FAKULTETA ZA INFORMACIJSKE ŠTUDIJE V NOVEM MESTU MAGISTRSKA NALOGA ŠTUDIJSKEGA PROGRAMA DRUGE STOPNJE JANKO PETAN FAKULTETA ZA INFORMACIJSKE ŠTUDIJE V NOVEM MESTU MAGISTRSKA NALOGA VPLIV INFORMACIJSKE VARNOSTNE POLITIKE NA UČINKOVITO DELOVANJE IKT OPREME: PRIMER CARINSKEGA URADA Mentorica: izr. prof. dr. Nadja Damij Novo mesto, december 2012 Janko Petan IZJAVA O AVTORSTVU Podpisani Janko Petan, študent FIŠ Novo mesto, v skladu z določili statuta FIŠ izjavljam: da sem magistrsko nalogo pripravljal samostojno na podlagi virov, ki so navedeni v magistrski nalogi, da dovoljujem objavo magistrske naloge v polnem tekstu, v prostem dostopu, na spletni strani FIŠ oz. v digitalni knjižnici FIŠ (obkroži odločitev): o takoj, o po preteku 12 mesecev po uspešnem zagovoru, o ne dovoljujem objave na spletni strani oz. v elektronski knjižnici FIŠ zaradi prepovedi organizacije, v sklopu katere je bil pripravljen empirični del naloge. da je magistrska naloga, ki sem jo oddal v elektronski obliki identična tiskani verziji, da je magistrska naloga lektorirana. V Novem mestu, dne _________________ Podpis avtorja: ________________________ POVZETEK Izraz informacijska varnostna politika povzema široko področje informacijskega varovanja. Ranljivost sistemov in aplikacij se v novodobnem času internetne tehnologije in elektronskega poslovanja z izmenjavo dokumentov, podatkov in informacij povečuje. Uspešna in učinkovita informacijska tehnologija predstavlja predpogoj za varno elektronsko poslovanje tudi na CURS. Cilj implementacije akta o informacijskem varovanju v delovno okolje je zagotavljanje varnega, neprekinjenega in učinkovitega poslovanja s čim manj varnostnih incidentov oziroma okvar. Akt poleg navodil, postopkov in omejitev opredeljuje tudi tveganja za posredno vzpostavljanje zaščite, pri čemer gre poudarek tudi revidiranju informacijskih sistemov za doseganje večje učinkovitosti in varnosti. KLJUČNE BESEDE: Carinska uprava RS, elektronsko poslovanje, informacijska varnost, Help Desk, ISO standardi, IT revizija ABSTRACT The phrase information security policy summarizes the wide range of information security. Vulnerability of systems and applications is particularly evident in modern day time electronic commerce, where companies share a number of documents, data and information online. Effective and efficient information technology is a precondition for secure electronic commerce even at Custom Administration of the Republic of Slovenia. The objective of the implementation of Information Protection Act in the workplace is to provide uninterrupted and efficient operation with a minimum of security incidents and malfunctions. In addition to guidance, standards and limits the act defines the risk of indirect defense establishment, where importance is given to auditing of information systems to achieve greater efficiency and safety. KEY WORDS: Custom Administration of the Republic of Slovenia, e-commerce, information security, Help Desk, ISO standards, IT audit KAZALO 1 UVOD ......................................................................................................................................... 1 1.1 Predstavitev proučevanega problema ................................................................................ 1 1.2 Raziskovalna vprašanja ...................................................................................................... 2 1.3 Metodologija raziskave ...................................................................................................... 3 1.3.1 Cilji raziskovalne magistrske naloge ....................................................................... 4 1.3.2 Aktivnosti ................................................................................................................... 5 1.3.3 Pričakovani rezultati raziskave................................................................................ 5 1.4 Predstavitev poglavij .......................................................................................................... 6 2 INFORMACIJSKA TEHNOLOGIJA IN VARNOST ............................................................ 7 2.1 Informacijsko komunikacijska tehnologija ....................................................................... 7 2.2 Elektronsko poslovanje ...................................................................................................... 7 2.2.1 Zakonodaja na področju e-poslovanja, varovanja podatkov in informacij ........ 11 2.2.2 Poslovni modeli v elektronskem poslovanju.......................................................... 11 2.2.3 Opredelitev portalov ............................................................................................... 13 2.2.4 Portali za upravljanje in organizacijo znanja ...................................................... 15 2.2.5 Portali za e-poslovanje ........................................................................................... 17 2.2.6 Spletni portal SICIS – Carinski informacijski sistem ........................................... 19 2.3 Uspešnost in učinkovitost IKT ......................................................................................... 21 2.3.1 ITIL .......................................................................................................................... 22 2.3.2 COBIT ...................................................................................................................... 25 2.3.3 ISO standardi .......................................................................................................... 26 2.4 Vpliv delovanja IKT na učinkovitost organizacije ......................................................... 29 2.5 Revidiranje informacijskih sistemov ............................................................................... 30 2.6 Informacijska varnost ....................................................................................................... 32 2.7 Informacijska varnostna politika...................................................................................... 35 3 PREDSTAVITEV OBSTOJEČEGA STANJA ..................................................................... 38 3.1 Predstavitev organizacije .................................................................................................. 38 3.2 Strukturni pregled obstoječega akta IVP CURS ............................................................. 44 3.2.1 Namen vzpostavitve IVP na CURS ......................................................................... 45 3.2.2 Odgovornosti v sistemu informacijskega varovanja ............................................. 46 3.2.3 Področja, ki jih pokriva IVP CURS-a .................................................................... 46 3.2.4 Poslovni in IKT skrbniki ......................................................................................... 47 4 VPLIV IVP NA DELOVANJE IKT OPREME PRI ZAGOTAVLJANJU INFORMACIJSKE VARNOSTI ....................................................................................... 48 4.1 Analiza uvedbe IVP .......................................................................................................... 49 4.2 Analiza ter rezultati raziskave .......................................................................................... 50 4.2.1 Oddelek za centralno pomoč uporabnikom – Help Desk ..................................... 50 4.2.2 Analiza kvalitativne raziskave ................................................................................ 53 4.2.3 Analiza poročil IKT skrbnikov ............................................................................... 57 4.2.4 Analiza revizijskih poročil ...................................................................................... 58 4.3 Kritični pregled uspešnosti ............................................................................................... 59 4.4 Predlog izboljšav ............................................................................................................... 60 5 ZAKLJUČEK ........................................................................................................................... 63 6 LITERATURA IN VIRI .......................................................................................................... 65 PRILOGE KAZALO GRAFOV Graf 2.1: Uporaba najpogostejših okvirov ter rešitev za upravljanje IT ................................... 26 Graf 2.2: Primeri varnostnih incidentov ...................................................................................... 34 Graf 4.1: Varnostni incidenti ........................................................................................................ 57 Graf 4.2: Varnostni incidenti in okvare 2008 – 2011 ................................................................. 58 KAZALO SHEM Shema 2.1: Oblike e-poslovanja .................................................................................................... 9 Shema 2.2: Celostni poslovni portal podjetja in poslovni portal znanja ................................... 16 Shema 2.3: Grafični prikaz procesov v ITIL v 3. ....................................................................... 23 Shema 2.4: Razvoj standarda BS 7799 ........................................................................................ 27 Shema 2.5: Povezava med celovitostjo, zaupnostjo in razpoložljivostjo .................................. 33 Shema 2.6: Demingov krog .......................................................................................................... 37 Shema 3.1: Organizacijska struktura Carinskega urada Brežice ............................................... 41 Shema 3.2: Hierarhična struktura dokumentov ........................................................................... 45 Shema 4.1: Paradigmatski model ................................................................................................. 55 Shema 4.2: Razširjen paradigmatski model ................................................................................ 56 KAZALO SLIK Slika 2.1: Portal SICIS .................................................................................................................. 20 Slika 3.1: Carinski uradi in izpostave .......................................................................................... 40 Slika 4.1: Help Desk aplikacija .................................................................................................... 52 KAZALO TABEL Tabela 2.1: Primerjava med ITIL 3 in ISO 20000 ...................................................................... 24 Tabela 4.1: SWOT analiza............................................................................................................ 49 Tabela 4.2: Analiza kvalitativnega raziskovanja ........................................................................ 54 1 UVOD Področje varovanja podatkov zajema zelo velik spekter. Varnost je beseda, ki postaja v vsakdanjem življenju na vseh področjih čedalje bolj pomembna. Razvoj komunikacijske in računalniške tehnologije gre zelo hitro naprej, s tem pa se povečujejo možnosti številnih zlorab le-teh. Trend postajajo številni ceneni programi za uporabo in obdelavo podatkov ter informacij, ki pa ne zadostijo potrebam varnosti. Sam prehod na elektronsko poslovanje zahteva od udeležencev temeljit razmislek o zagotavljanju informacijske varnosti. Podjetja pri svojem poslovanju uporabljajo tudi določene poslovne modele, vse s ciljem zagotavljanja čim večje konkurenčne prednosti. Pri tem pa so posamezna podjetja ali organizacije pozabila, da prisotnost na medmrežnih povezavah in svetovnem spletu zahteva povečano skrb za informacijsko varnost. Tako smo priča številnim zlorabam, poneverbam, kraji ali uničenju podatkov. Že same motnje v delovanju komunikacijske in računalniške opreme pa povzročajo izpad poslovanja podjetja in neprecenljivo škodo. Vsa ta dejstva so uporabnike spodbudila k razmišljanju in potrebam po povečani informacijski in računalniški varnosti, saj varovanje podatkov zmanjšuje poslovna tveganja in prispeva k uspešnosti podjetja. Vsaka organizacija oziroma podjetje naj bi imelo dokument oziroma akt, ki ureja politiko varovanja. Kot primer uporabe akta o varovanju, to je informacijske varnostne politike v organizaciji, bomo v magistrski nalogi povzeli ter analizirali ključne elemente tega krovnega dokumenta Carinske uprave Republike Slovenije (krajše CURS 1), ki ureja politiko varovanja ter predpisuje odgovornosti vseh udeležencev delovnega procesa po posameznih področjih. 