tomaž Krišelj: Varnost v logističnih informacijskih sistemih. stran 6.

Univerza v Mariboru - Fakulteta za logistiko. • • • • • • • • • • • • •. Magistrsko delo. razvoju izdelkov in storitev, marketingu, prodaji, upravljanju z naročili, planiranju in načrtovanju, izbiranju in selekciji, nabavi, proizvodnji, logistiki, poprodajnih storitvah, upravljanju s človeškimi viri, upravljanju kakovosti, projektnemu menedžmentu.. Razvoj omrežja je potrebno načrtovati tako, da bo zadoščalo potrebam uporabnikov in bo hkrati pri tem toliko prilagodljivo, da bo podpiralo vpeljavo novih tehnologij in razvoj arhitekture. Zaradi praktičnosti trinivojske arhitekture se številne aplikacije iz okolja odjemalec–strežnik selijo na svetovni splet. Za implementacijo rešitev v trinivojski arhitekturi pa je potrebno predvsem hitro lokalno omrežje (LAN), ki mora biti na voljo na vseh lokacijah, vedno bolj pa se uveljavlja koncept etherneta oziroma WAN.. 2.2 NAMEN SODOBNIH SISTEMOV ERP Njihov namen je odpraviti oziroma nadomestiti vse tiste pomanjkljivosti, ki so jih za podjetja predstavljali stari informacijski sistemi, ki temeljijo na mnogih programskih platformah in so izdelani doma (torej v AOPoddelkih podjetij). Njihov namen je vsekakor slediti globalizaciji poslovanja podjetij in potrebam po vedno večjem in temeljitejšem povezovanju poslovnih funkcij v podjetju in med podjetji. Pomembno je predvsem spoznati pravo dodano vrednost celovitih rešitev, saj nekatera podjetja še danes menijo, da je doma izdelana programska oprema najboljša in najcenejša. Celovite rešitve omogočajo ustvarjanje dodane vrednosti s pomočjo spreminjanja osnovne narave organizacije na različne načine. Po O’Learyju (2000) povzemam nekaj bistvenih prednosti celovitih rešitev, ki prispevajo k ustvarjanju dodane vrednosti. Celovite rešitve integrirajo dejavnosti podjetja – njihovi procesi segajo preko funkcij in s tem podjetje silijo k opustitvi tradicionalnih, funkcijskih in lokacijskih omejitev. Poleg tega se različni poslovni procesi v podjetju pogosto medsebojno povezujejo. Podatki so integrirani v enem samem sistemu. Tomaž Krišelj: Varnost v logističnih informacijskih sistemih. stran 7.

Univerza v Mariboru - Fakulteta za logistiko. Magistrsko delo. Celovite rešitve uporabljajo ‘najboljšo prakso’ – ti sistemi so se razvijali na podlagi uporabe ‘najboljše prakse’ v tisočih poslovnih procesov. Z uporabo teh modelov lahko podjetja izboljšajo svoje poslovne procese, ne da bi jim bilo zato potrebno izvajati dolgotrajne projekte posnetka in prenove poslovnih procesov. Celovite rešitve omogočajo organizacijsko standardizacijo – na ta način podjetja lahko poenotijo procese na vseh svojih lokacijah in svojemu okolju pokažejo enotno podobo, kar v starih sistemih pogosto ni bilo možno. Celovite rešitve odstranijo informacijsko asimetrijo – za celovite rešitve velja uporaba skupne baze podatkov, ki se kaže v povečanem nadzoru, dosegljivosti informacij in s tem v boljšem odločanju. Informacije so sedaj na voljo na vseh ravneh v organizaciji, tako da se lahko tudi ukine ali zmanjša število delovnih mest brez dodane vrednosti. Celovite rešitve zagotavljajo on-line informacije v realnem času – v starih sistemih so se informacije pogosto zapisovale na papir in kasneje vnašale v računalnike. V celovitih rešitvah se večino informacij vpiše v računalnik neposredno pri izvoru. V mnogih primerih uvajanja teh sistemov je ta lastnost izredno pomembna, saj večina računovodskih standardov zahteva zapis podatkov v času in na kraju nastanka in seveda tudi takojšnjo dosegljivost podatkov na različnih mestih v organizaciji. Celovite rešitve dovoljujejo istočasen dostop do istih podatkov za načrtovanje in nadzor – uporaba enotne baze podatkov zagotavlja enkraten vnos podatkov. Ker so podatki dosegljivi on-line in v realnem času, imajo v organizaciji vsi uporabniki možnost dostopa do istih informacij za načrtovanje in nadzor, kar zagotavlja bolj dosledno načrtovanje in kontrolo. Celovite rešitve spodbujajo komunikacijo in sodelovanje znotraj organizacije – celovite rešitve so integriran sistem, kar pomeni, da se procesi ali deli procesov medsebojno izključujejo med posameznimi funkcijami in lokacijami, to pa sili uporabnike k boljši medsebojni komunikaciji in sodelovanju. Poleg tega k sodelovanju pripomore tudi standardizacija procesov, kjer vsakdo ve, katero delo mora opraviti, da bi lahko drugi nadaljevali proces.. Tomaž Krišelj: Varnost v logističnih informacijskih sistemih. stran 8.

Univerza v Mariboru - Fakulteta za logistiko. Magistrsko delo. Celovite rešitve spodbujajo komunikacijo in sodelovanje med organizacijami – predstavljajo informacijsko hrbtenico za komunikacijo in sodelovanje z drugimi organizacijami. Podjetja pogosto nadaljujejo projekt uvajanja celovitih rešitev s projekti elektronskega poslovanja ter odpirajo svoje baze podatkov partnerjem (npr. v primeru dobav in nadzora zalog).. 2.3 UVEDBA IN IMPLEMENTACIJA SISTEMOV ERP Z vedno novimi zahtevami uporabnikov se razvijajo tudi integrirani informacijski sistemi, ki postajajo vse bolj kompleksni. Na kompleksnost oziroma potrebe podjetij po celovitih programskih rešitvah pa v veliki meri vpliva velikost podjetja. Potrebe po tovrstnih rešitvah se nekoliko ločijo glede na to, ali gre za veliko oziroma malo podjetje. Poleg tega se od rešitev ERP pričakuje, da podpirajo več valut in jezikov, podjetja v različnih panogah (tako imenovano mehko programiranje, kamor spada tudi konfiguriranje) (Sternad, 2003, str. 516). Uvajanje celovitih programskih rešitev (ERP) predstavlja enega pomembnih pristopov k poslovni prenovi in informatizaciji poslovanja, ki vodi zlasti k učinkovitejšemu obvladovanju podatkov ter natančnejšemu napovedovanju poslovnih dogodkov in odločanju. Takšno programsko rešitev lahko opredelimo kot celovito povezan in na poslovnem modelu organizacije temelječ sistem, ki ob uporabi sodobne informacijske tehnologije vsem poslovnim procesom tako v sami organizaciji kot tudi v organizacijah z njo povezanih poslovnih partnerjev zagotavlja optimalne možnosti načrtovanja, razporejanja virov in ustvarjanja dodane vrednosti. Uvajanje celovitih rešitev temelji na konceptu prenove poslovanja, temelječem na prenosu najboljše prakse, zajete v teh rešitvah, v posamezno organizacijo in njeno neposredno okolje. Gre torej za strateško pomemben, pogosto tudi nujen projekt z dolgoročnimi, lahko močno pozitivnimi ali pa pogubnimi posledicami za organizacijo (Kovačič in Vukšić, 2005, 278). Način uvajanja sistema ERP in obsežnost sprememb, ki jih uvedba takšnega sistema prinese v organizacijo, pomenita visoko tveganje. Če tveganje ni obvladovano, torej če spreminjanje organizacije ob uvajanju takšne rešitve ni organizirano, vodeno in kontrolirano, lahko takšen projekt organizacijo tudi resno zamaje. Uvajanje sistema ERP ni projekt tehnološke prenove, temveč projekt celovite prenove organizacije kot celote z vsemi njenimi sestavinami. Pri uvajanju takšnega celovitega informacijskega sistema menedžment organizacije zasleduje naslednje cilje:. Tomaž Krišelj: Varnost v logističnih informacijskih sistemih. stran 9.