1.1 Predstavitev proučevanega problema Besedna zveza »informacijska varnost« povzema zelo široko področje, vendar se bomo pri magistrski nalogi osredotočili na samo politiko varovanja, to je akt o informacijskem varovanju ki ga imenujemo Informacijska varnostna politika (krajše IVP 2). Implementacija IVP v organizacijo, v našem primeru na Carinski urad Brežice, sproži določene premike o pojmovanju varnega poslovanja. Akt opredeljuje način, a katerim Carinska uprava RS izvaja zaščito svojih informacijskih virov. Obsega varovanje in zaščito vseh poslovnih, osebnih in 1 CURS – Carinska uprava Republike Slovenije 2 IVP – Informacijska varnostna politika 1 drugače občutljivih podatkov ter informacijsko-komunikacijskih sistemov za hranjenje, obdelavo ter distribucijo podatkov. Predstavlja okvir pri zagotavljanju informacijske varnosti z obvezno seznanitvijo ter upoštevanjem vseh zaposlenih. Pri vsebinski analizi dokumenta IVP bomo primerjali uporabljene standarde z novostmi na tem področju ter podali ugotovitve. Uporabniki pri svojem vsakdanjem delu uporabljajo številne pripomočke, neposredno in posredno povezane z informacijsko komunikacijsko tehnologijo (krajše IKT 3). Za pravilno in varno uporabo pa so v tej IVP opredeljena tudi podrobna navodila o pravicah in dolžnostih uporabnikov v zvezi z varno uporabo opreme, kar od zaposlenih zahteva tudi obvezno upoštevanje vseh določil tega akta. Pri strukturnem pregledu obstoječega akta IVP CURS, verzije 1.0 a, ki je s potrditvijo ožjega kolegija generalnega direktorja stopil v veljavo v letu 2008, bomo pri analizi v empiričnem delu raziskave dali poudarek na segment varne uporabe IKT opreme in sredstev. Predmet raziskave v empiričnem delu bo ugotavljanje, kakšen vpliv ima IVP pri zagotavljanju informacijske varnosti v smislu učinkovitosti IKT opreme ter ali in kako vpliva na pojave varnostnih incidentov. Za zagotavljanje informacijske varnosti pri poslovanju je za vsako podjetje in organizacijo, ki posluje elektronsko pomembno, da sprejme oziroma implementira akt o informacijskem varovanju in z njim seznani vse zaposlene. Za pojasnitev raziskovalnega problema bomo izvedli pol strukturirani intervju s skrbnikom IKT opreme – informatikom, ki dobro pozna tudi področje informacijske varnosti, pri čemer bomo uporabili tudi poročila o zabeleženih varnostnih incidentih na Carinskem uradu Brežice v določenem obdobju. Kot drugi vir pa bodo uporabljeni podatki ter ugotovitve notranje revizijske službe, ki so bili pridobljeni ter predstavljeni po izvedenem revizijskem pregledu področja informacijske varnosti na Carinskem uradu Brežice v letu 2011. 1.2 Raziskovalna vprašanja Raziskovalno vprašanje se nanaša na temo informacijskega varovanja, informacijsko varnostno politiko, ki je implementirana v delovnem okolju: Kako vpliva IVP na delovanje IKT pri zagotavljanju informacijske varnosti na Carinskem uradu? Ali IVP vpliva na pojave varnostnih incidentov oziroma na delovni proces? 3 IKT – Informacijsko komunikacijska tehnologija 2 Domneve za dokaz glavnega raziskovalnega vprašanja: • H1: Informacijska varnostna politika pripomore k učinkovitejšemu delovanju IKT opreme, ker predpisuje zaščitne varnostne kontrole ter omejitve. • H2: Informacijska varnostna politika pripomore k izboljšanju delovnega procesa zaradi zmanjšanja pojavov varnostnih incidentov ter okvar. • H3: Za informacijsko varnost na Carinskem uradu Brežice je dobro poskrbljeno, saj se IVP izvaja v vseh ključnih segmentih. 1.3 Metodologija raziskave Teoretične razlage in zaključke bomo uporabili kot podlago pri analiziranju stanja informacijske varnosti na praktičnem primeru implementiranega akta o informacijskem varovanju - IVP na Carinskem uradu Brežice. Struktura magistrske naloge temelji na deduktivni metodi, saj se z začeto splošno razpravo o informacijsko komunikacijski tehnologiji postopoma spuščamo konkretiziramo področja informacijskega varovanja. Pričetek izvedbe kvalitativne raziskave bo vseboval več sklopov. Po preučitvi relevantne literature iz raziskovanega področja informacijskega varovanja oziroma informacijske varnostne politike bomo za pojasnitev raziskovalnega področja opravili intervju s skrbnikom računalniške in informacijsko komunikacijske opreme– lokalnim administratorjem. Glede na področje raziskovanja bomo izbrali kandidata, ki bi nam lahko glede na specifično področje podal največ informacij glede na problem, ki ga raziskujemo, se pravi administrator – informatik Carinskega urada. Predhodno si bomo glede na zastavljeno problematiko raziskovanja pripravili nekaj usmeritvenih vprašanj. Intervjuvancu bomo zastavljali tudi podvprašanja, s katerimi ga bomo usmerjali, da pridemo do želenih informacij. Po izdelavi transkripta bomo opravili nadaljnjo analizo ter povzeli ključne ugotovitve. Drugi segment raziskovanja bo izveden s pomočjo analize obsežnejšega revizijskega poročila o izvajanju in zagotavljanju informacijske varnosti in informacijske varnostne politike, ki je bilo posredovano po opravljeni notranji reviziji na Carinskem uradu Brežice, pri čemer so vir analiziranih podatkov tudi beležena poročila oziroma evidence varnostnih incidentov. Revizijsko poročilo zajema vse segmente informacijskega varovanja, ki jih opredeljuje akt IVP CURS-a oziroma podaja mnenje o stanju informacijske varnosti glede na pregled vzpostavljenih varnostnih kontrol po carinskih uradih. Na podlagi primerjalnega raziskovanja bodo podani zaključki za odgovor na raziskovalna vprašanja oziroma potrditev postavljenih 3 hipotez, kjer bo uporabljena tudi kombinacija induktivne in deduktivne raziskovalne metode. Empirični del bo tako izhajal iz metode študije primera v realnem okolju. Sledila bo analiza zbranih podatkov za potrditev domnev za dokaz glavnega raziskovalnega vprašanja. Za potrditev domneve (H1), ali informacijska varnostna politika pripomore k učinkovitejšemu delovanju IKT opreme, ker predpisuje zaščitne varnostne kontrole ter omejitve, bomo analizirali sam Akt o informacijskem varovanju CURS, kjer bomo preverjali ustreznost glede na varnostne standarde na katerih naj bi akt temeljil. Tu so mišljene predvsem vgrajene varnostne kontrole in omejitve. Posledično je moč sklepati, da ob ustreznosti vpeljanih varnostnih kontrol IKT deluje učinkoviteje, kar bomo preverjali s poročili o beleženih varnostnih incidentih ter izvedeni analizi in poročilom izvedene notranje IT revizije. Za dodatno pojasnitev pa bomo uporabili tudi rezultate kvalitativnega raziskovanja z izvedbo polstrukturiranega intervjuja s skrbnikom informacijskega varovanja – informatikom Carinskega urada Brežice, ki ima tudi celoten pregled nad stanjem IKT opreme. Iz poročil in analiz bomo preverjali tudi domnevo H2, ki predpostavlja, da informacijska varnostna politika posredno pripomore k izboljšanju delovnega procesa zaradi zmanjšanja pojavov varnostnih incidentov ter okvar. Za potrditev domneve H3 ki predpostavlja, da je za informacijsko varnost na Carinskem uradu Brežice dobro poskrbljeno ter da se IVP izvaja v vseh ključnih segmentih, pa bomo prav tako uporabili rezultate izvedenih analiz ter poročilo notranje revizijske službe. Na tak način so preverjane vzpostavljene varnostne kontrole, s katerimi preverjamo tudi domnevo o izvajanju akta IVP. Akt IVP v zaključnem delu tudi določa, da morajo biti z aktom seznanjeni vsi zaposleni, in to je bil tudi predmet notranjerevizijskega poročila, s katerim bomo H3 tudi pojasnjevali. Za odgovore oziroma pojasnjevanje postavljenih hipotez bomo pozornost namenili tudi letnim poročilom CURS, za katera se vsako leto po standardni metodologiji zbirajo določeni podatki s trendi in kazalci učinkovitosti tudi za področje IKT tehnologije. Uporabljeni bodo uradni podatki od leta 2008 do leta 2011, zbrani v poročilih CURS-a. 1.3.1 Cilji raziskovalne magistrske naloge Cilji raziskovalne magistrske naloge so naslednji: • Strukturni pregled obstoječega akta IVP CURS-a, ki je stopil v veljavo v letu 2008, s poudarkom na segmentu zagotavljanja varnega delovnega okolja, varne uporabe IKT opreme in sredstev, ter pregledu vgrajenih standardov oziroma uporabljenih smernic in 4 ogrodij področja informacijskega varovanja. Ugotoviti ustreznost uporabljenih standardov in smernic, na katerih temelji akt IVP CURS-a glede na novejše standarde. • Ugotoviti, kakšen vpliv ima akt – IVP CURS-a na delovanje IKT opreme pri zagotavljanju učinkovite informacijske varnosti na Carinskem uradu Brežice. 1.3.2 Aktivnosti Aktivnosti, ki jih je potrebno izvesti za izdelavo magistrske naloge: • Preučitev tuje in domače strokovne literature področja raziskovanja, informacijsko komunikacijske tehnologije, elektronskega poslovanja ter področja informacijske varnosti z uporabo informacijskih varnostnih politik. • Pregled ter preučitev novejših ISO standardov ter smernic ki jih vključujejo informacijske varnostne politike. • Vsebinski pregled akta o informacijskem varovanju – Informacijska varnostna politika CURS-a ter preučitev vgrajenih standardov. • Pričetek izvedbe kvalitativne raziskave bo vseboval več sklopov. o Izvedba pol strukturiranih intervjujev s predhodno pripravo usmeritvenih vprašanj, o Izdelava transkriptov ter analize s povzetkom ključnih ugotovitev. • Drugi segment raziskovanja bo izveden s pomočjo analize obsežnejšega revizijskega poročila o izvajanju in zagotavljanju informacijske varnosti in informacijske varnostne politike, ki je bilo posredovano po opravljeni notranji reviziji CURS-a na Carinskem uradu Brežice. • Poročila ter analize evidenc lokalnih informatikov za preverjanje postavljenih domnev za odgovore na raziskovalna vprašanja. 1.3.3 Pričakovani rezultati raziskave Informacijska varnost je za vsako organizacijo ali podjetje ključnega pomena, zato je pomembno, da so informacije in podatki varno shranjeni, dostopni le tistim, katerim so namenjeni. Tako ima CURS implementiran akt o informacijskem varovanju, to je Informacijska varnostna politika, s katerim ureja politiko informacijskega varovanja. Pričakovati je, da ima tako CURS kakor tudi notranjeorganizacijske enote dobro varovane podatke, saj jih za to zavezuje tudi zakonodaja. Za ustrezno informacijsko varnost ter zagotavljanje neprekinjenega poslovanja, ki je za CURS še kako pomembno, saj delovni 5 proces poteka po sistemu 24/7/365, pa je potrebna tudi učinkovita IKT oprema, saj le na ta način lahko pripomoremo k učinkovitejšemu delovnemu procesu, kar se tudi pričakuje. Raziskava bo tako prinesla številne odgovore skrbnikom sistemov, vodstvu kakor tudi zaposlenim, saj bo predstavljala koristen napotek pri nadaljnjih projektih v smislu zagotavljanja še učinkovitejšega delovnega procesa. Pri analizi samega akta IVP pa bodo glede na uporabljene ISO standarde predlagane dopolnitve, ki bodo vključevale novejše standarde ter smernice ogrodja COBIT in dobre prakse ITIL-a, ki bi jih bilo smiselno vključiti v novo – posodobljeno verzijo akta IVP. 1.4 Predstavitev poglavij Magistrska naloga obravnava tematiko informacijskega varovanja oziroma proučuje vpliv akta o informacijskem varovanju na učinkovitost delovanja informacijsko komunikacijske opreme v CURS. V teoretičnem delu magistrske naloge bomo na podlagi zbranega gradiva domačih in tujih avtorjev opredelili pojme področja IKT tehnologije, elektronskega poslovanja, poslovnih modelov, portalov, informacijske varnosti širše ter segmente učinkovitih novejših metod, tehnik ter standardov za zagotavljanje učinkovite informacijske varnosti v skladu z zakonskimi določili. Za preverjanje ustreznosti izvajanja ukrepov informacijske zaščite bomo opredelili tudi revizijo oziroma revidiranje informacijskih sistemov. Empirični del raziskovalne naloge je deljen na več segmentov. Kot primer uspešne uvedbe akta o informacijskem varovanju – Informacijske varnostne politike na Carinski upravi RS – bomo za pojasnitev domnev raziskovalnega vprašanja proučili vpliv akta IVP na učinkovitost delovanja IKT opreme in sistemov. Predstavili bomo tudi organizacijsko strukturo ter organiziranost IT-ja na CURS-u oziroma na carinskem uradu, podrobneje pa bomo analizirali sam akt o informacijskem varovanju IVP CURS. V poglavju 4 bo predstavljena analiza uvedbe IVP z izdelano SWOT analizo. Rezultati kvalitativne raziskave bodo na podlagi intervjuja ter izvedene analize predstavljeni v poglavju 4.2. Za pojasnitev domnev raziskovalnega vprašanja pa bodo uporabljene še analize poročil IKT skrbnikov, poročila CURS-a ter analiza revizijskega poročila. Na koncu bomo glede na rezultate raziskave podali še predloge izboljšav ter zaključne ugotovitve. 6 2 2.1 INFORMACIJSKA TEHNOLOGIJA IN VARNOST Informacijsko komunikacijska tehnologija Uporaba informacijsko komunikacijskih tehnologij je pri poslovanju podjetij močno zaznamovala način poslovanja. Živimo v času, ko se informacijska tehnologija zelo hitro razvija. Tako postajajo informacije ključnega pomena v vsakdanjem življenju. Pomembna je pravočasnost, točnost ter dosegljivost informacij, seveda tistim, ki so jim namenjene. Za razpoložljivost informacij v poslovnem svetu pa skrbijo številni informacijski sistemi. Poleg le-teh pa so za doseg želenih informacij potrebne še ostale komponente za prenos ter hrambo informacij, vključujoč vso napredno IKT tehnologijo. Dostopno okno do informacij v številnih podjetjih predstavljajo tako imenovani portali. Portali imajo tako pomembno vlogo pri poslovanju organizacij, saj zagotavljajo ustrezno komunikacijo med udeleženci dobavne verige in poslovnimi partnerji, vse to pa prispeva k večji konkurenčni prednosti. Tudi javna uprava omogoča dostope do številnih povezav do sistemov preko portalov, vstopnega okna, kjer uporabniki lahko pridejo do želenih informacij, pri čemer pa je to deljeno na intranet, internet ter extranet omrežne dostope. Uslužbenci ministrstev in organizacijskih enot dostopajo do številnih informacijskih sistemov in aplikacij, ki jih uporabljajo preko tako imenovanih intranetnih portalov v okviru intraneta, na strani internetnega dostopa pa so informacije na voljo zunanjim uporabnikom. Tudi CURS ima vzpostavljeno intranet okolje, ki je dostopno preko brskalnikov znotraj Carinske uprave RS oziroma njenih notranjih organizacijskih enot. Kot enotna vstopna točka nudi številne dostope do informacijskih sistemov, aplikacij, elektronske pošte kakor tudi do zunanjih povezav. 2.2 Elektronsko poslovanje Elektronsko poslovanje obsega v najširšem pomenu uporabo vseh oblik informacijske in komunikacijske tehnologije. To se predvsem odraža pri poslovnih odnosih med organizacijami. S tem so mišljene tako proizvodne, trgovske kakor tudi storitvene dejavnosti predvsem pri e-oskrbovalni verigi. Pri tradicionalni oskrbovalni verigi se pojavljajo zamude pri transformaciji informacij, posledica je prepočasno odločanje. Internet omogoča pretok v realnem času, to pa omogoča takojšnje odzivanje. Vpeljava e-oskrbne verige omogoča številne prednosti pri obvladovanju procesov in stroškov (Podlogar, 2002, str. 63). 7 Za posamezne uspešne rešitve elektronskega poslovanja se uporabljata IKT ter internet kot medij, ki na novo definira razmerja med udeleženci preskrbovalne verige, to je med kupci, prodajalci in drugimi partnerji. Tudi logistična pravila so se ob uporabi internetne tehnologije spremenila. Z globalno dostopnostjo internet omogoča še kakovostnejše poslovanje s povečevanjem ekonomskih rezultatov v smislu zadovoljevanja čedalje bolj zahtevnih kupcev, seveda ob predpostavki, da je poskrbljeno za varnost na vseh nivojih. Zaključimo lahko, da pojem elektronsko poslovanje pomeni poslovati »elektronsko«, se pravi z uporabo vse razpoložljive informacijske in komunikacijske tehnike. Elektronsko poslovanje omogoča poslovanje po celem svetu. Za podjetja predstavlja e-poslovanje predvsem nižje transakcijske in administrativne stroške, boljše upravljanje s podatki, globalno dosegljivost, nove poslovne možnosti ter krajši čas vstopa izdelka na trg; kot prednost za kupce pa lahko štejemo neprestano izbiro med najboljšimi ponudniki oziroma primerjanjem njihovih cen. Elektronsko poslovanje (angl. E-business) obsega v najširšem pomenu uporabo vseh oblik informacijske in komunikacijske tehnologije v poslovnih odnosih med organizacijami in podjetji kakor tudi ponudniki storitev, uporabniki storitev ter državno upravo. Z napredkom razvoja predvsem na področju internetne tehnologije so podjetja prisiljena uporabljati internet in poslovati elektronsko, v nasprotnem primeru ne zadostujejo kriterijem konkurenčnosti. Elektronsko poslovanje predstavlja širok pojem in obsega več segmentov. Elektronsko poslovanje se je tako razširilo na veliko področij in ga lahko opredelimo kot: • elektronsko trgovanje, • elektronsko založništvo, • elektronsko zavarovalništvo, • delo na daljavo, • elektronsko poslovanje državnih in javnih služb. • elektronsko bančništvo in borzništvo, • storitve na zahtevo, • informacijski terminali – avtomati idr. Kot oblike elektronskega poslovanja lahko ponazorimo še naslednjo delitev: • potrošnik – potrošnik (C2C), • notranje poslovanje (B2E), 8 • poslovanje med podjetji (B2B), • poslovanje s potrošniki (B2C), • državna uprava – državljani (A2C), • državna uprava – podjetje (A2B) (Lesjak, Sulčič, 2004, 8–10). Pod tretjo alinejo, poslovanje državne uprave s podjetji in strankami, se je v zadnjem času zgodil tudi velik premik v smeri elektronskega poslovanja in računalniške izmenjave podatkov. Internetna računalniška izmenjava podatkov (krajše RIP 4) imenujemo informacijske sisteme, ki omogočajo izmenjavo elektronskih poslovnih listin med partnerskimi podjetji oziroma organizacijami s pomočjo internetnih tehnologij. Takšni informacijski sistemi se povezujejo običajno preko ekstranet omrežij. Ekstranet preko interneta poveže intranet-e različnih podjetij. V internetnem RIP-u se za komunikacijo uporablja standard XML. Oblike e-poslovanja lahko shematično prikažemo tudi po načinu povezav na shemi št. 2.1. Shema 2.1: Oblike e-poslovanja Vir: Lesjak (2004, str. 77) Vedno močnejši so trendi, ki temeljijo na zmanjšanju potrebne papirne dokumentacije tudi za izvedbo carinskih postopkov, ob prehajanju na elektronsko poslovanje. Informacijska tehnologija omogoča razvoj visoko zmogljivih informacijskih rešitev na področju hitre pošte, transporta in ostalih postopkov v logističnih verigah. Prednosti elektronskega poslovanja so v 4 RIP – Računalniška izmenjava podatkov 9 hitri elektronski oziroma tako imenovani računalniški izmenjavi podatkov. Za elektronsko izmenjavo podatkov pa je v smislu varnosti in integritete potrebna tudi določena tehnologija in procedure, ki to zagotavljajo. Carina je v tej verigi vključena kot enakopraven partner, seveda ob predhodno dogovorjenih pravilih. Povezanost in odprtost informacijskih sistemov v spletnem okolju odpirata možnost hitrejše komunikacije z vsemi udeleženci in tako presegata meje posamezne organizacije, pri čemer pa je tu poudarek na varni komunikaciji oziroma izmenjavi podatkov, upoštevajoč varnostne okvire in standarde. Carina že vrsto let omogoča svojim partnerjem elektronsko izmenjavo podatkov. Uveljavila se je na področju vlaganja deklaracij, pri poenostavljenih postopkih, pri plačevanju in obračunavanju trošarin in drugo. V okolju prejšnjega carinskega informacijskega sistema (krajše SICIS 5), ki je omogočal avtomatsko obdelavo dokumentov, kontrolo in pregled nad carinskimi postopki ter zagotavljal nadzor nad vplačevanjem carinskih in drugih dajatev je komunikacija potekala preko RIP-a, od 01. 01. 2007 pa je CURS izvedla posodobitve. Poslovanje s strankami je tako omogočeno preko podatkovnih struktur XML ter elektronskega podpisa, kar pomeni, da za uspešno izvedeno transakcijo stoji sporočilo, ki je šifrirano s pomočjo ustreznega digitalnega potrdila. Bodoči uporabnik informacijskega sistema za elektronsko poslovanje s CURS mora tako predhodno skleniti dogovor o uporabi informacijskega sistema za elektronsko poslovanje. V dokumentu, ki ga potrdi CURS, so opredeljene pravice in obveznosti v sistemu za elektronsko poslovanje. Elektronski podpis predstavlja sodobno alternativo klasičnemu podpisu, zagotavlja pa: • identiteto imetnika digitalnega potrdila • lastništvo podpisanih e-podatkov in • celovitost (integriteto) sporočila, kar pomeni, da samo del podatkov ni mogoče spremeniti ali drugače popraviti brez (vednosti) podpisnika. (http://www.carina.gov.si/si/e_carina/e_poslovanje/) Elektronski podpis, kot ga določa Zakon o elektronskem poslovanju in elektronskem podpisu (ZEPEP), je niz podatkov v elektronski obliki, v katerem so zapisane določene logične povezave z drugimi podatki in je namenjen preverjanju pristnosti teh podatkov ter identifikaciji podpisnika (Svete, Pinterič, 2008 str. 179). 5 SICIS – Slovenski carinski informacijski sistem 10 2.2.1 Zakonodaja na področju e-poslovanja, varovanja podatkov in informacij V Sloveniji imamo zakonske osnove, ki urejajo področje varovanja informacij. Med pomembnejše štejejo: • Zakon o elektronskih komunikacijah, • Zakon o elektronskem poslovanju in elektronskem podpisu (ZEPEP), • Zakon o varstvu osebnih podatkov, • Zakon o Informacijskem pooblaščencu (ZInfP), • Zakon o dostopu do informacij javnega značaja (ZDIJZ). Za učinkovit pristop urejanja v zvezi z varnostjo informacij šteje tako imenovani celovit pristop k varnosti podatkov. Kot navaja Turle, lahko posamezne faze celovitega pristopa na primeru prenosnih računalnikov opredelimo na sledeči način: • IT 6 manager preuči smernice informacijskega pooblaščenca o zagotavljanju elektronske varnosti prenosnih računalnikov. • Odloči se, da je potrebno osebne računalnike zaščititi s pomočjo šifriranja. • Izvede nakup šifrirne programske opreme. • Naloži administratorjem distribucijo zaščite na vse prenosne računalnike (Turle, 2009). Celovit pristop jemlje za izhodišče življenjski cikel informacij v celotnem podjetju in opredelitev vseh podatkov ter varnostnih tveganj. 2.2.2 Poslovni modeli v elektronskem poslovanju Besedna zveza poslovni model nam pove, da gre za povezavo s poslovanjem podjetja in z modelom. Obstaja več definicij poslovnih modelov, na splošno pa jih lahko opredelimo kot metodo, s pomočjo katere podjetja oziroma organizacije pridobivajo in uporabljajo svoje vire pri poslovnem procesu s ciljem povečevanja konkurenčnosti. Pomembno je, da podjetje uporabi čim primernejši poslovni model oziroma optimalno sestavo komponent za doseganje konkurenčne prednosti. Med poslovnimi modeli v elektronskem poslovanju prevladujejo štirje modeli: 6 IT – Informacijska tehnologija 11 • transakcijski model, • oglaševalski model, • model naročnin, • servisni model. Transakcijski model je model, ki se uporablja v glavnem med podjetji, ki se ukvarjajo z internetno prodajo. Primer večjih podjetij, ki uporabljajo ta model, so Ebay, Bolha idr. Oglaševalski poslovni model je model, pri katerem podjetja uporabljajo internet za prodajo svojih proizvodov in storitev preko spletnih strani. Oglaševalski model je zelo uporaben, kot primer so večje dveri in spletni imeniki (Lycos, Yahoo …). Naročniški model predstavlja način zagotavljanja dohodka z zaračunavanjem naročnin za različne storitve, ki jih ponujajo. V praksi so to modeli za gostovanje spletnih strani, ponujanje specifičnih vsebin in informacij. Servisni poslovni model je model, kjer podjetja delujejo kot posredniki in svetovalci pri zakupu oglasnega prostora. Podjetja se poslužujejo raznih modelov, običajno pa uporabljajo kombinacije zgoraj naštetih modelov in jih tako prilagajajo svojim potrebam. Z razvojem eposlovanja se postavljata torej dve vprašanji, in sicer: • kakšni so in kakšni bodo uspešni poslovni modeli, • katere marketinške strategije bo potrebno uporabiti oz. razviti. Poslovni model zagotavlja prilagodljivo stojalo, ki ponuja tehnološke značilnosti in potenciale kot vhod v transformacijsko okolje s poudarkom na uporabi informacijskih sistemov. To je vmesnik med stopnjo tehnološkega in informacijskega razvoja ter stopnjo oblikovanja ekonomskih vrednosti (Krstov in Šinkovec, 2007). Namen poslovnega modela lahko opredelimo kot naslednje: • pomoč in razumevanje pri poznavanju, distribuciji in v izdelavi poslovne strategije organizacije, • prispevek k analizi strategije poslovanja organizacije, • izboljšanje upravljanja poslovne strategije v organizaciji, • izdelava strateškega načrta organizacije, • patentirati, saj poslovni model je sam po sebi izdelek (Krstov in Šinkovec, 2007). 