Univerza v Mariboru - Fakulteta za logistiko. • • • • • • • •. Magistrsko delo. globalizacijo poslovanja, optimiranje kapitala s poudarkom na zmanjševanju stroškov v verigi dodajanja vrednosti, optimiranje vhodno-izhodnih zalog s poudarkom na zagotavljanju nepretrganosti dobavne verige, celovit pregled nad poslovanjem, izboljšanje komuniciranja s strankami, omogočanje oziroma izboljšanje e-poslovanja, konsolidiranje informacijskih virov, večjo tehnološko neodvisnost in prožnost.. Najpreprosteje lahko sisteme ERP opišemo tudi kot skupek najboljših praks za izvajanje različnih procesov v organizaciji. V pogojih globalizacije trgov, nujnosti globalne povezljivosti ter dostopnosti informacij in prehoda na elektronsko poslovanje morajo informacijski sistemi zagotavljati nove oblike uporabe in se prilagajati novim zahtevam. Arhitekture, tehnologije in načini vzdrževanja, ki so dobro delovali za klasične, ročno izdelane in nepovezane aplikacije, se izkažejo za neučinkovite in celo neproduktivne, če jih apliciramo na današnje heterogene in porazdeljene sisteme. Le če je organizacija sposobna hitro prilagoditi obstoječe aplikacije in uporabiti njihove funkcionalnosti na nove načine, bo uspešno delovala v dobi elektronskega poslovanja. Uspešnost je odvisna od uporabe novih vzorcev planiranja in načinov upravljanja pri zagotavljanju integracije. Izvajanje poslovnih strategij, kot sta »podjetje brez zakasnitve« (angl. Zero Latency Enterprise) ali »premočrtno procesiranje« (angl. Straight Through Processing), lahko zagotovijo le sodobni informacijski sistemi. Strategija premočrtnega procesiranja zagotavlja, da se isti podatki v informacijski sistem vnašajo samo enkrat. S tem je zagotovljena konsistentnost podatkov in minimirana njihova redundanca. Strategija 'podjetje brez zakasnitve' zagotavlja, da se spremembe, narejene v delu informacijskega sistema, takoj (sinhrono), torej brez zakasnitve, odrazijo v ostalih delih celotnega informacijskega sistema, ne glede na njegovo distribuiranost. Običajno ločimo sisteme, ki implementirajo enostransko obveščanje o dogodkih, in sisteme, ki implementirajo dvosmerno komuniciranje. Tradicionalni, občasni paketni prenosi podatkov med aplikacijskimi sistemi in podatkovni bazami ne zadoščajo.. Tomaž Krišelj: Varnost v logističnih informacijskih sistemih. stran 10.

Univerza v Mariboru - Fakulteta za logistiko. Magistrsko delo. 3 ZAHTEVE ZAKONODAJE IN STANDARDOV S STALIŠČA VARNOSTI INFORMACIJSKIH SISTEMOV Z uvedbo sistemov ERP in sistemov, ki poskušajo biti takšni, se povečuje stopnja ogroženosti dostopa do osebnih podatkov. Izdelovalci takšnih sistemov se tega pogosto slabo zavedajo. V nadaljevanju predstavljam odlomke iz zakonodaje, ki se mi v povezavi z varnostjo osebnih podatkov zdijo še posebej pomembni. Ustava RS Po Ustavi Republike Slovenije z dne 23. 12. 1991 je varstvo osebnih podatkov človekova pravica in temeljna svoboščina. Ustava Republike Slovenije v 38. členu določa, da je: • zagotovljeno varstvo osebnih podatkov, • prepovedana uporaba osebnih podatkov v nasprotju z namenom njihovega zbiranja. Zbiranje, obdelovanje, namen uporabe, nadzor in varstvo tajnosti osebnih podatkov določa zakon. Vsakdo ima pravico seznaniti se z zbranimi osebnimi podatki, ki se nanašajo nanj, in pravico do sodnega varstva ob njihovi zlorabi. Zakon o varstvu osebnih podatkov Najpomembnejši zakon s tega področja je Zakon o varstvu osebnih podatkov (ZVOP-1). S tem zakonom se določajo pravice, obveznosti, načela in ukrepi, s katerimi se preprečujejo neustavni, nezakoniti in neupravičeni posegi v zasebnost in dostojanstvo posameznika oziroma posameznice pri obdelavi osebnih podatkov. Nekaj izrazov, ki imajo razlago v Zakonu: Osebni podatek – je katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen. Posameznik – je določena ali določljiva fizična oseba, na katero se nanaša osebni podatek; fizična oseba je določljiva, če se jo lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njeno fizično, fiziološko, duševno, ekonomsko, kulturno ali družbeno identiteto, pri čemer način identifikacije ne povzroča velikih stroškov, nesorazmerno velikega napora ali ne zahteva veliko časa. Obdelava osebnih podatkov – pomeni kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje,. Tomaž Krišelj: Varnost v logističnih informacijskih sistemih. stran 11.

Univerza v Mariboru - Fakulteta za logistiko. Magistrsko delo. priklicanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali uničenje; obdelava je lahko ročna ali avtomatizirana (sredstva obdelave). Zbirka osebnih podatkov – je vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran na takšen način, da določi ali omogoči določljivost posameznika. Upravljavec osebnih podatkov – je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki sama ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov oziroma oseba, določena z zakonom, ki določa tudi namene in sredstva obdelave. Pogodbeni obdelovalec – je fizična ali pravna oseba, ki obdeluje osebne podatke v imenu in na račun upravljavca osebnih podatkov. Uporabnik osebnih podatkov – je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki se ji posredujejo ali razkrijejo osebni podatki. Posredovanje osebnih podatkov – je posredovanje ali razkritje osebnih podatkov. Ustna ali druga ustrezna privolitev posameznika – je ustno ali s telekomunikacijskim ali drugim ustreznim sredstvom ali na drug ustrezen način dana privolitev, iz katere je mogoče nedvomno sklepati o posameznikovi privolitvi. Občutljivi osebni podatki – so podatki o rasnem, narodnem ali narodnostnem poreklu, političnem, verskem ali filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali evidenc, ki se vodijo na podlagi zakona, ki ureja prekrške; občutljivi osebni podatki so tudi biometrične značilnosti, če je z njihovo uporabo mogoče določiti posameznika v zvezi s katero od prej navedenih okoliščin. Kakšne so pravne podlage obdelave osebnih podatkov v zasebnem sektorju? Določa jih 10. člen Zakona, ki pravi, da se osebni podatki v zasebnem sektorju lahko obdelujejo, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika. Za zasebni sektor je zelo pomemben tudi 11. člen Zakona, ki govori o pogodbeni obdelavi. Tu je zapisano, da upravljavec osebnih podatkov lahko posamezna opravila v zvezi z obdelavo osebnih podatkov s pogodbo zaupa pogodbenemu obdelovalcu, ki je Tomaž Krišelj: Varnost v logističnih informacijskih sistemih. stran 12.