12 2.2.3 Opredelitev portalov Pod besedo "portal" smatramo neko informacijsko središče, kjer se povezujejo raznolike informacije vseh vrst, ki se nahajajo na različnih mestih. Z informacijskega stališča portalom pravilno pravimo spletni portali, včasih tudi spletne dveri. Te lahko razumemo na različne načine. V osnovi gre za spletno mesto, od koder po najlažji poti pridemo do želenih informacij. Tako ta informacijska središča, imenovana portali, omogočajo uporabnikom, da preko povezav dostopajo do aplikacij in raznih podatkovnih zbirk ter informacijskih sistemov preko ene stične točke z uporabo brskalnikov. »Vloga informacijskih portalov je ponuditi uporabniku dostop do poslovnih storitev in raznih drugih vsebin, ki jih potrebuje pri svojem delu. Te storitve in vsebine so upravljane in ponujene uporabniku v osnovnih aplikacijah, ki so značilne za informacijske portale: aplikacije za sodelovanje, aplikacije za skupinsko delo, aplikacije za poslovno inteligenco, aplikacije za poslovne transakcije in aplikacije za upravljanje z vsebinami « (Krajnc, 2007, str. 4). Podjetja se utapljajo v množici informacij, ki so shranjene v različnih oblikah. Vstopi podatkov so lahko v obliki dokumentov, prispelih dokumentov po klasični ali elektronski pošti, v obliki zabeleženih telefonskih klicev in v drugih oblikah oziroma formatih. V kopici podatkov kaj kmalu postane delovni proces otežen zaradi preobremenjenosti. Količine podatkov, ki prihajajo od zunaj ali jih sproduciramo sami, večinoma ne uspemo niti klasificirati. Za dostope do teh podatkov so običajno na razpolago številna orodja, ki pa so za povprečnega uporabnika preveč komplicirana. Rešitev v zadnjem času kar perečega problema je v oblikovanju portala, ki predstavlja spletno okolje, prilagojeno po meri uporabnika. Za dostop do te skupne vstopne točke, imenovane portal, se uporabljajo brskalniki, preko katerih uporabniki dostopijo do vseh informacijskih objektov, tako strukturiranih kot tudi nestrukturiranih. V raznih literaturah sem zasledil številne delitve portalov. Smiselna delitev portalov glede na zastavljeni problem naloge se mi zdi naslednja: • intranet portali, ti so namenjeni zaposlenim znotraj podjetij oziroma organizacij, • ekstranet portali, ti so namenjeni predvsem medpodjetniškemu poslovanju, • internet portali, ti so pa namenjeni odprti množici uporabnikov in so javno dostopni. 13 2.2.3.1 Arhitektura portalov Samo arhitekturo portalov avtorji členijo različno. Ponazoril bom delitev, ki se mi zdi smiselna glede na vsebino raziskovalne naloge, ki zajema tudi portale z integriranim informacijskim sistemom, kjer najde mesto tudi portal SICIS, katerega uporabniki so vsi uslužbenci. Gre za devet elementov kot sestavin arhitekture portalov. Pomembno je izpostaviti, da so informacije na voljo vedno ob pravem času, v ustrezni obliki ter tistim, ki so za informacije zainteresirani. Pomembno je tudi to, da vsi spodaj našteti elementi, ki jih avtor navaja delujejo medsebojno usklajeno. Kričejeva delitev na devet osnovnih elementov portala: • integracija dostopov do vseh notranjih in zunanjih podatkovnih virov, • kategorizacija, ki omogoča hitro prepoznavo informacijskih mest in medsebojnih povezav, • sodelovanje, ki pomeni dinamično sodelovanje med partnerji ali strankami s pomočjo funkcionalnosti portala, • osebna prilagoditev, personalizacija je takšna funkcija portala, ki omogoča, da si uporabnik lahko nastavi le dostop do tistih informaciji, ki jih pri delu najprej potrebuje, • iskanje, ki je v bistvu centralizirana možnost iskanja po vsebini portala, • objavljanje in posredovanje, kjer so mišljene tako izdelava, avtorizacija in distribucija dokumentov s pomočjo orodij za podporo delovnim procesom, • podpora procesom, kamor sodi omogočanje sodelovanja v poslovnih procesih in gre za premik portala iz funkcije prikazovalnika v funkcijo podpore poslovnim procesom, • predstavitev pomeni informacijsko oblikovanje in predstavitev posamezne vsebine, • portalni krog učenja predvideva izboljšanje in povečavo učinkovitosti portalov (Kričej, 2002). Vse zgoraj navedeno velja tudi za portale, ki uporabnikom ponujajo prostorske podatke in informacije ter storitve, povezane s prostorskimi podatki (Kričej, 2002). Portali oziroma vsebine so načeloma dostopne preko različnih elektronskih medijev. To so lahko internet, WAP telefoni, dlančniki, informacijski terminali idr. Pomembna je večslojna arhitektura portalov, temelječa na XML strukturi dokumentov. Sestava večslojne arhitekture temelji na: 14 • uporabniških vmesnikih za posamezne skupine elektronskih naprav in medijev, • transformacijskih adapterjih za posamezne skupine naprav in medijev, • dokumentnih strežnikih. 2.2.3.2 Funkcionalne komponente portalov Portale si tako predstavljamo kot neko skupno vstopno točko do informacij, podatkov, aplikacij in drugih sistemov. Za delovanje interaktivnosti portalov pa so potrebne številne funkcionalne komponente. Z upravljanjem vsebin (ang. Content Management) dosežemo možnost urejanja in dodajanja nove vsebine. Upravljanje vsebin nam omogoča objavo in preklic vsebin ter vsesplošen nadzor nad objavljenimi vsebinami. Običajno se za vsebine posameznih strani uporabljajo HTML urejevalniki, kjer lahko poleg golega teksta oblikujemo še strukturo same strani, prav tako pa lahko dodajamo multimedijske in druge vsebine (Jurič in Pušnik, 2007). Med osnovnejše komponente portalov lahko štejemo: • aplikacije za iskanje in pregledovanje interneta (iskalni mehanizem, sistem imenikov • osebne oz. namizne aplikacije (el. pošta, postavitev lastne spletne strani, osebni koledarji, urejevalnik teksta ...), • informacijske storitve (kanali za dostop do različnih inf. in novic kot npr.: politika, vreme, šport, TV-programi), • klepetalnice, forume, oglasne deske, • nakupovanje, poslovanje, izobraževanje, • upoštevanje želja uporabnikov po informacijah, vsebinah in storitvah. Pomembni sestavni deli spletnih portalov so tehnološko napredni uporabniški vmesniki, ki še povečujejo njihovo vrednost. Tehnologijo prilagajanja specifičnim potrebam in željam informiranja uporabnikov kakor tudi orodja za distribucijo raznih formatov dokumentov in datotek omogočajo napredni uporabniški vmesniki. 2.2.4 Portali za upravljanje in organizacijo znanja Portali za upravljanje znanja so vir informacij o poslovanju organizacije in nas oskrbujejo z meta informacijami. To so tudi informacijski dejavniki, ki nam povedo, na katere informacije se lahko zanesemo, ko sprejemamo odločitve. Prav tako omogočajo ustvarjanje znanja iz 15 pridobljenih podatkov in informacij. Uporabnikom je omogočen hiter in enostaven dostop do podatkov, informacij in znanja, ki ga v določenem trenutku potrebujejo. Za podporo pri vpeljevanju skupinskega dela organizacije uvajajo portalne tehnologije. Integracija se kaže tako v podjetjih kakor tudi izven v povezavi s kupci, dobavitelji in konkurenti. Konkurenčno prednost pa si bodo pridobila podjetja oziroma organizacije, ki bodo implementirala informacijske portale in s tem razvoj sistema e-učenja. Sistem naj bi povezoval poslovne procese, projektno upravljanje in tudi razvoj kariere (Krstov, et al., 2005). Strukturni prikaz organizacije portala znanja nam prikazuje shema 2.2 Shema 2.2: Celostni poslovni portal podjetja in poslovni portal znanja Vir: Krstov et al. (2005, str. 164–165) Shematski prikaz opredeljuje podrobnejšo arhitekturo poslovnega portala znanja, ki je opredeljena v sistemskem nivoju podjetja. Nad sistemskim nivojem so pozicionirani nivoji procesov, kjer se le-ti odvijajo v okviru managementa znanja. Vse to je določeno s strategijo organizacije. Sam poslovni portal znanja je z managementskega vidika razdeljen na pet vsebinskih področij: • transakcije, • vsebine, 16 • sodelovanje oz. teamsko delo, • kompetence, • orientacija. Našteta področja ponujajo različne funkcije, podprte z aplikacijami, ki so integriranimi v poslovni portal znanja (Krstov, et al., 2005). Na ravni strategije se definira poslovno strategijo podjetja. Podrejeno strategijo managementa znanja se opredeli pod njo, skupaj s cilji organizacije in načinom vodenja. Na tem nivoju se določi tudi sistem, s pomočjo katerega je možno meriti doseganje zastavljenih ciljev. Procesni del deluje kot podlaga za odvijanje prevladujočih oziroma temeljnih poslovnih procesov. Vrednostna veriga tako povezuje vse temeljne poslovne procese in njihove podporne procese z dobavitelji in kupci. Tretja raven pa predstavlja sistemsko raven, ki jo predstavlja poslovni portal znanja in njegova arhitektura. 2.2.5 Portali za e-poslovanje V raznih literaturah so razvrstitve portalov različno definirane, in jih je kar nekaj. Najbolj pogosti obliki e-poslovanja sta B2B in B2C. B2B je kratica, ki opisuje angleško besedno zvezo business-to-business. Označuje vrsto elektronskega poslovanja, ki je namenjena izmenjavi blaga in uslug, informacij in servisov med podjetji. B2C pa je kratica, ki opisuje angleško besedno zvezo business-to-consumer. Pri tem modelu gre za e-poslovanje med podjetji in končnimi potrošniki. Poznamo pa še: business-to-goverment (B2G), gre za eposlovanje in komuniciranje med državo in podjetji ter občani. Pri B2E, business-toemployee, gre za komuniciranje med podjetji in zaposlenimi. V podjetjih in organizacijah, kjer se zavedajo pomembnosti elektronskega poslovanja, je kot prioriteta prisotna stalna in hitra dostopnost do informacij in podatkov v danem trenutku. Pri tem se razume, da so podatki oziroma informacije razpoložljivi na čim bolj enostaven način. Prav to ponujajo implementirane informacijske sisteme in aplikacije, dostopne skozi eno točko, imenovano portal. Vsi se zavedamo, da je potrebno s pomočjo izmenjave informacij ves čas ohranjati stike z dobavitelji, poslovnimi partnerji oziroma strankami. Prav na tej točki imajo glavno vlogo poslovni portali kot osrednji del informacijskega sistema. Lahko govorimo kot o neki 17 platformi, preko katere se izvaja celotno poslovanje. Ta platforma oziroma portal naj bi omogočal: • dostop do vseh informacijskih in podatkovnih zbirk, • dostop do evidenc, informacij ter aplikacij, • dostop do informacijskih sistemov in storitev znotraj podjetja. • dostop do tujih strežnikov. Portali, namenjeni poslovni uporabi, se malenkost razlikujejo od ostalih spletnih portalov. Bistvena razlika je v dostopnosti. Poslovni portali so večinoma zgrajeni za poslovno uporabo. To pomeni, da strani niso dostopne slehernemu uporabniku kot osnovna predstavitvena stran, ampak je le-ta razdeljen na javni del, viden v splošni predstavi, in pa zasebni del. 2.2.5.1 Portali podjetij Portali podjetij oziroma poslovni informacijski portali (ang. Enterprise Information Portals – EIP) so portali podjetij, in to so običajno interne vstopne točke za upravljanje odnosov s strankami, obvladovanje dobaviteljev in tudi upravljanje z znanjem. Namenjeni so podpori poslovnim procesom med podjetjem in zaposlenimi (ang. Business-to-Employee – B2E). Zasledil sem tudi, da jih imenujejo korporacijski oziroma organizacijski portali. Ti portali omogočajo medsebojno sodelovanje ter izmenjavo informacij, kar pripomore k hitrejšim in lažjim odločitvam v poslovnih procesih. Običajno so v portale implementirane tudi povezave do ključnih informacijskih sistemov podjetij. Poslovni portal tako predstavlja povezavo do različnih virov podatkov tako iz medmrežja kakor tudi povezave do podatkovnih baz ter aplikacij, kar omogoča uporabnikom hiter ter zanesljiv dostop do informacij oziroma podatkov, ki jih potrebujejo v danem trenutku. Tukaj uporabniku ni važno, ali so iskani podatki strukturirani (podatkovne baze) ali nestrukturirani (besedila, elektronska pošta, spletne storitve). Pomembno je, da lahko uporabljajo portale oziroma dostopajo do želenih informacij z orodjem, ki se imenuje brskalnik. Namen poslovnih portalov podjetij je tako informacijska podpora poslovnim procesom pri doseganju zastavljenih ciljev podjetja. Dodatne prednosti, ki jih nudijo take vstopne točke oziroma portali, so: • vpogled v vsebino lahko prilagajamo določenim skupinam, 18 • prikaz podatkov je možno rangirati glede na pomembnost – prioritete, • možnost nastavitev izbranih pogledov glede na potrebe posameznega uporabnika (personifikacija), • omogoča oddaljen dostop do portala, • enostavna uporaba in upravljanje z uporabo brskalnika, • poenostavljen nadzor upravljanja iz centralnega strežnika, • možnost povezovanja različnih podatkovnih zbirk. 2.2.5.2 Javni portali Javni portali so portali, ki so javno dostopni. So nasledniki internetnih iskalnikov in internetnih spletnih imenikov. Lastnost javnih portalov je, da so zelo obširni in vsebujejo polno raznovrstnih informacij, tako da najbolje pritegnejo slehernega obiskovalca. Podjetja, ki koristijo takšne vire informacij iz omenjenih portalov, se povezujejo s ponudniki teh storitev v smislu trženja, reklamiranja, naročanja na informacije itd. Glavni cilj teh spletnih portalov je pridobiti čim več uporabnikov, vpletenih v med seboj povezano mrežo za lažjo distribucijo informacij. Nekaj primerov večjih javnih spletnih portalov: • www.yahoo.com • www.altavista.com • www.msn.com • www.zurnal24.si • www.slowwwenia.com • www.najinfo.com • www.24ur.com 2.2.6 Spletni portal SICIS – Carinski informacijski sistem Carinska služba pri svojem delovanju uporablja kot informacijsko podporo več informacijskih sistemov. Eden osnovnih sistemov je portal, imenovani Slovenski carinski informacijski sistem (krajše SICIS 7). 7 SICIS – Slovenski carinski informacijski sistem 19 Slika 2.1: Portal SICIS Vir: Interni vir Carinske uprave Republike Slovenije (2012) Omenjeni portal deluje v spletnem okolju kot nadgradnja predhodnega Carinskega informacijskega sistema (krajše CIS), ki je bil zasnovan v DOS okolju in dostopen preko terminalskega dostopa. CIS je sicer še v uporabi, vendar je bila glavnina modulov preseljena v spletno okolje portala SICIS. SICIS je tako eden pomembnejših informacijskih sistemov, ki ga carina uporablja za operativne naloge v blagovnem carinjenju ter pri nadzornem delu. Ta vsebuje številne module, ki zagotavljajo informacijsko podporo carinikom ter inšpektorjem. PORTAL SICIS vsebuje več modulov: • ECS (izvozni sistem), • SIAES (avtomatizirani izvozni sistem), • MOIZ (modul izvoz), • SIAIS (avtomatizirani uvozni sistem), • SINCTS (tranzitni sistem), • STROM (strokovna mnenja), 20 2.3 • GCUKOD (aplikacije, namenjene finančnemu modulu), • EORI (sistem preverja EORI številke gospodarskih subjektov), • EOS (register pravnih in fizičnih oseb), • Modul pooblastila (administracija). Uspešnost in učinkovitost IKT Pod pojmom učinkovitost, ki je dokaj širok lahko smatramo tudi stroškovno merjenje učinkovitosti določene organizacije oziroma razporejanje in razpolaganje z njenimi sredstvi. Ocenjevanje uspešnosti oziroma učinkovitosti v javnem sektorju je kar zahteven proces. Za stranke v postopkih sodelovanja z javno upravo pa uvajanje kakovosti pomeni večje zadovoljstvo. Samo uspešnost pa lahko ponazorimo z merjenjem rezultatov glede na vizijo in zastavljene cilje organizacije. Za stranke pa je pomembno zadovoljstvo, torej se ocenjuje stopnja, kar posledično rezultira uspešnost oziroma koristnost za potencialne odjemalce. Kot posledica merjenja učinkovitosti in uspešnosti IKT se za rezultat pričakuje optimizacija procesov in storitev, kar prispeva k zmanjšanju stroškov, to pa je v trenutnih razmerah še kako pomembno (Žurga, 2002, str. 88). Upravljanje storitev IT si lahko razlagamo kot načrtovanje, izvajanje, suport in varnost storitev informacijske tehnologije ki je usmerjena k strankam, kar predstavlja razliko od tradicionalnega pristopa upravljanja tehnične infrastrukture. Trend uporabe posameznih standardov, ogrodij in metodologij, ki omogočajo učinkovito upravljanje IT storitev, je v porastu, saj po podatkih iz članka avtorja Winniforda z naslovom: »IT Service Management Practice and Terminology« znašajo stroški upravljanja IT storitev v organizacijah nekje med 70–90 odstotki skupnih stroškov lastništva informacijske tehnologije ( Winniford et.al., 2009). Na področjih kontrole, tehnike, meritev in pri upravljanju s poslovnimi tveganji je ogrodje COBIT uporabno kot okvir in sklop podpornih orodij za sporočanje ravni kontrole vsem zainteresiranim strankam. Obenem pa ogrodje omogoča vodstvu razvoj jasnih politik in dobre prakse za kontroliranje IT-ja v podjetjih. COBIT se neprestano posodablja in usklajuje z drugimi standardi in smernicami. COBIT 4.1 je v slovenskem prevodu brezplačno dostopen na straneh slovenskega odseka ISACA, mednarodnega Združenja za revizijo in kontrolo informacijskih sistemov. 21 2.3.1 ITIL ITIL (ang. IT Infrastructure Library) razlagamo kot nabor priporočil za uvajanje in kakovostno upravljanje s storitvami IT. Povzema najboljše prakse in priporočila za upravljanje storitev na področju IKT. Nastal je že leta 1980 na pobudo urada za poslovanje z vlado Velike Britanije (ang. Office of Government Commerce). Uveljavil se je šele po priznanju večjih proizvajalcev programske opreme, kot so Microsoft, HP, IBM in drugi. ITIL priporočila so uporabna in koristna za vse IT organizacije. Prilagoditi jo je možno potrebam organizacij in podjetij, ne glede na njihovo velikost oziroma uporabljeno tehnologijo (Pollard in Cater-Steel, 2009, str. 164– 175). ITIL sestavlja več modulov, pri čemer je za obravnavani primer upravljanja IKT tehnologije predlagan modul za upravljanje infrastrukture IKT. Modul povzema tudi vsebinska področja za operativno izvajanje IT storitev in IKT infrastrukture. Predlaga uporabo ustreznih menedžment orodij za upravljanje in nadziranje oziroma merjenje z ustreznimi menedžment orodji. Kot osnovni cilj pa izpostavlja izboljšanje učinkovitosti in uspešnosti IKT infrastrukture ter zagotavljanje vzdrževanja želene kvalitete dogovorjenih IT storitev. Če vsebino ITIL priporočil in COBIT ogrodja uporabimo kombinirano, potem lahko govorimo o sinergijskem učinku uporabe. ITIL opredeljuje tudi vzpostavitev Help Desk-a oziroma nadgradnjo v Service Desk. To predstavlja osrednjo informacijsko in podporno točko kar posledično rezultira povečevanje zadovoljstva uporabnikov. Vloga Help Desk-a je tako izvajanje tehnološke podpore za poslovne cilje, izvajanje zapisovanja vseh incidentov, kategoriziranje ter izvajanje meritvene metrike. V ITIL-u 3 se koncept spreminja na upravljanje storitev IT s poudarkom na življenjskem ciklu storitev. Namesto prejšnjih dveh sklopov, zagotavljanje storitev (ang. Service Delivery ) in podpora storitvam (ang. Service Support), jih ITIL 3 sedaj vsebuje kar pet: • Strategija storitev (ang. Service Strategy), • Zagotavljanje storitev (ang. Service Delivery), • Prehod na nove storitve IT (ang. Service Transition), • Opravljanje operativnih nalog IT (ang. Service Operation) ter • Nenehno izboljševanje storitev (ang. Continual Service Improvement. 22 Grafični prikaz procesov v ITIL-u 3 je prikazan v shemi št. 2.3. Shema 2.3: Grafični prikaz procesov v ITIL v 3. Vir: prirejeno po Pevzner (2007) V iskanju razlik je ITIL v svoji zadnji verziji (v 3) dosegel pomik proti standardu ISO 20000, predvsem gre tu za dodatne integrirane procese, kot so upravljanje informacijske varnosti (ang. Information Security Management) in upravljanje dostave (ang. Supplier Management) (Plevnik, 2012). 23 Primerjavo med ITIL 3 in ISO 20000 ponazarja tabela št. 2.1 Tabela 2.1: Primerjava med ITIL 3 in ISO 20000 ISO/IEC 20000 Standard in navodila Certifikacija ponudnikov storitev/organizacij Določene zahteve na visokem nivoju za procese in upravljavske sisteme Neodvisna organizacijska struktura z malim številom opisanih obveznih vlog 16 procesov, brez funkcij (funkcionalnih) ITIL v 3 Najboljša oz. dobra praksa Kvalifikacijska shema za posameznike Podrobna priporočila za izvajanje in implementacijo najboljših praks, njihovi opisi Definira veliko funkcij, vlog na procesih ter njihove odgovornosti 26 procesov in 4 funkcije, dokumentirani Vir: Plevnik (2012) Robič v članku z naslovom: »IT uporabnike v vašem podjetju obravnavajte kot kupce« odpira dilemo številnih organizacij o preoblikovanju oziroma nadgradnji Help Desk-a v Service Desk, oziroma storitveni center v skladu z ITIL smernicami. Posamezna podjetja so veliko vložila v razvoj ter delovanje svojih centralnih točk Help-desk, pri tem pa ugotovila zelo majhno poslovno vrednost naložbe. Tu je mišljeno zadovoljstvo uporabnikov kakor tudi predvideno znižanje stroškov ter dvig kakovosti IT storitev. Kot posledico neučinkovitosti Help Desk-a pa gre pripisati nedosledni izdelavi periodičnih poročil ter obdelav oziroma neustrezni interpretaciji. Rešitev nastale situacije se ponuja z vpeljevanjem sistema merjenja učinkovitosti delovanja IT podpore s spremljanjem ključnih kazalnikov. Če se sklicujemo na rek: »Brez meritev je nemogoče upravljati« (ang. »You Can't Manage What You Don't Measure« je prav tu razbrati, da je pomembno pazljivo izbrati kazalnike oziroma izdelati meritvene metrike, seveda pa je nadalje potrebno tudi dosledno spremljati rezultate merjenj. Za uspešnost pa se šteje takojšnje ukrepanje in redno izvajanje kontrol (Robič, 2010). Številne države se soočajo z naraščanjem javnega sektorja, v zadnjem času pa je učinkovitost in uspešnost tista, ki se postavlja pod vprašaj. V času vsesplošne krize so sredstva za servisiranje oziroma delovanje javnega sektorja okrnjena, zato je potrebno nameniti razpolaganju z resursi in sredstvi večji poudarek. Vse to zahteva tudi bolj profesionalno koordinacijo pri razporejanju in delovanju IKT. Organizacija za gospodarsko sodelovanje in razvoj (ang. OECD 8– Organisation for Economic Co-operation and Development), katere Slovenija je od julija 2010 tudi članica, opredeljuje tudi kazalnike oziroma količinske mere, ki jih uporabljamo, če rezultatov uspešnosti ni možno meriti neposredno. Kot tehnike in možne 8 OECD – Organisation for Economic Co-operation and Development 24 rešitve za ugotavljanje kakovosti se lahko uporablja model za celovito obvladovanje kakovosti (krajše TQM 9), ISO standarde in tudi druge rešitve. 2.3.2 COBIT COBIT 4.1 (ang. Control Objectives for Information and Related Technologies) predstavlja učinkovito ogrodje splošno uporabnih informacijsko tehnoloških, varnostnih in kontrolnih postopkov za upravljanje IKT. Opredeljuje sedem različnih kriterijev za informacije, ki se med seboj prekrivajo: uspešnost, učinkovitost, zaupnost, celovitost, razpoložljivost, skladnost ter zanesljivost informacij. COBIT procesni model omogoča, da se aktivnosti in viri IT ustrezno upravljajo in nadzirajo na podlagi COBIT kontrolnih ciljev. Področje kontrole in vrednotenja usklajuje s strategijo organizacije in ocenjevanjem njenih potreb z vrednotenjem obstoječih sistemov IT, ki so v preverjanju v skladnosti z zastavljenimi cilji, posredno pa odgovarja tudi na vprašanje uspešnosti oziroma učinkovitosti IKT v organizaciji. Revizorji preverjajo, če je ustrezno poskrbljeno za varnost, zaupnost, in razpoložljivost ter integriteto podatkov (COBIT, 2007, str. 7). Na podlagi izvedene raziskave, ki jo je objavil »The IT Governance Institute« (krajše ITGI) v letu 2008, je bilo izbranih 749 podjetij, 652 naključno izbranih in 71 podjetij v 23 državah, ki uporabljajo COBIT, od tega je 26 izkušenih COBIT podjetij (ITGI, 2008, str. 10). V primeru SUG (ang. Software User Group) raziskave je bil ciljni kader anketirancev funkcija vodje informatike (CIO). V raziskavo je bilo zajetih 29 bank na področju JV Evrope, ki sestavljajo SUG skupino, to so države Srbija, Makedonija, Črna gora in BIH, vse pa za izvajanje primarnih poslovnih procesov uporabljajo enako programsko rešitev. Trend kaže na povečanje prepoznavnosti COBIT-a, ki je presegla 50 % glede na predhodne raziskave. Podatki za leto 2008 kažejo, da se odstotek njegove uporabe giblje okoli 30 %. 25 % do 35 % sodelujočih v raziskavi dosledno uporablja COBIT, 50 % pa COBIT uporablja delno ali kot osnovo. Splošno gledano sta razpoznavnost in uporaba COBIT v primerjavi na pretekla leta zelo napredovala (ITGI, 2008, str. 36). Raziskava postreže tudi z rezultati uporabe ISO standardov ter okvirov COBIT-a ter ITIL-a, za upravljanje IT rešitev, pri čemer v tem segmentu ne vključuje odgovorov COBIT vzorca. 