Univerza v Mariboru - Fakulteta za logistiko. Magistrsko delo. registriran za opravljanje takšne dejavnosti in zagotavlja ustrezne postopke in ukrepe iz 24. člena tega zakona. Pogodbeni obdelovalec sme opravljati posamezna opravila v zvezi z obdelavo osebnih podatkov v okviru naročnikovih pooblastil in osebnih podatkov ne sme obdelovati za noben drug namen. Medsebojne pravice in obveznosti se uredijo s pogodbo, ki mora biti sklenjena v pisni obliki in mora vsebovati tudi dogovor o postopkih in ukrepih iz 24. člena Zakona. Upravljavec osebnih podatkov nadzoruje izvajanje postopkov in ukrepov iz 24. člena Zakona. Nekajkrat je bil omenjen 24. člen, ki govori o zavarovanju osebnih podatkov. Tu je med drugim zapisano: »Zavarovanje osebnih podatkov obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov tako, da se: 1. varujejo prostori, oprema in sistemsko programska oprema, vključno z vhodno-izhodnimi enotami; 2. varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki; 3. preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih; 4. zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov; 5. omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.« V primeru obdelave osebnih podatkov, ki so dostopni preko telekomunikacijskega sredstva ali omrežja, morajo strojna, sistemska in aplikativno-programska oprema zagotavljati, da je obdelava osebnih podatkov v zbirkah osebnih podatkov v mejah pooblastil uporabnika osebnih podatkov. Postopki in ukrepi za zavarovanje osebnih podatkov morajo biti ustrezni glede na tveganje, ki ga predstavlja obdelava in narava določenih osebnih podatkov, ki se obdelujejo. Funkcionarji, zaposleni in drugi posamezniki, ki opravljajo dela ali naloge pri osebah, ki obdelujejo osebne podatke, so dolžni varovati tajnost osebnih podatkov, s katerimi se seznanijo pri opravljanju svojih funkcij, del in nalog. Dolžnost varovanja tajnosti osebnih podatkov jih. Tomaž Krišelj: Varnost v logističnih informacijskih sistemih. stran 13.

Univerza v Mariboru - Fakulteta za logistiko. Magistrsko delo. obvezuje tudi po prenehanju funkcije, zaposlitve, opravljanja del ali nalog ali opravljanja storitev pogodbene obdelave. Prijava zbirk osebnih podatkov v register zbirk pri Informacijskem pooblaščencu. Novela ZVOP-1 (Zakon o spremembah in dopolnitvah zakona o varstvu osebnih podatkov, ZVOP-1A, Ur. l. RS, št. 67/2007) krog zavezancev za vpis zbirk osebnih podatkov v register bistveno zoži. Novela je namreč predvidela, da vpis v register ni obvezen za tiste upravljavce osebnih podatkov, ki imajo manj kot 50 zaposlenih, vendar pa navedena omejitev ne velja za zbirke osebnih podatkov, ki jih vodijo upravljavci osebnih podatkov iz javnega sektorja, notarji, odvetniki, detektivi, izvršitelji, izvajalci zasebnega varovanja, zasebni zdravstveni delavci, izvajalci zdravstvenih storitev ter za upravljavce osebnih podatkov, ki vodijo zbirke z občutljivimi osebnimi podatki in je obdelava le-teh del njihove registrirane dejavnosti. Če torej sodi dejavnost v krog navedenih subjektov, je vpis v register potrebno opraviti. Kakšna je razlika med opisom zbirk osebnih podatkov v registru, ki ga vodi informacijski pooblaščenec, in opisom zbirk osebnih podatkov v katalogu zbirk osebnih podatkov? Z vpogledom v register zbirk osebnih podatkov na spletni strani informacijskega pooblaščenca se posameznik lahko seznani s podatki, ki jih našteva 27. člen ZVOP-1 in se nanašajo na vse zbirke osebnih podatkov, ki se vodijo v Republiki Sloveniji. Z vpogledom v katalog zbirke osebnih podatkov, ki ga hrani posamezni upravljavec, pa se posameznik lahko seznami z vsemi podatki iz 26. člena ZVOP-1, ki se nanašajo na zbirke posameznega upravljavca. Namen kataloga je predvsem v seznanitvi posameznika z njegovo vsebino (glej 1. točko prvega odstavka 30. člena ZVOP-1), torej z opisom posamezne zbirke osebnih podatkov, zato mora vsak upravljavec osebnih podatkov, ki vzpostavi zbirko osebnih podatkov, pri sebi zagotoviti tudi katalog zbirke osebnih podatkov in skrbeti za njegovo točnost ter ažurnost vsebine, saj mora na zahtevo posameznika le-temu vedno omogočiti vpogled vanj. Kakšna je povezava med bazami podatkov ter dokumentarnim in arhivskim gradivom? V Sloveniji imamo od leta 2006 Zakon o varstvu dokumentarnega in arhivskega gradiva ter arhivih (ZVDAGA). Na podlagi tega zakona je vlada izdala UREDBO o varstvu dokumentarnega in arhivskega gradiva, Ministrstvo za kulturo oz. Arhiv Republike Slovenije pa Enotne tehnološke zahteve.. Tomaž Krišelj: Varnost v logističnih informacijskih sistemih. stran 14.

Univerza v Mariboru - Fakulteta za logistiko. Magistrsko delo. ZVDAGA ureja način, organizacijo, infrastrukturo in izvedbo zajema ter hrambe dokumentarnega gradiva v fizični in elektronski obliki, veljavnost oziroma dokazno vrednost takega gradiva, varstvo arhivskega gradiva in pogoje za njegovo uporabo, naloge arhivov in javne arhivske službe ter s tem povezane storitve in nadzor nad izvajanjem. Katero dokumentarno gradivo je praviloma vedno arhivsko gradivo? Člen našteva mnoge, za naše potrebe navajam samo eno vrsto: uradne oziroma javne evidence, vključno z vsemi zbirkami osebnih podatkov ter drugimi zbirkami podatkov, ki jih v skladu s predpisi vodijo organi na splošnem, upravnem, kadrovskem, notranjem, pravosodnem, statističnem, gospodarskem, proračunskem, finančnem, davčnem, šolskem, znanstvenem, zdravstvenem, kulturnem, športnem, zunanjem, obrambnem in drugih področjih (elektronske zbirke podatkov, klasične javne evidence, registri, katastri, matične knjige, kartoteke, seznami in drugo). Uredba o varstvu dokumentarnega in arhivskega gradiva ureja (1. člen) delovanje in notranja pravila za osebe, ki hranijo dokumentarno oziroma arhivsko gradivo, hrambo tega gradiva v fizični in digitalni obliki, splošne pogoje, registracijo in akreditacijo opreme in storitev za digitalno hrambo, odbiranje in izročanje arhivskega gradiva javnim arhivom, strokovno obdelavo in vodenje evidenc arhivskega gradiva, varstvo filmskega in zasebnega arhivskega gradiva, uporabo arhivskega gradiva v arhivih ter delo arhivske komisije. Določbe te uredbe se pri zagotavljanju varstva arhivskega in dokumentarnega gradiva razlagajo v skladu z ustreznimi veljavnimi standardi ISO (standard ISO 14721 – za izdelavo arhivskih sistemov elektronskih virov, standard ISO 15489 – sistemi upravljanja dokumentov, standard ISO 23081 – načela metapodatkov za dokumente, standard ISO/IEC 17799/BS7799 – varnost informacijskih sistemov, standard ISO/IEC 27001 – Information security management systems, standard ISO 9706 – Information and Documentation – Paper for Documents – Requirements for Permanence, standard ISO 11108 – Information and Documentation – Archive Paper for Documents – Requirements for Permanence, standard ISO 18014 – Time Stamping Services, standard ISO/IEC 12207 – Software life cycle processes), britanskim standardom BS 5454 Recommendation for the storage and exhibition of archival documents ter drugimi ustreznimi standardi za področje filma, fotografij in drugih novejših nosilcev zapisov. Na podlagi naštetega imamo v podjetju LOGOS.SI vzpostavljen sistem upravljanja varovanja informacij (v nadaljevanju SUVI). Bistvene značilnosti so opisane v nadaljevanju. Tomaž Krišelj: Varnost v logističnih informacijskih sistemih. stran 15.

Univerza v Mariboru - Fakulteta za logistiko. Magistrsko delo. 3.1 INFORMACIJSKA VARNOSTNA POLITIKA LOGOS.SI Informacijska varnostna politika je del notranjih pravil podjetja LOGOS.SI in je usklajena z veljavnimi evropskimi in slovenskimi predpisi (davčni predpisi, predpisi glede varstva osebnih podatkov, varstva poslovnih skrivnosti, varstva dokumentarnega gradiva in podobno). Namenjena je upravljanju varovanja informacij v podjetju. Obvezna je za vse zaposlene in zunanje sodelavce. Informacijska varnostna politika skupaj je neločljivi del notranjih pravil LOGOS.SI kot ponudnika storitev hrambe v skladu z Zakonom o varstvu dokumentarnega in arhivskega gradiva ter arhivih (Ur. l. RS, št. 30/2006). Na podlagi te Enotne informacijske varnostne politike v podjetju razvijemo in vzpostavimo dokumentiran sistem za upravljanje celovitega varovanja informacij. S pomočjo takšnega sistema ščitimo naša informacijska sredstva pred nevarnostmi, bodisi notranjimi ali zunanjimi, namernimi ali naključnimi, obvladujemo tveganja ter za doseganje opredeljenih ciljev izvajamo primerne varnostne ukrepe. Pri tem smo upoštevali zahteve poslovnih procesov ter ocenili tveganja, s katerimi se soočamo. V okviru vzpostavitve SUVI smo se v podjetju seznanili s področji njegove veljavnosti in preverili, da ustreza poslovanju našega podjetja ter sredstvom in tehnologijam, s katerimi razpolagamo. Preučili smo analizo tveganj, ki je bila pripravljena na naslednji način: • identificirana, analizirana in ocenjena so bila tveganja; • identificirani in ovrednoteni so bili možni načini za obvladovanje tveganj; • izbrani so bili cilji in ukrepi za obvladovanje tveganj; • preostala tveganja so bila odobrena kot sprejemljiva. S pristopom k tej Informacijski varnostni politiki (v nadaljevanju: Varnostna politika) je naše vodstvo potrdilo, da bomo v podjetju ravnali v skladu z njo. Uvedli smo takšen način dela in posamezne organizacijske in tehnološke ukrepe, s katerimi zagotavljamo skladnost s to politiko in s tem varnost naših informacij. Skrbimo za nenehno seznanjanje naših zaposlenih s področjem varovanja informacij, tveganji in potrebnimi ukrepi za dvig zavesti o pomenu celovitega varovanja. Redno jih seznanjamo s podrobnostmi vzpostavljenega SUVI, novostmi v Varnostni politiki, z izvedenimi ukrepi ter njihovo osebno odgovornostjo za varovanje. Vodstvo odločno podpira SUVI, kot ga določa standard ISO 27001 : 2005 in za to v smiselnem obsegu na podlagi nepristranskih strokovnih ocen zagotavlja potrebne vire in sredstva (finance, kadre, infrastrukturo in drugo). Tomaž Krišelj: Varnost v logističnih informacijskih sistemih. stran 16.

Univerza v Mariboru - Fakulteta za logistiko. Magistrsko delo. Vodstvo nadzoruje izvajanje SUVI v skladu z vnaprej pripravljenimi načrti občasnih pregledov. S tem v podjetju zagotavljamo stalno ustreznost in učinkovitost izvajanja varnostne politike ter s tem izpolnjevanje veljavnih predpisov, standardov in naših notranjih ciljev varovanja. Vodstvo hkrati tudi ocenjuje potrebe po spremembah sistema ter možnosti izboljšav. Kot določa ta varnostna politika, se vsi takšni vodstveni pregledi ustrezno dokumentirajo (zapisi o vodstvenih pregledih). Upravljanje z informacijsko varnostjo razumemo kot stalen proces, ki zajema načrtovanje, izvajanje, nadzor in ukrepanje, s katerim nenehno dvigujemo raven varovanja informacij. S tem hkrati zagotavljamo stalno odkrivanje šibkosti in varnostnih dogodkov (incidentov), se prilagajamo poslovnim potrebam, zahtevam veljavnih predpisov in zunanjemu ter notranjemu okolju. SUVI pregledujemo najmanj enkrat letno, po potrebi pa tudi večkrat, samostojno ali pa v povezavi z ostalimi pregledi, in sicer v okviru notranjih presoj. Pri tem ocenjujemo in ugotavljamo učinkovitost izvedenih ukrepov ter ocenjujemo tveganja. Samo sprejem Varnostne politike ne zadošča. Naše podjetje se stalno prilagaja in spreminja. Zato imamo vzpostavljene posebne postopke za izvajanje sprememb (v notranji organizaciji, delovnih procesih, na strojni in programski opremi), ki morajo biti formalizirani, nadzorovani, konsistentni v celotnem podjetju in v celoti dokumentirani (t. i. upravljanje sprememb). S to politiko se določa Splošni postopek izvajanja sprememb in nadgradenj informacijskega sistema, ki mora potekati v skladu z naslednjimi zahtevami: • načrtovane spremembe morajo biti odobrene s strani pooblaščenih oseb (pri večjih spremembah je to vodstvo podjetja), • pred vsako izvedbo spremembe morajo biti o njej obveščene vse odgovorne osebe za področja, na katere sprememba vpliva, ter z njimi usklajene spremembe in postopki za vzpostavitev želenega stanja; • pred vsako izvedbo spremembe morajo biti preverjene varnostne kontrole in izvedeni postopki za preverjanje pravilnosti delovanja sistema po spremembi; • preveriti je potrebno, ali je kot posledica spremembe potrebna sprememba ali dopolnitev notranjih pravil; • preveriti je potrebno, ali je kot posledica spremembe potrebna dodatna prilagoditev kateregakoli dela sistema; • vse spremembe v zvezi z informacijsko tehnologijo morajo biti, preden se izvedejo v produkcijskem okolju, preverjene v testnem. Tomaž Krišelj: Varnost v logističnih informacijskih sistemih. stran 17.