9 TQM – Total Quality Management 25 Graf 2.1: Uporaba najpogostejših okvirov ter rešitev za upravljanje IT Vir: ITGI (2008, str. 36) 2.3.3 ISO standardi ISO/IEC 27000 je družina mednarodnih standardov, ki pokriva segment upravljanja informacijske varnosti. Standardi vsebujejo priporočila in nasvete za zagotavljanje zaščite v smislu zaupnosti, integritete in dostopnosti informacijskih virov tistim, ki so jim namenjeni. Področje uporabe je zelo obsežno. Osnova za dinamični razvoj standardov sistema upravljanja informacijske varnosti ISMS 10 deluje po načinu Demingovega kroga, kjer se zbirajo povratne informacije in na ta način se sistem nenehno nadgrajuje in izboljšuje (Wikipedija, 2012). V prvem delu standarda BS7799:1995 so zajete najboljše prakse za upravljanje sistema varovanja informacij, ki je bil leta 1998 sprejet kot ISO standard ISO/IEC 17799. Revidirana verzija omenjenega standarda ISO/IEC 17799:2000 pa je bila v letu 2005 spremenjena in vključena v družino standardov ISO 27000 pod imenom ISO/IEC 27002. Standard vključuje novosti in predvideva razširjena nadzorstva za upravljanje virov, opredeljuje uporabo zunanjih storitev in zunanjega izvajanja s poudarkom na varni uporabi teh možnosti. Vključuje tudi uvajanje novejših tehnologij brezžičnega omrežja ter mobilnih omrežij, opredeljuje postopke s tveganji in obvladovanju novih groženj ter smernice za uspešno obvladovanje varnostnih incidentov. Pomemben segment pri upravljanju varnostnih 10 ISMS – Information security management system 26 vidikov so človeški viri, saj so v zadnjem času po številnih raziskavah ključni faktor pri nastajanju varnostnih incidentov. Drugi del standarda BS7799-2:1999 je bil prvič objavljen leta 1999 pod naslovom »Informacijska varnost – Sistemi vodenja«, ki pa je bil po reviziji potrjen in sprejet v družino standardov 27000 kot prvi iz te družine pod imenom ISO/IEC 27001:2002. Vseboval je elemente PDCA iz Demingovega kroga, bil pa je usklajen s standardi kakovosti ISO 9000 ter ISO 14001:1996. S prihodom ISO 27001, ki vsebuje popis zahtev, ki so obvezne za certifikacijo standarda, revizija in certifikacija po starem standardu BS 7799-2:2002 nista več mogoča, ampak se za to uporablja standard ISO 27001. Razvoj standarda BS 7799 je prikazan v shemi št. 2.4. Tako PDCA 11 procesni model (Planiraj– Izvedi–Preveri–Ukrepaj) predpisuje cikel aktivnosti v zvezi z načrtovanjem in vzpostavljanjem ISMS ter samo izvajanje kakor tudi nadzor in tveganja v smislu nenehnega dopolnjevanja in izboljševanja za zagotavljanje uspešnosti varovanja informacij in sistemov. Sam standard ISO 27001 pa vključuje tudi nabor procesov, povezanih z obvladovanjem tveganj. Shema 2.4: Razvoj standarda BS 7799 Vir: Housing Co.d.o.o (2012) 11 PDCA– Plan-Do-Check-Act 27 Na področju upravljanja IT-storitev se že dolgo uveljavlja ITIL kot primer najboljše prakse, mednarodni standard ISO/IEC 20000 pa je zelo uporaben, saj se dopolnjuje oziroma povezuje s standardom ISO 9001 ter ITIL-om, namenjen pa je predvsem ponudnikom storitev IT. Na tem mestu naj tudi omenimo standard ISO 27004, ki je bil objavljen v decembru 2009. Standard daje navodila za razvoj in uporabo ukrepov merjenja za oceno učinkovitosti izvajanja informacijske varnosti, sistema upravljanja in nadzora. Dodatek dokumenta predlaga tudi meritve, ki sovpadajo za uskladitev s standardom ISO 27002. Vpeljava sistema pripomore k izboljšanju procesov in delovanja organizacije v smislu učinkovitosti ter zadovoljstva zaposlenih in strank. Je prvi mednarodni standard, ki pokriva področje upravljanja storitev informacijske tehnologije. Trenutno javno objavljeni standardi skupine ISMS oziroma družine 27000 so delno že v uporabi, nekaj se jih pa še pripravlja za prihodnost, vsi pa so definirani po principu standardov ISO 9000: • ISO/IEC 27000 – uvod in pregled ISMS družine standardov • ISO/IEC 27001 – specifikacija ISMS, ki je naslednik BS7799-2 standarda • ISO/IEC 27002 – kodeks prakse, predhodno znan kot ISO 17799 in BS 7799 • ISO/IEC 27003 – pomoč pri načrtovanju implementacije ISMS • ISO/IEC 27004 – standard meritev ISMS za izboljšanje učinkovitosti • ISO/IEC 27005 – upravljanje tveganja ISMS • ISO/IEC 27006 – digitalni certifikati in registracija • ISO/IEC 27007 – revidiranje ISMS • ISO/IEC 27008 – revidiranje varnostnega nadzora • ISO/IEC 27010:2012 – Infosec Communications. • ISO/IEC 27011 – informacijska varnost v telekomunikacijah • ISO/IEC 27031 – standard poslovne kontuitete • ISO/IEC 27032 – kibernetska varnost • ISO/IEC 27032:2012 – kibernetska varnost, ohranjanje zaupnosti, celovitosti in razpoložljivosti • ISO/IEC 27033– 1:2009 – določa koncepte in smernice za upravljanje na področju varnosti omrežja. • ISO/IEC 27033-3:2010 – omrežna varnost, tveganja in tehnike kontrolnih vprašanj • ISO/IEC 27035 – informacijska tehnologija - varnostno upravljanje incidentov 28 • ISO 27799:2008 – smernice za upravljanje informacijske varnosti v zdravstvu. (The ISO/IEC 27000 family of information security standards, 2012) 2.4 Vpliv delovanja IKT na učinkovitost organizacije Tehnika in tehnologija vsekakor vplivata na učinkovitost in kakovost organizacije. Tu gre za IKT opremo, ki mora delovati brezhibno, varno in neprekinjeno. Za spremljanje delovanja IKT opreme in sistemov pa so na voljo številne možnosti za nadzor nad delovanjem oziroma zagotavljanjem administracije in servisov. OECD tudi ugotavlja, da v številnih državah uvajajo različne sistematične pristope za spremljanje organizacij v javni upravi. Kar se tiče razvijanja sistemov merjenja učinkovitosti in uspešnosti v javnem sektorju je Slovenija še na začetku. V zadnjem času se še kako zavemo, da je potrebno spremljati učinkovitost oziroma določiti smernice in izhodišča za vpeljavo sistemov za merjenje. Tudi smernice EU in OECD zahtevajo od držav članic določitev pogojev za merjenje in vpeljavo sistemov za merjenje učinkovitosti javnega sektorja. Avtorja Andoljšek in Seljak ugotavljata, da ni veliko raziskav s področja uspešnosti v javni upravi, le te pa so povzemale le specifična področja, kar z delnimi rezultati niso pokazale dejanskega stanja. Raziskave in analize benchmarking primerjajo med sabo države, kar pa glede na različno razvitost IT ne morejo med sabo primerjati, saj so odstopanja tudi po ciljih in organiziranosti posamezne države. (Andoljšek, Seljak, 2005, str. 15, 24). Tudi standardi ISO, ISO 9001:2000 je zasnovan tako, da je primeren tudi za uporabo v upravi. Gre za merila, ki se jih je potrebno držati za izboljšanje kakovosti in uspešnosti, ki jih ta standard poudarja. Javni sektor mora biti usmerjen v prihodnost z jasnimi cilji slediti smernicam, ki jih oblikuje poslovno okolje. Le tako namreč lahko ohrani kakovost in učinkovitost ter se vedno bolj usmerja k uporabnikom. Eden od načinov ugotavljanja stanja po področjih v organizaciji je tudi izvedba obdobnih pregledov oziroma revizij. Revizijo in revizijski postopek opredeljuje Zakon o revidiranju (ZRev-2, 2008). Zakon o revidiranju se prvenstveno nanaša na revidiranje računovodskih izkazov, v 7. členu pa govori tudi o strokovnih področjih revidiranjih, ki so povezana z revidiranjem, in sicer računovodstvo, poslovne finance, notranje revidiranje, revidiranje informacijskih sistemov, davčno proučevanje in svetovanje ter ocenjevanje vrednosti podjetij, nepremičnin ter strojev in opreme. Eden novejših ISO standardov vodenja meritev 29 informacijske varnosti je standard ISO 27004:2009, ki opredeljuje meritve učinkovitost vzpostavljenih sistemov vodenja varovanja informacij v smislu ugotavljanja učinkovitosti po principu nenehnega izboljševanja. Varni sistemi so tudi bolj učinkoviti in uspešni, saj neprekinjeno poslovanje, ki je tudi za CURS ključnega pomena zahteva učinkovito IKT opremo za uspešno in učinkovito poslovanje. Ena od smernic oziroma vodil področja meritev informacijske varnosti oziroma metod za upravljanje IT tveganj je tudi vodnik za merjenje uspešnosti informacijske varnosti (ang. NIST 12 800-55 – Performance Measurement Guide for Information Security). Ta merila so namenjena ugotavljanju učinkovitosti varnostnih kontrol sistema informacijskega varovanja. Poudarek v dokumentu je na sistemih merjenja, orodjih, namenjenih za pomoč pri odločanju in izboljševanju izvajanja skozi celoten proces zbiranja, analize in poročanja o podatkih zajetih v meritvah. Cilj merjenja učinkovitosti sistema informacijske varnosti je usmerjen v aktivnosti po stalnem izboljševanju z uvajanjem korekcij in popravkov na podlagi opazovanih meritev (Brezavšček, Moškon, 2009, str. 202– 209). 2.5 Revidiranje informacijskih sistemov Za doseganje učinkovite varnosti pri poslovanju je potrebno skrbeti, da so informacijski sistemi ki jih podjetje uporablja revidirani, saj na tak način zagotavljamo posredno tudi nemoteno delovanje delovnega procesa. Revizijo in revizijski postopek opredeljuje Zakon o revidiranju (ZRev-2, 2008). Zakon o revidiranju se prvenstveno nanaša na revidiranje računovodskih izkazov, v 7. členu pa govori tudi o strokovnih področjih revidiranjih, ki so povezana z revidiranjem, in sicer računovodstvo, poslovne finance, notranje revidiranje, revidiranje informacijskih sistemov, davčno proučevanje in svetovanje ter ocenjevanje vrednosti podjetij, nepremičnin ter strojev in opreme. Skladno z navedenim se tudi za revizijo informacijskih sistemov uporablja Zakon o revidiranju kot krovni zakon (ZRev-2, 2008). Preden se soočimo z revidiranjem informacijskega sistema je potrebno opredeliti, kaj sploh revidiranje kot pojem to pomeni. Obstaja več razlag in definicij, v osnovi pa revidirati pomeni pregledati oziroma pregledovati, torej v tem kontekstu revidirati informacijski sistem pomeni pregledati oz. pregledovati informacijski sistem ki je predmet obravnave revizije. V segmentu informacijskega sistema naj bi si predstavljali sklop nekih naprav in programov, ki so 12 NIST – National Institute of Standards and Technology 30 namenjeni učinkovitemu zbiranju, shranjevanju, obdelavi in posredovanju podatkov uporabnikom (Zaletelj, 2006). Na podlagi Zakona o revidiranju (16. člen) je strokovni svet slovenskega inštituta za revizijo na seji sprejel dokument »Hierarhija pravil revidiranja informacijskih sistemov« z objavo v Uradnem listu RS št. 40/2011). V dokumentu so opredeljena tudi pravila revidiranja informacijskih sistemov ki jih sestavljajo: • ZRev‑2, • drugi zakoni, ki urejajo revidiranje informacijskih sistemov, in predpisi, izdani na njihovi podlagi, • standardi, smernice ter orodja in tehnike za strokovnjake revidiranja, kontrol in dajanja zagotovil na področju IT, • druga pravila revidiranja informacijskih sistemov, ki jih izdaja oziroma določa Inštitut, • mednarodna stališča o revidiranju informacijskih sistemov (ISACA) (UL. RS Št. 40 / 27. 5. 2011, str. 5283) Ranljivost sistemov in aplikacije se posebej kaže v novodobnem času elektronskega poslovanja, kjer podjetja izmenjujejo številne dokumente, podatke in informacije oziroma si jih delijo preko spleta. Sam prehod na elektronsko poslovanje zahteva od udeležencev temeljit razmislek o zagotavljanju informacijske varnosti. Podjetja pri svojem poslovanju uporabljajo tudi določene poslovne modele, vse s ciljem zagotavljanja čim večje konkurenčne prednosti. Revizor informacijskih sistemov mora imeti veljavno licenco, ki jo podeljuje ob izpolnjevanju določenih pogojev in opravljenem izpitu Slovenski inštitut za revizijo (SIR 13). Revizor je strokovno usposobljen z obvladanjem strokovnih in etičnih standardov. Slovenski odsek ISACA skupaj s Slovenskim inštitutom za revizijo letno organizira opravljanje izpitov za preizkušene revizorje informacijskih sistemov (ISACA, 2010). Revizor informacijskih sistemov pri izvajanju revizijskega pregleda informacijskega sistema upošteva veljavno zakonodajo in standarde revidiranja. Pri tem mora upoštevati tudi mednarodno uveljavljene postopke organizacije ISACA ter upošteva standarde organizacije ISO, povezane s področjem informacijskega varovanja. 13 SIR – Slovenski inštitut za revizijo 31 Poznamo več vrst revizijskih pregledov, to so revizija celotnega okolja IT ki je lahko zunanja ali notranja, revizija posameznega področja, posebna revizija ali revizija IT projektov. Namen revizije je tako pridobiti mnenje o dejanskem stanju področja IT, kar se navezuje na varnost, neprekinjeno poslovanje in samo učinkovitost delovanja, čigar namen je tudi v primeru notranjega nadzora nad stanjem IT-ja na Carinskem uradu Brežice. Cilj izvedene notranje revizije je bil ugotoviti dejansko stanje pri izvajanju IVP in terminskega plana IVP v CU Brežice oziroma v notranjeorganizacijskih enotah, ugotoviti morebitna odstopanja in podati priporočila za odpravo morebitnih pomanjkljivosti. Notranji strokovni nadzor je obsegal intervjuje, inšpekcijske oglede uporabljenih strojnih in programskih komponent ter kontrolo prednastavljenih slik delovnih postaj v CU Brežice z orodjem ZenWorks. Pri izvajanju NSN 14 sta sodelovala pooblaščena informatika. NSN je obsegal ogled opreme v vseh pomembnejših prostorih s sistemsko in vozliščno opremo. Sleherna organizacija oziroma podjetja mora stremeti k temu, da postavi področje varovanja informacijskih sistemov, ki jih uporablja, med prioritetne naloge v vseh segmentih varovanja, od preventivnih varnostnih ukrepov pa do izvedb rednega revidiranja s strani notranjih in po potrebi tudi zunanjih revizorjev informacijskih sistemov. Kritično bi bilo govoriti, da so v posameznih primerih notranjih kontrol notranjerevizijske službe neučinkovite, čeprav obstaja možnost, da glede na že postavljene kontrolne točke varnostnih tveganj kakšno od prežečih nevarnosti tudi spregledajo, kljub temu da se revizije lotijo zelo natančno. Obstaja pa verjetnost, da bodo zunanji revizorji informacijskih sistemov ob predpostavki, da varnostno tveganje na posameznem področju obstaja, pri odkrivanju nepravilnosti uspešnejši. Seveda se vsaka revizija informacijskih sistemov sproži z določenim namenom in cilji in pa v primerih, kjer tako opredeljujejo predpisi v organizacijah. 2.6 Informacijska varnost Za učinkovit pristop urejanja v zvezi z varnostjo informacij šteje tako imenovani celovit pristop k varnosti podatkov v smislu razpoložljivosti, celovitosti ter zaupnosti, kar ponazarja tudi shema št. 2.5. 14 NSN – notranji strokovni nadzor 32 Shema 2.5: Povezava med celovitostjo, zaupnostjo in razpoložljivostjo Vir: Pfleeger (2006) Pomanjkljivosti zagotavljanja informacijske oziroma podatkovne varnosti pripelje do resnega razmišljanja, ali je pri nas za informacijsko varnost dovolj dobro poskrbljeno ali pa smo lahko tudi mi žrtve podobnih incidentov. Za zagotavljanje učinkovite varnosti je tako potreben celovit pristop. Celovit pristop jemlje za izhodišče življenjski cikel informacij v celotnem podjetju in opredelitev vseh podatkov ter varnostnih tveganj. Celovita analiza življenjskega cikla informacij kaže, da je potrebno opredeliti področja varnostnega tveganja. Marcus Turle tveganja deli na štiri sklope: • Tveganje na ljudeh • Fizično tveganje • Tveganje na področju tehnologije • Tveganja na področju informacij (Turle, 2009) Ljudje predstavljajo tveganje v širokem spektru. Tu gre za pristojnosti zaposlenih v zvezi z izvršljivostjo pogodb, ozaveščenost zaposlenih, usposabljanje osebja itd. Pomemben dejavnik tako štejemo upravljanje s človeškimi viri. Sem spadajo: notranji akti, zaposlovanje, obveščanje, izobraževanje in usposabljanje, spremljanje in nadzor ter prenehanje zaposlitve (Hajtnik, 2002, str. 20). Primeri številnih zlorab oziroma varnostnih incidentov v zvezi z izgubo podatkov ali informacij, kažejo, da je varnost podatkov še vedno šibka točka. Raziskava o informacijski 33 varnosti – Riv 2004, objavljena pri založbi-Inštitutu za informacijsko varnost v letu 2004 kaže, da okužbe z računalniškimi virusi prednjačijo pred ostalimi varnostnimi incidenti v organizacijah, kar je prikazano v grafu št. 2.2. Graf 2.2: Primeri varnostnih incidentov Vir: Židanik (2004) Ob prebiranju strokovnega članka z naslovom »Data security: Past, present and future«, avtorja Marcusa Turle, se nam porojijo številne dileme o varnosti informacij oziroma podatkov, s katerimi vsakodnevno operiramo. Izguba 25 milijonov podrobnih podatkov o prejemnikih otroškega dodatka v Veliki Britaniji, kar se je zgodilo vladni ustanovi v Veliki Britaniji, natančneje Uradu za prihodke in carino (ang. HMRC – Her Majesty’s Revenue and Customs), kaže na primer neučinkovitega varnostnega sistema. Avtor poudarja tudi trend povečanja števila varnostnih incidentov v številnih drugih ustanovah oziroma podjetjih, ki operirajo z ogromno količino zaupnih podatkov. Tako nas takšen trend naraščanja števila zlorab varnostnih mehanizmov lahko skrbi. Vsako podjetje, ki posluje elektronsko, se mora zavedati, kako pošilja informacije in kako hrani pomembne podatke, oziroma kako skrbi za zaščito le-teh. Zatrdimo lahko, da nobeden sistem ni tako varen, da ga ni možno zlorabiti. Vprašanje je le, koliko časa damo na voljo nepridipravom, da izkoristijo našo nepazljivost 34 oziroma nezaščitenost. Podjetja, ki se zavedajo informacijske nevarnosti v današnjem času, že imajo izdelane dokumente oziroma akte o informacijskem upravljanju, ali drugače imenovane informacijske varnostne politike – IVP. Sama vpeljava IVP v podjetjih in organizacijah pa seveda še ni dovolj. Pomembno je, da se ta tudi dosledno izvaja. S tem je mišljena sama seznanjenost zaposlenih s politiko informacijskega varovanja, kakor tudi dosledno sankcioniranje kršitev le-te. Za doseganje zadovoljive varnostno informacijske zaščite pa potrebujemo določene varnostne mehanizme in varnostno opremo. Na splošno za varnostno opremo in varnostne mehanizme velja, da morajo ustrezati naslednjim zahtevam: • celovitost in strukturiranost, • vladni predpisi, • standard (Groznik, Lindič, 2004, str. 17). Varnost podatkov postaja vse kompleksnejša predvsem zaradi povezovanja organizacij med seboj. V poslovnih procesih se tako povečuje število varnostnih incidentov – izgub podatkov kakor tudi kraje in zlorabe podatkov. Ker okolje, v katerem delujejo organizacije, postaja čedalje bolj turbulentno, se morajo podjetja temu hitro prilagajati, saj se količina podatkov povečuje in s tem tudi skrb za njihovo varnost. Po ugotovitvah avtorjev strokovnih člankov se v prihodnosti predvideva več varnostnih incidentov zaradi človeških napak kot pa zaradi zatajitve tehnologije. Tako ugotavlja tudi Kumar (2009), ki navaja več ugotovitev, ki jih je smiselno akceptirati. Kot prvo opozarja, da je smiselno biti pripravljen na ravnanje z zaupnimi podatki, preden vklopimo stikalo za povezavo v internet, s čimer se bo vsakdo strinjal. Nadalje opozarja, da je pomembno razmišljati o varnosti podatkov, preden jih posredujemo. Uporaba certificiranih programov in opreme ter skrb za varnost z uporabo večnivojske zaščite kakor tudi ažurna preglednost nad svojimi strankami in poslovnimi parterji. V primeru varnostnih incidentov je potreben takojšen odziv, saj se le tako omogoči sanacija z milejšimi posledicami (Kumar, 2010). 2.7 Informacijska varnostna politika Informacijska varnostna politika je dokument s smernicami za zagotavljanje informacijske varnosti znotraj organizacije. Je hkrati dokument, ki naznanja obvezo in podporo vodstva ter 35 določa vlogo informacijske varnosti pri doseganju in podpori viziji in poslanstvu organizacije (Höne in Eloff, 2002). Z implementacijo varnostne politike v podjetje se smatra tudi vključitev varnostnih pričakovanj vodilnih managerjev v obliki določenih izmerljivih ciljev ter nalog. Na splošno je Informacijska varnostna politika (IVP) dokument, ki opredeljuje način, a katerim organizacija oziroma podjetje varuje oziroma izvaja zaščito svojih informacijskih virov. Obsegati mora varovanje in zaščito vseh poslovnih, osebnih in drugače občutljivih podatkov ter informacijsko-komunikacijskih sistemov, ki so namenjeni hranjenju, obdelavi in prenašanju teh podatkov. V tem dokumentu so zajeta vsa pomembna področja informacijske varnosti znotraj organizacije. Opredeljena so tudi tveganja, ki se lahko pojavijo, hkrati pa so ponujeni organizacijski in tehnološki ukrepi za njihovo zmanjševanje. Informacijska varnostna politika pove zaposlenim, kaj lahko počnejo in česa ne smejo. Nalaga jim tudi določene odgovornosti. Ko je varnostna politika kot krovni dokument definirana do želenega nivoja, se izvedejo ustrezne aktivnosti. Poslovne procese se uskladi z določili varnostne politike in se jo implementira v delovno okolje. Proces pa se na tem mestu še ne konča, saj je naloga skrbnika varnostne politike, da od tu naprej skrbi, da postane ta dokument živa stvar oziroma proces, kar pomeni, da se ga nenehno dopolnjuje in dograjuje sočasno z novostmi na področju informacijske tehnologije. Za doseganje optimalnih rezultatov učinkovitosti varnostne politike je potrebno nenehno prilagajanje na spremembe, ki se odvijajo v okolju in poslovnem sistemu, kar v ospredje postavlja tudi celovita rešitev upravljanja z informacijsko varnostjo ISMS (Štrakl, 2003, str. 21). 36 Shema 2.6: Demingov krog Vir: Štrakl (2003, str. 22) PDCA model izboljšanja procesa strategije, nadzora ter spremljanja kakovosti v štirih korakih kot je prikazano v shemi št. 2.6 je predstavila tudi OECD v svojih smernicah (Guidelines for the Security of Information Systems and Networks, 2002), kjer je poudarek na upravljanju varnosti omrežjih in informacijskih sistemov, ki so delno zajeta tudi v standardu BS 77992:2002 (©2006 Housing Co.d.o.o, 2012). Nujnost vzpostavitve IVP v podjetja in organizacije kaže tudi objavljena raziskava ISBS 152010 o informacijski varnosti, ki jo je izvedlo podjetje Price Waterhouse Coopers iz Velike Britanije. V raziskavi je sodelovalo preko 500 podjetij. Rezultati raziskave potrjujejo nujnost implementacije IVP v podjetja, saj se tako lahko podjetja izognejo stroškom, ki bi nastali ob morebitnih varnostnih incidentih. Povzetek izvedene raziskave: • Zaradi hitro razvijajoče se tehnologije podjetja izkoriščajo »cloud computing« in socialna omrežja, kar postavlja v dilemo varnostni vidik poslovanja. • Poslovodstvo varnosti še vedno namenja visoko prioriteto kljub recesiji in gospodarski krizi 15 ISBS – Information Security Breaches Survey 2010. 37 • Po padcu v zadnjih nekaj letih trend kršitev varnosti spet narašča, kar se kaže na primerih številnih britanskih organizacij, ki so utrpele velike stroške zaradi varnostnih incidentov v višini več milijard funtov. • Podjetja so vse bolj povezana med sabo v dobavni verigi, kar zahteva še večjo pozornost po zagotavljanju varnosti, vendar je večina podjetij slabo pripravljenih za to. • Učinkovito in strokovno vodenje pri zagotavljanju informacijske varnostni je ključnega pomena za spopad z varnostnimi grožnjami. Že sam podatek iz raziskave, da se je 92 % podjetij v zadnjem letu soočilo z vsaj enim varnostnim incidentom, 61 % podjetij pa je zabeležilo poskus vdora, nam pove, da je ključna vzpostavitev vseh varnostnih mehanizmov še kako pomembna. Tudi podatek, da je 90 % podjetij takšnih, ki imajo implementirano informacijsko varnostno politiko, od tega le 68 % po standardu ISO 27001, je zaskrbljujoč (Price Waterhouse Coopers, 2010). 3 PREDSTAVITEV OBSTOJEČEGA STANJA 3.1 Predstavitev organizacije Naloge carinske službe opravlja Carinska uprava Republike Slovenije kot upravni organ v sestavi Ministrstva za finance. Upravo sestavljajo carinski organi, ki so Generalni carinski urad, carinski uradi kot območne organizacijske enote uprave, ustanovljene za posamezno območje, in izpostave kot notranjeorganizacijske enote carinskih uradov. Carinska dejavnost, tako fiskalno zaščitna kot kontrolna, število zaposlenih in regionalna razpredenost so kriteriji, ki uvrščajo carino med pomembnejše službe v državi in družbi. Carinski zakon, Zakon o carinski službi, Zakon o carinski tarifi in podzakonski akti so temeljna zakonska osnova carinskega sistema v Republiki Sloveniji. V Zakonu o carinski službi (Ur. l. RS 56/99) so opredeljene naloge in organizacija carinske službe, pooblastila, zbiranje, varstvo in zavarovanje podatkov, posebnosti delovnih razmerij, posebnosti disciplinske in odškodninske odgovornosti, priznanja in prekrški. V skladu s 3. členom omenjenega zakona med temeljne naloge spadajo: • opravljanje carinskega in trošarinskega nadzora, • odobravanje carinsko dovoljenih rab ali uporab blaga, 38 • izvajanje carinske in trošarinske kontrole ter inšpekcijskih pregledov, • preprečevanje in odkrivanje kaznivih ravnanj v zvezi z blagom, ki se vnaša na carinsko območje ali iznaša s tega območja in v zvezi s trošarinskimi izdelki ter vodenje postopka o carinskih in trošarinskih prekrških na prvi stopnji, • opravljanje kontrole vnosa in iznosa domačih in tujih plačilnih sredstev, • kontrola vnosa, iznosa in tranzita blaga, za katero so predpisani posebni ukrepi zaradi interesov varnosti, varovanja zdravja in življenja ljudi, živali in rastlin, • varstvo okolja, varovanje nacionalnih vrednot umetniške, zgodovinske ali arheološke vrednosti ali varovanje lastnine, • kontrola prehajanja oseb čez državno mejo na mejnih prehodih, ki jih določi Vlada Republike Slovenije, • opravljanje drugih nalog, določenih s tem zakonom in v drugih predpisih (ZCS, 1999) Od leta 2004 imamo v Sloveniji 10 carinskih uradov. Zaradi vstopa Slovenije v EU je nastala potreba po prestrukturiranju carinske službe zaradi opustitve mejne carinske kontrole na severni meji in s tem prerazporeditev carinikov na južno mejo. Iz tega razloga je bil ustanovljen tudi novi Carinski urad Brežice, ki je pričel z delovanjem dne 01. 