Univerza v Mariboru - Fakulteta za logistiko. Magistrsko delo. okolju, zagotovljena mora biti možnost vrnitve sistema v prej delujoče stanje; • pri vsaki zahtevani in izvedeni spremembi mora biti zagotovljeno vodenje dnevnika dela in dopolnitev dokumentacije sistema oz. njegovih sestavnih delov; • ob veljavnosti posamezne spremembe, ki vpliva na delo uporabnikov, je potrebno prizadete uporabnike obvestiti o začetku veljavnosti spremembe, njenem namenu in o morebitnih vplivih na njihovo delo, vključno z morebitnim potrebnim dodatnim usposabljanjem. • SUVI redno in tekoče izboljšujemo na podlagi preventivnih in korektivnih ukrepov (npr. sprememba pravil ob novi grožnji, prilagoditev pravil novim tehnologijam ali dognanjem stroke in podobno), s katerimi uveljavljamo načela Varnostne politike ter uresničujemo zastavljene cilje varovanja. Za učinkovito delovanje SUVI je zelo pomembno primerno ravnanje z dokumentacijo. V nadaljevanju so zato določena pravila glede dokumentacije, ki jih moramo spoštovati. V okviru SUVI vodimo dokumente in drugo gradivo, s katero dokazujemo izvajanje določil te politike (prikaz organizacije upravljanja vključno z Varnostno politiko, navodila in postopke za izvedbo ukrepov in odgovornosti, izvedene ukrepe in nadzorne aktivnosti). V okviru SUVI imamo vzpostavljen in vzdrževan proces dokumentiranja, s katerim obvladujemo tudi vso dokumentacijo in s tem zagotavljamo, da: • je vedno dostopna, • je periodično pregledana in po potrebi revidirana v skladu z Varnostno politiko, • vsaka veljavna različica je sproti pregledana in potrjena s strani vodstva ali od vodstva pooblaščene osebe, velja šele po takšni potrditvi in ko je dostopna vsem, ki jih obvezuje; • je vzdrževana na takšen način, da so jasno označene zaporedne različice in razlike med njimi (obvladovanje različic), ter dostopna na vseh lokacijah, kjer se izvajajo aktivnosti, ki so bistvene za učinkovito delovanje SUVI, • so sprotno umaknjene stare, neveljavne različice, ki pa so shranjene tako, da so vedno dostopne (npr. za primer različnih uradnih postopkov …). Zadnja veljavna dokumentacija SUVI je zaposlenim dostopna na intranetu, oglasni deski ali na drug primeren način (obvezno potrjena in datirana).. Tomaž Krišelj: Varnost v logističnih informacijskih sistemih. stran 18.

Univerza v Mariboru - Fakulteta za logistiko. Magistrsko delo. V okviru dokumentiranega sistema vzdržujemo različne zapise, s katerimi dokazujemo izvajanje postopkov v SUVI in dokazujemo skladnost z zahtevami veljavnih predpisov ter standardov. V okviru sistema je vzpostavljen in vzdrževan postopek za identifikacijo, vzdrževanje, hrambo in odstranjevanje zapisov. Stalno zagotavljamo, da je Varnostna politika v skladu s slovensko ustavo ter sprejetimi zakonskimi in podzakonskimi akti, z ratificiranimi mednarodnimi pogodbami ter s primarno in sekundarno zakonodajo EU. Prav tako politiko sproti prilagajamo slovenskim, evropskim in mednarodnim standardom ter najnovejšim dognanjem različnih strok. Hkrati skrbimo, da je izvajanje Varnostne politike skladno z vsem naštetim. Za to je zadolžen in odgovoren naš delavec, ki skrbi za skladnost SUVI z zakonodajo in standardi. Med drugim skrbi tudi, da so vsi varnostni postopki usklajeni z Varnostno politiko in izpeljani v skladu z njo ter o ugotovitvah poroča neposredno vodstvu podjetja, po potrebi pa se posvetuje tudi z zunanjimi strokovnjaki. V skladu z obvladovanjem tveganj so dovoljena določena odstopanja, opustitve ali izjeme v Varnostni politiki. Zahteva in odobritev vsakega odstopanja, opustitve ali izjeme v odnosu do politike mora biti podana pisno in dokumentirana. Vsako odstopanje, opustitev ali izjemo od zahtev Varnostne politike natančno analiziramo, da ugotovimo, če ima to odstopanje, opustitev ali izjema kakršenkoli vpliv na varnost naših informacijskih sredstev ali drugih sredstev, do katerih dostopamo. Vodstvo lahko odobri takšno odstopanje, opustitev ali izjemo, če to nima vpliva na varnost informacijskih sredstev. Vsi potrebni postopki in koraki, da se ugodi zahtevi, morajo biti evidentirani. Če vodstvo oceni, da bi ta odstopanja, opustitve in izjeme lahko imele določene negativne posledice za varnost oziroma se teh posledic ne more oceniti, se od zahtev Varnostne politike ne sme odstopiti.. 3.2 ORGANIZACIJA INFORMACIJSKE VARNOSTI Izvajanje Varnostne politike je odobrilo vodstvo podjetja z namenom izboljšati varovanje informacij, z njeno uvedbo pa dvigniti zavest zaposlenih glede varovanja informacij. S potrditvijo Varnostne politike želi vodstvo postaviti jasen in pregleden sistem temeljnih načel (poglavje Temeljna načela) ter podati jasne usmeritve za izvajanje vseh ukrepov na področju varovanja informacij. Na ta način vodstvo izkazuje nedvoumno zavzetost varovanju vseh informacij ter podpira izvajanje ukrepov. Informacijsko varnost dosegamo z zagotavljanjem celovitosti (varovanje podatkov in informacij pred neavtoriziranimi spremembami, zagotavljanje dokazljivosti izvora in verodostojnosti – Tomaž Krišelj: Varnost v logističnih informacijskih sistemih. stran 19.

Univerza v Mariboru - Fakulteta za logistiko. Magistrsko delo. točnosti, popolnosti in nespremenljivosti informacij in postopkov procesiranja), zaupnosti (varovanje poslovnih in osebnih podatkov ter informacij pred razkritjem nepooblaščenim osebam in zagotavljanje odgovornosti za dejanja pooblaščenih oseb) in razpoložljivosti (zagotavljanje, da imajo pooblaščeni uporabniki dostop do informacij in pripadajočih sredstev, ko jih potrebujejo). Z Varnostno politiko so določena minimalna obvezujoča pravila in predpisi, ki se nanašajo na splošne principe ravnanja, dostopa, obdelave, shranjevanja, prenosa in uničenja informacijskih podatkov znotraj podjetja. Le-to vključuje na primer podatke o zaposlenih, pogodbe, načrte, izpise, statistične podatke itd. Varnostna politika velja za vse zaposlene in zunanje sodelavce. Vsa določila, ki se nanašajo na osebe in so zapisana v moški slovnični obliki, so mišljena nevtralno, za oba moški spola. Obseg SUVI je določen z različnih vidikov z namenom, da dosežemo nedvoumnost, kaj je v okviru obsega SUVI in kaj ne. Na mestih, kjer so postavljene meje in se informacije izmenjujejo z zunanjim svetom, je delovanje vmesnikov opisano. V obseg SUVI podjetja spadajo: 1. ljudje: vsi zaposleni v podjetju (redno in pogodbeno); 2. objekti: sedež in vse morebitne lokacije podjetja; 3. omrežje; 4. sredstva: • informacijska sredstva (datoteke in baze podatkov, sistemska dokumentacija, uporabniški priročniki, učni materiali, delovni postopki, načrt neprekinjenega poslovanja ...), • papirni dokumenti (pogodbe, navodila, poročila ...), • programska oprema (aplikacijska, sistemska, razvojna orodja ...), • fizična sredstva: • računalniška oprema (osebni računalniki, strežniki, tiskalniki ...), • komunikacijska oprema (usmerjevalniki, modemi, kabli, telefoni, faksimilne naprave ...), • prenosni mediji (zgoščenke, diskete, trakovi ...), • tehnična oprema (sistemi neprekinjenega napajanja, klimatske naprave ...), • pohištvo, prostori, oprema ... • prenosna komunikacijsko računalniška oprema; 5. storitve in preskrba (računalniške in komunikacijske storitve, druga tehnična preskrba (ogrevanje, razsvetljava, elektrika, klimatizacija ...); 6. vhodne točke, kjer je podjetje povezano z okoljem: • sprejemna pisarna, • vstopne točke omrežja (priključki na ponudnike komunikacijskih storitev), • priključek na telefonsko omrežje, Tomaž Krišelj: Varnost v logističnih informacijskih sistemih. stran 20.

Univerza v Mariboru - Fakulteta za logistiko. •. Magistrsko delo. vhodi, izhodi in fizične meje prostorov.. Cilji te Varnostne politike so: • preprečitev nepooblaščenih dostopov do informacijskih sredstev in informacij, njihovo uničenje, odtujitev ali razkritje nepooblaščenim osebam zaradi nevednosti ali malomarnosti, • varovanje zaupnosti in celovitosti informacij, programske opreme, omrežnih storitev in podporne infrastrukture, • omogočanje razpoložljivosti informacij in virov, ko jih pooblaščeni potrebujejo, • zagotavljanje primerne ravni varovanja celotne infrastrukture, osebja in informacij oz. dostopa do njih, • dvig zavesti zaposlenih za varovanje informacij ter njihovo stalno usposabljanje o informacijski varnosti, • zmanjševanje tveganja človeških napak, kraje, prevare ali zlorabe naprav, škode varnostnih incidentov in okvar, • zagotavljanje skladnosti z zahtevami veljavne slovenske zakonodaje in zakonodaje EU, • uvajanje in izvajanje dobre prakse na področju varovanja informacij. S potrditvijo Varnostne politike je vsem zaposlenim sporočena zaveza vodstva k reševanju varnostnih vprašanj. Vsi zaposleni morajo biti seznanjeni s to Varnostno politiko in njenimi cilji. Sposobni morajo biti pravilno ter učinkovito izvrševati svoje naloge, kadar te zadevajo varnost podjetja. Varnostna politika vsebuje pravila glede varovanja informacij in zato ne ureja nekaterih drugih, prav tako zelo pomembnih varnostnih vidikov, na primer varnosti in zdravja pri delu, varovanje finančnih transakcij, (visoke) razpoložljivosti, splošnega ukrepanja ob nujnih primerih (požaru, potresu, drugih naravnih nesrečah). Varnostna politika je namenjena predvsem zagotavljanju informacijske varnosti, vendar pa varnost ni sama sebi namen, temveč je povezana s siceršnjim delovanjem podjetja. Za vsa informacijska varnostna pravila veljajo – skladno z njihovim pomenom – v nadaljevanju navedena načela. Varovane informacije se lahko berejo, zapisujejo, spreminjajo ali prenašajo samo v zvezi s poslovnimi potrebami podjetja, ki so skladne z veljavnimi predpisi. Ob prenehanju pravnih podlag ali poslovnih potreb prenehajo tudi pooblastila oziroma se varovani podatki izbrišejo. Z varovanimi podatki je vsak zaposlen dolžan ravnati z najvišjo sebi primerno stopnjo pazljivosti. To zajema tudi točnost podatkov. Na primer, zaposleni kršijo svojo dolžnost, če pustijo varovani podatek neovirano ležati naokoli ali ga vržejo v koš, če posojajo svoja gesla ali Tomaž Krišelj: Varnost v logističnih informacijskih sistemih. stran 21.

Univerza v Mariboru - Fakulteta za logistiko. Magistrsko delo. pustijo svoja delovna mesta brez kakršnekoli zaščite (dokumente, računalnike). Načelo strokovnosti terja od vseh zaposlenih ter tudi od vseh zunanjih sodelavcev visoko raven strokovnosti in profesionalnosti ter temu ustrezno poklicno skrbnost. Za izvajanje tega načela v praksi je zelo pomembno zaposlovanje ustrezno izobraženih ljudi ter hkrati nenehno usposabljanje, ki ga mora zagotavljati podjetje za vse svoje zaposlene. Do varovanih občutljivih podatkov (osebnih, poslovnih skrivnosti …) ne sme imeti dostopa nobena nepooblaščena oseba. Dodeljevanje pooblastil mora biti razumljiv postopek. Pravica dodeljevanja pooblastil je delegirana ali odvzeta s strani vodstva podjetja, odgovornost pa je prenesena na vodstvo oddelkov glede na njihove dodeljene odgovornosti. Vodje, odgovorni za določene zaposlene, imajo le-tem pravico dodeljevati pooblastila. Dodeljevanje pooblastil mora biti izvedeno po načelu »najmanjših privilegijev«. Ustrezni varnostni postopki (npr. prijava/odjava, dodeljevanje pooblastil …), morajo biti urejeni tako, da je mogoče objektivno dokazati kdo, kako, za kakšen namen in kdaj je delal z varovanimi podatki. Sistemi za ustvarjanje zapisov morajo zagotavljati natančen čas in datum z vnaprej določeno maksimalno dovoljeno razliko. Varovanje informacij ob hkratnem zagotavljanju njihove kakovosti je ključno za zagotavljanje visoke ravni in zakonitosti poslovanja ter zagotavljanje družbene odgovornosti podjetja. Zato je usmeritev v varovanje informacij skladna in tesno povezana z usmeritvijo v sisteme upravljanja kakovosti, varstva okolja, korporativne odgovornosti ali sorodne sisteme v skladu z mednarodnimi standardi. Vsi zaposleni v podjetju in vsi zunanji sodelavci podjetja (pogodbeni sodelavci, sodelavci zunanjih izvajalcev, študentje, dijaki, prostovoljci) in drugi, ki imajo kakršenkoli stik z informacijskimi viri podjetja, ki spadajo v določeni obseg Sistema za upravljanje varovanja informacij (glej razdelek „Obseg SUVI“ v tem poglavju), so odgovorni za izvajanje Varnostne politike. Zato jim je ta posredovana v pisni obliki in interno objavljena (intranet ali interna oglasna deska). SUVI obsega vse informacijske vire na sedežu in drugih lokacijah podjetja, razen v primeru, ko vodstvo podjetja s sklepom določi drugače. Varnostna politika je potrjena s strani vodstva podjetja, ki je odgovorno za njeno izvajanje. Organizacijska enota, ki izvaja naloge s kadrovskega področja, je s strani vodstva pooblaščena, da glede na tip kršitve Varnostne politike izpelje ustrezne postopke. V manjšem podjetju je lahko za izpeljavo ustreznih postopkov glede na tip kršitve pooblaščen delavec, ki izvaja naloge s kadrovskega področja.. Tomaž Krišelj: Varnost v logističnih informacijskih sistemih. stran 22.

Univerza v Mariboru - Fakulteta za logistiko. Magistrsko delo. Za koordiniranje vpeljave informacijsko-varnostnih kontrol in spremljanje izvajanja Varnostne politike je odgovorna organizacijska enota za informatiko. V manjšem podjetju je lahko za koordiniranje vpeljave informacijsko-varnostnih kontrol in spremljanje izvajanja Varnostne politike zadolžen delavec, odgovoren za informatiko. Organizacijska enota za informatiko ali delavec, odgovoren za informatiko, pomaga organizacijski enoti, ki izvaja naloge s kadrovskega področja, oziroma delavcu, ki izvaja naloge s kadrovskega področja, pri odločitvi, če je potrebno zaradi kršitve varnosti uvesti disciplinske ukrepe. Za informacijsko varnost posameznega področja so imenovani nosilci področij, odgovornosti so s sklepom poslovodstva dokumentirane in formalno potrjene. Strokovne nasvete glede varovanja informacij lahko nudijo tudi zunanji svetovalci. Njihovi nasveti se usklajujejo znotraj podjetja. Če pride do kršitve Varnostne politike, lahko kršitelj izgubi pravico do določenega opravila oz. dela (npr. dostop do interneta), pri težjih kršitvah pa se, v skladu z veljavno zakonodajo, lahko sprožijo tudi postopki ugotavljanja disciplinske in odškodninske odgovornosti, vključno z izredno odpovedjo delovnega ali drugega pogodbenega razmerja in kazenskim pregonom. Ponavljajoče kršitve varnosti morajo biti zabeležene v personalnih mapah zaposlenih in imajo lahko za posledico suspendiranje zaposlenega. Organizacijska enota oziroma delavec, ki izvaja naloge s kadrovskega področja, je skupaj s takšnemu delavcu neposredno nadrejenim odgovoren za primerno ukrepanje. Zunanji sodelavci ali pogodbeni partnerji, ki ne sprejmejo te Varnostne politike ali jo kršijo, izgubijo pravico sodelovanja s podjetjem. Pri težji kršitvi se lahko proti tretji osebi sprožijo tudi odškodninski, kazenski in drugi postopki pred pristojnimi državnimi in/ali mednarodnimi organi. Nadzor izvaja Skupina za informacijsko varnost na svojih rednih ali izrednih sestankih. Skupina pregleduje ustreznost tega dokumenta vsaj enkrat letno ali izredno v primerih: • reorganizacije, • fizične selitve, spremembe v uporabi prostorov, • večje spremembe v informacijski in omrežni infrastrukturi, • spremembe v preskrbi. Vse pomembne zadeve v zvezi z Obsegom SUVI se poročajo poslovodstvu in organizacijski enoti za kakovost ali delavcu, odgovornemu za vzdrževanje notranjih pravil. Obveščanje je vzpostavljeno pisno preko elektronske ali klasične pošte z uporabo predloge za obveščanje o pobudah za spremembe obsega ali drugih nejasnosti ali problemov.. Tomaž Krišelj: Varnost v logističnih informacijskih sistemih. stran 23.

Univerza v Mariboru - Fakulteta za logistiko. Magistrsko delo. 3.3 NABAVA OPREME IN STORITEV V tem poglavju so opisani okviri za urejanje naročanja storitev pri zunanjih izvajalcih (v nadaljevanju: izvajalec) in osnove za pogodbeno urejanje razmerij z njimi. Izjemoma lahko podjetje sklene, da se v primeru, če ima določen izvajalec svoja notranja pravila, namesto te politike oziroma njenih posameznih določil in njenih izvedbenih aktov uporabijo notranja pravila tega izvajalca. To je dopustno, v kolikor izvajalčeva notranja pravila zagotavljajo enako ali višjo raven zaščite podatkov in sistemov, kot jo določa ta politika in njeni izvedbeni akti. O ustreznosti oziroma primerljivosti teh pravil presodi podjetje za vsak posamezen primer posebej in na podlagi objektivnih kazalcev (npr. certifikat ISO 27001 izvajalca, ki obsega pogodbene dejavnosti, potrjenost pravil izvajalca pri Arhivu RS in podobno). Pravno razmerje z izvajalcem storitev se natančno opredeli s pogodbo. Pogodba o zunanjem izvajanju storitev predstavlja pravno podlago za dostop izvajalca do določenih podatkov oziroma informacijskih sistemov v okviru podjetja in njegovo uporabo podatkov. Predmet pogodbe o zunanjem izvajanju storitev je storitev, ki jo opravi oziroma opravlja izvajalec. Enako velja tudi za druge pogodbe, ki vključujejo storitve, ki lahko vplivajo na informacijsko varnost (npr. pogodba o dobavi opreme, ki vključuje garancijsko vzdrževanje). Pogodba mora vključevati: • opis storitve in predviden rok trajanja oziroma dobo opravljanja te storitve; pri opisu storitve se opredelijo ciljne in tudi nesprejemljive ravni izvajanja storitev, vključno z opredelitvijo preverljivih meril za doseganje teh ravni oziroma delovni učinek ter pravica pregleda in nadzorovanja pogodbenih obveznosti, lahko tudi s strani usposobljenih tretjih oseb; • določilo, da nesprejemljiva raven opravljanja storitve, ki se ponavlja določen čas, velja za kršitev pogodbe; • opredelitev obveznosti v zvezi s pravnimi zahtevami področne veljavne zakonodaje, kot so na primer predpisi na področju varovanja podatkov (npr. osebnih, tajnih ...) in varstva pravic intelektualne lastnine; • druge določbe, če so potrebne za čim bolj jasno definirano poslovno, organizacijsko, operativno in varnostno sodelovanje med izvajalcem in naročnikom. Pogodba mora vsebovati dogovor o spoštovanju varnostnih zahtev za izvajalce, ki so določene s to politiko ter morebitne druge pravne podlage podjetja. V kolikor se potreba po dostopu do zaupnih. Tomaž Krišelj: Varnost v logističnih informacijskih sistemih. stran 24.

Univerza v Mariboru - Fakulteta za logistiko. Magistrsko delo. podatkov pojavi naknadno, se sklene dogovor o zaupnosti pridobljenih podatkov – izjava o zaupnosti (glej priloge). V pogodbo se vključijo še drugi varnostni ukrepi: • fizični in logični ukrepi za omejitev dostopa uporabnikom do varovanih podatkov (upravljanje z dostopnimi pravicami in nadzorom); • struktura in oblike poročanja ter obveščanje in preiskave varnostnih dogodkov in kršitev; • način vzdrževanja razpoložljivosti storitev v primeru naravne ali druge katastrofe; • pravica podjetja do varnostnega in revizijskega pregleda, tudi če ga izvaja tretja oseba v imenu podjetja; • po potrebi naročnik lahko vključi v pogodbo zahtevo po varnostnem preverjanju zaposlenih pri izvajalcu, predvsem v primerih, ko bodo le-ti prihajali v stik ali delali z osebnimi podatki ter podatki, ki nosijo oznako poslovna skrivnost in podobno. Vse novo nabavljene ali znotraj podjetja razvite naprave za zajem, pretvorbo ali hrambo gradiva morajo poleg zahtevane funkcionalnosti zagotavljati tudi ustrezno raven varnostne zaščite. Nabavljena informacijska tehnologija za podporo zajemu in hrambi dokumentarnega gradiva mora biti skladna z zahtevami veljavne zakonodaje (Zakona o varstvu dokumentarnega in arhivskega gradiva ter arhivih, Uredbe o varstvu dokumentarnega in arhivskega gradiva, Enotnih tehnoloških zahtev, ki jih izda Arhiv Republike Slovenije, Zakona o varstvu osebnih podatkov), internimi akti podjetja in te Varnostne politike. Postopek prevzema se opravi s prevzemnim zapisnikom po uspešno opravljenih funkcijskih preskusih in poskusnem obratovanju.. 3.4 INFORMACIJSKI VIRI Vsi pomembnejši informacijski viri so določeni s sklepom in vpisani v poseben seznam, ki ga redno posodabljamo. V seznamu je za vsak vir označena njegova poslovna pomembnost in določena odgovorna oseba za upravljanje in varovanje (pooblaščeni skrbnik posameznega informacijskega vira). Vsaka enota gradiva (npr. dokument, podatek ...) je razvrščena v skladu z varnostno razvrstitvijo. Razvrščanje je dolžnost odgovornega skrbnika (podatkovna baza) in/ali avtorja enote gradiva. Podjetje uporablja razvrstitev (klasifikacijo), kot jo določa interni akt, ki ureja poslovne skrivnosti. Razvrstitev je naslednja: javno – dokument (oz. podatek), označen kot javen, je lahko posredovan brez omejitev (npr. reklamni material itd.); javni so vsi Tomaž Krišelj: Varnost v logističnih informacijskih sistemih. stran 25.

Univerza v Mariboru - Fakulteta za logistiko. Magistrsko delo. podatki, za katere tako določajo veljavni predpisi; če je že iz namena in cilja podatka jasno vidno, da gre za javen podatek, eksplicitna označitev ni potrebna; interno – dokument z oznako »interno« je lahko posredovan vsem zaposlenim; za to ni zahtevana posebna poslovna potreba; glede na določene poslovne potrebe se mora za posredovanje drugim osebam pridobiti odobritev; publikacije na intranetu podjetja so klasificirane kot interne, če ni drugače določeno; zaupno – dokument (oz. podatek), označen kot »zaupen«, predstavlja poslovno skrivnost in se mora zadržati znotraj določene skupine; sestavo skupine določi tisti, ki informacijo posreduje oziroma lahko to izhaja iz same informacije; avtor dokumenta, označenega z oznako »zaupno«, mora biti znan; vsak skrbnik podatkov lahko sam odloči, če se zaradi ustreznih poslovnih potreb podatki posredujejo osebam izven skupine; zaupni podatki morajo biti skrbno shranjeni (zaklenjeni), varno izbrisani (ne mečejo se v koš za odpadke), pri prenosu čez javno omrežje morajo biti šifrirani; sistemska dokumentacija mora biti brez izjem označena z oznako »zaupno«; strogo zaupno – dokument (oz. podatek), označen z oznako »strogo zaupno«, predstavlja poslovno skrivnost najvišje stopnje zaupnosti in se sme posredovati samo na podlagi prejetega dovoljenja za to odgovorne osebe; ta oseba mora biti jasno navedena v dokumentu; tudi vodje ne smejo videti podatkov brez dovoljenja za to odgovorne osebe; strogo zaupni podatki morajo biti varno shranjeni, v primeru izbrisa pa je potrebno poskrbeti da je temeljit; prenos strogo zaupnih podatkov po telekomunikacijah se sme izvesti samo v šifrirani obliki. Dostop do lokalnih diskov ali skupnih direktorijev se določa glede na najvišjo klasifikacijsko stopnjo informacije, shranjene na njih in je omejen glede na načelo »najmanjših privilegijev«. Skrbnik skupnega direktorija mora odobriti, kdo od zaposlenih bo imel dostop do skupnega direktorija z zaupnimi oz. strogo zaupnimi podatki.. 3.5 ČLOVEŠKI VIRI Za zmanjšanje tveganj človeške napake, kraje, prevare ali napačne uporabe naprav ima organizacijska enota, ki izvaja naloge s kadrovskega področja, v manjšem podjetju pa delavec, ki izvaja naloge s kadrovskega področja, vpeljane nekatere kontrolne ukrepe: • neodvisno preverjanje identitete – kandidata se mora pred začetkom zaposlitve v podjetju osebno identificirati na osnovi Tomaž Krišelj: Varnost v logističnih informacijskih sistemih. stran 26.

Univerza v Mariboru - Fakulteta za logistiko. Magistrsko delo. pregleda veljavnega nacionalnega dokumenta (npr. potni list, osebna izkaznica) s fotografijo; • preverjanje verodostojnosti – kjer opis delovnega mesta zahteva posebno zaupanja vredno osebo (npr. vodstveni položaj, ključna mesta v financah), se mora preveriti kandidatov življenjepis; • pregled potrdil – kandidati morajo dokazati akademske in strokovne kvalifikacije s predložitvijo potrdil in dokumentov; • dokazilo o izpolnjevanju delovnih pogojev (npr. preverjanje kandidatovega državljanstva) – organizacijska enota, ki izvaja naloge s kadrovskega področja, v manjšem podjetju pa delavec, ki izvaja naloge s kadrovskega področja, ima za vsakega redno zaposlenega njegovo personalno mapo (dosje), v kateri so kopije navedenih dokumentov; personalne mape morajo biti vodene v skladu z vsemi veljavnimi predpisi vključno z varovanjem osebnih podatkov ter zasebnosti zaposlenega. Vloge in odgovornosti morajo biti navedene v internem aktu o sistemizaciji delovnih mest podjetja. V manjšem podjetju lahko vloge in odgovornosti določi poslovodstvo s sklepom. Z namenom zmanjšanja možnosti nepooblaščenega spreminjanja in/ali zlorabe informacij ali storitev, je potrebno, kolikor je mogoče in izvedljivo, ločevati upravljanje in/ali izvajanje nekaterih nalog ali področij odgovornosti na ključnih gradnikih informacijskega sistema (razdelitev skrbništva na več skrbnikov). Če podjetje tega zaradi pomanjkanja primerno usposobljenega osebja ne more zagotoviti s svojimi zaposlenimi, ločevanje nalog zagotavlja z najemom ustrezno usposobljenih zunanjih sodelavcev. Opisi delovnih mest morajo vsebovati vloge, pooblastila ter zahteve glede izobrazbe in usposobljenosti kadrov. Varnostna določila so vključena v pogodbo o zaposlitvi. Zunanje sodelavce s splošnimi dostopi do informacij in fizičnim dostopom se obravnava enako kot redno zaposlene, zanje veljajo enaki varnostni ukrepi. Kjer so sodelavci pridobljeni s pomočjo agencije, mora pogodba z agencijo jasno definirati odgovornost agencije za izvedbo preverjanja osebe in varnostne ukrepe. Organizacijska enota, ki izvaja naloge s kadrovskega področja, je odgovorna za vključitev primernih klavzul v pogodbo z agencijo ali v pogodbo z zunanjim izvajalcem (glej priloge). V manjšem podjetju je lahko za vključitev primernih klavzul v pogodbo z agencijo ali v pogodbo z zunanjim izvajalcem odgovoren delavec, ki izvaja naloge s kadrovskega področja. Izjavo o zaupnosti (glej priloge) morajo podpisati vsi redno zaposleni in je del zaposlitvene pogodbe. Z njo zaposleni istočasno potrjuje, da je seznanjen z varnostno politiko podjetja. Podpisana mora biti pred Tomaž Krišelj: Varnost v logističnih informacijskih sistemih. stran 27.