05. 2004. Carinska uprava Republike Slovenije se organizacijsko deli na: • Generalni carinski urad – GCU, • deset carinskih uradov – CU kot območnih organizacijskih enot, ustanovljenih za posamezna območja RS. 39 Slika 3.2: Carinski uradi in izpostave Vir: Interni vir Carinske uprave Republike Slovenije (2012) Organizacijsko shemo Carinskega urada Brežice sestavljajo direktor s pomočnikom za strokovne zadeve in pomočnikom za splošne zadeve. Za njimi so postavljeni štirje oddelki, in sicer oddelek za upravni postopek, prekrške in izterjave, oddelek za kontrolne zadeve, oddelek za trošarine in oddelek za splošne in finančne zadeve. Carinski urad Brežice sestavljata tudi dve izpostavi, in sicer carinska izpostava Železniška postaja Dobova ter carinska izpostava Obrežje. Pod carinsko izpostavo Železniška postaja Dobova spadata tako dva mejna prehoda, in sicer železniški mejni prehod Železniška postaja Dobova in cestni mejni prehod Rigonce. Carinsko izpostavo Obrežje pa sestavljajo tri enote, in sicer mejna carinska izpostava Obrežje, mejni prehod Slovenska vas ter mejni prehod za obmejni promet Planina. 40 Organizacijsko shemo CU Brežice predstavlja shema št. 3.1. Shema 3.1: Organizacijska struktura Carinskega urada Brežice Vir: Interni vir Carinske uprave Republike Slovenije (2010) Delo carinskega urada vodi direktor carinskega urada, ki je svetovalec vlade. Direktor ima dva pomočnika upravnika, ki sta pomočnika predstojnika. Delo notranjih organizacijskih enot v carinskih uradih vodijo vodje teh enot, ki so lahko svetovalci predstojnika, višji svetovalci ali referenti. Delavci, ki vodijo notranjeorganizacijske enote, so odgovorni za pravočasno, pravilno in zakonito delo v organizacijski enoti, ustrezno organizacijo dela, načrtovanje, organiziranje, vodenje in nadziranje dela v organizacijski enoti, ki jo vodijo. Opravljajo strokovno najzahtevnejše naloge s področja notranje organizacijske enote in sodelujejo z vodji drugih organizacijskih enot v glavnem carinskem uradu in carinskih uradih ter opravljajo druge naloge po nalogu in pooblastilu nadrejenega. Vodje notranjih organizacijskih enot spremljajo in ocenjujejo uspešnost delavcev v enoti. Kolegij direktorja carinskega urada je posvetovalno telo carinskega urada. Obravnava načelna in druga skupna ter splošna vprašanja, pomembna za delo carinskega urada. Kolegij praviloma sestavljajo pomočniki direktorja in vodje notranjih organizacijskih enot v 41 carinskem uradu. Vsakokratno sestavo kolegija določi direktor ob sklicu (http://carina.gov.si/). Za upravljanje IKT tehnologije na uradu je zadolžen IKT skrbnik – informatik, ki je v organizacijski strukturi sistemiziran direktno pod vodstvo urada neposredno podrejen direktorju urada. Carinska služba za svoje delovanje uporablja informacijske sisteme ter IKT opremo, ki mora biti tudi ustrezno varovana. Razvoj, vzdrževanje in zagotavljanje delovanja programske opreme (Carinskega informacijskega sistema) poteka v sodelovanju s specializiranim zunanjim podjetjem. Za delovanje centralnega računalnika, na katerem teče CIS, ter delovanje hitrega komunikacijskega omrežja državnih organov, ki povezuje vse carinske izpostave in večino mejnih prehodov v enotno računalniško omrežje, skrbi Ministrstvo za javno upravo, do leta 2004 pa je to nalogo vršil Center vlade za informatiko. V desetih carinskih uradih in Generalnem carinskem uradu je uporabnikom namenjenih okoli 1.300 delovnih postaj, vključenih v 60 lokalnih računalniških omrežij, ki so povezana v hitro komunikacijsko omrežje (HKOM). Na Carinskem uradu Brežice pa je v uporabi preko 120 delovnih ter prenosnih postaj, povezanih v lan ter strežniška oprema, locirana po sistemskih sobah po lokacijah Carinskega urada kjer delovni proces poteka 24 ur na dan, 7 dni v tednu in 365 dni v letu. Na CURS je bil sprejet dokument – akt Informacijska varnostna politika CURS, ki opredeljuje tudi način izvajanja zaščite informacijskih virov in sredstev na CURS. Obsega varovanje in zaščito vseh varovanih podatkov ter informacijsko komunikacijskih sistemov, ki so namenjeni hranjenju, obdelavi in prenašanju teh podatkov. Vsi uslužbenci carinske službe lahko dostopajo do tajnih podatkov stopnje INTERNO, vendar šele potem, ko so se udeležili osnovnega usposabljanja za obravnavo in varovanje tajnih podatkov ter so podpisali ustrezno izjavo. Dostop do tajnih podatkov stopnje ZAUPNO ali višje imajo samo tisti uslužbenci, ki jim je bilo izdano dovoljenje za dostop do tajnih podatkov ustrezne stopnje. Postopek pridobitve dovoljenja je določen z Uredbo o varnostnem preverjanju in izdaji dovoljenj za dostop do tajnih podatkov. Carinska služba upravlja predvsem z naslednjimi varovanimi podatki: • tajnimi podatki, • osebnimi podatki, • podatki, ki so davčna tajnost in • podatki, ki so poslovna skrivnost. 42 Ukrepe in postopke varovanja tajnih podatkov v komunikacijsko informacijskih sistemih določa Uredba o varovanju tajnih podatkov v komunikacijsko informacijskih sistemih. Uslužbenci morajo pri ravnanju z dokumenti, ki vsebujejo tajne podatke, upoštevati splošne varnostne ukrepe, kot so zaklepanje pisalnih miz in pisarn ter ob tem dosledno upoštevati še pravila, ki jih določajo predpisi na področju tajnih podatkov. Za uslužbence carinske službe so pravila ravnanja s tajnimi podatki določena tudi v Aktu o ravnanju s tajnimi podatki in o načinu varovanja tajnih podatkov v carinski službi. Zakon o varstvu osebnih podatkov kot osebni podatek določa katerikoli podatek, ki se nanaša na posameznika, ki je določena ali določljiva fizična oseba, ne glede na obliko, v kateri je izražen. Zakon o varstvu osebnih podatkov torej varuje samo tiste podatke, za katere vemo, kateri osebi pripadajo. Podatki o gospodarskih družbah, samostojnih podjetnikih posameznikih, kjer gre za njihovo opravljanje dejavnosti se ne štejejo za osebne podatke in jih ko take Zakon o varstvu osebnih podatkov ne varuje. Ker je CURS del javnega sektorja, lahko obdeluje osebne podatke le, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon. V skladu z Zakonom o varstvu osebnih podatkov mora CURS za vsako zbirko osebnih podatkov vzpostaviti katalog zbirke osebnih podatkov. Iz teh katalogov je potrebno posredovati določene podatke informacijski pooblaščenki, ki vodi register vseh zbirk osebnih podatkov in je objavljen na njeni spletni strani. CURS ima v registru trenutno prijavljenih 27 zbirk, ki jih CURS vodi na podlagi Zakona o carinski službi oziroma na podlagi drugih predpisov. Varovanje osebnih podatkov je natančno opisano v Aktu o zavarovanju osebnih podatkov v carinski službi. Tu so zajeti pravni, organizacijski oziroma tehnični postopki, s katerimi se: • varujejo prostori, oprema in sistemska programska oprema; • varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki; • zagotavlja varnost posredovanja in prenosa osebnih podatkov; • onemogoča nepooblaščenim osebam dostop do naprav, na katerih se obdelujejo osebni podatki, in do zbirk osebnih podatkov; • omogoča naknadno ugotavljanje, kdaj so bili posamezni podatki uporabljeni in vneseni v zbirko podatkov in kdo je to storil (Carina.si, 2009). Varovanje podatkov, ki zadevajo davčno tajnost, ureja Pravilnik o izvajanju Zakona o davčnem postopku. Ta v posebnem poglavju »Fizični, organizacijski in tehnični ukrepi za varovanje podatkov, ki so davčna tajnost« določa: 43 • označevanje davčne tajnosti na dokumentih (vsak izhodni dokument mora biti opremljen z oznako »DAVČNA TAJNOST«); • varovanje prostorov davčnega organa (podatki, ki so davčna tajnost, se lahko obravnavajo samo v določenem, vidno označenem in zaščitenem prostoru oz. objektu. V carinski službi so z ustreznimi nalepkami označeni vsi poslovni prostori službe. Predpisani splošni varnostni ukrepi se nanašajo na hrambo ključev, shranjevanje dokumentov v omare in pisalne mize, zaklepanje pisarn ob odsotnosti uslužbenca, spremljanje obiskovalcev, prepoved kajenja ipd.); • varovanje strojne ter sistemske in aplikativne programske računalniške opreme, s katero se obravnavajo podatki, ki so davčna tajnost (uporaba samo za izvajanje nalog organa, dostop samo vnaprej določenim uslužbencem, javljanje napak pristojni organizacijski enoti ipd.); • nepooblaščen dostop do podatkov, ki so davčna tajnost (sistem gesel za avtorizacijo in identifikacijo uporabnikov); • možnost poznejšega ugotavljanja, kdaj so bili podatki, ki so davčna tajnost, posredovani drugim naslovnikom; • izvajanje informacijske varnostne politike organa. Pravilnik o izvajanju zakona o davčnem postopku določa, kako ravnati s podatki, ki so označeni kot davčna tajnost. Carinski uslužbenci morajo ob nastopu dela podpisati tudi ustrezno izjavo o varovanju podatkov. 3.2 Strukturni pregled obstoječega akta IVP CURS Informacijska varnostna politika je dokument, ki opredeljuje način, a katerim Carinska uprava Republike Slovenije izvaja zaščito svojih informacijskih virov in sredstev. Obsega varovanje in zaščito vseh zaupnih ali drugače občutljivih podatkov ter informacijsko komunikacijskih sistemov, ki so namenjeni hranjenju, obdelavi in prenašanju podatkov. V IVP CURS so zajeta vsa pomembna področja informacijske varnosti znotraj carinske službe. Opredeljena so tudi tveganja, ki se lahko pojavijo na tem področju, hkrati pa so ponujeni organizacijski in tehnološki ukrepi za njihovo zmanjševanje. IVP CURS je razdeljena na posamezna področja. Ta so medsebojno prepletena in skupaj tvorijo nedeljivo celoto. Le z zagotavljanjem ukrepov na vseh področjih je namreč mogoče govoriti o celoviti in učinkoviti informacijski varnosti. Izhaja iz večnivojske strukture, kot osnovo ima na vrhu 44 dokument »Izjava vodstva o vzpostavitvi sistema informacijskega varovanja v CURS«. Drugi nivo je dokument »Krovna politika sistema informacijskega varovanja CURS«, tretji nivo v hierarhični strukturi je dokument »Informacijska varnostna politika CURS« (IVP CURS, 2008). Shema 3.2: Hierarhična struktura dokumentov Vir: IVPCURS (2008) 3.2.1 Namen vzpostavitve IVP na CURS Z Informacijsko varnostno politiko se v okviru CURS predpisuje način vzpostavitve in upravljanja sistema informacijskega varovanja, odgovornosti za sistem, delo s človeškimi viri, zagotavljanje varnega okolja, upravljanje dostopov do informacijskih virov in sredstev, zagotavljanje neprekinjenega poslovanja, upravljanje informacijskih sistemov ter zagotavljanje sistema izobraževanja in obveščanja (IVPCURS, 2008). Informacijska varnostna politika CURS zavezuje vse javne uslužbence ter zunanje izvajalce pri delu carinske službe. Določbe o zavezanosti posameznega javnega uslužbenca ali zunanjega izvajalca k informacijski varnostni politiki so sestavni del pogodbe o zaposlitvi oziroma drugih pogodb s katerimi je opredeljeno delo zunanjih izvajalcev v CURS. Če je 45 potrebno, informacijska varnostna politika velja tudi zunaj prostorov CURS in izven delovnega časa. Še posebej to velja, kadar gre za delo na daljavo (IVPCURS, 2008). Z implementirano IVP v delovno okolje oziroma delovni proces carinskega urada želi organizacija doseči zastavljeni cilj, to je neprekinjeno in učinkovito poslovanje s čim manj varnostnih incidentov oziroma okvar. Za doseganje omenjenega cilja pa je potrebno dosledno izvajanje sprejetega akta o varovanju, kar pomeni tudi spremljanje pojavov kršitev IVP ter sankcioniranje. 3.2.2 Odgovornosti v sistemu informacijskega varovanja Za uspešno in učinkovito izvajanje sistema informacijskega varovanja so v okviru svojih pooblastil odgovorni vsi uslužbenci CURS. Za vpeljavo, spremljanje delovanja, vzpostavljanje kontrolnih postopkov, poročanje, dopolnjevanje IVP in pri ostalih pomembnih zadevah s področja sistema informacijskega varovanja so zadolženi nosilci sistema informacijskega varovanja CURS. To so: • ožji kolegij generalnega direktorja CURS, • skupina za informacijsko varnost, • skrbnik sistema informacijskega varovanja, • poslovni in IKT skrbniki (IVPCURS, 2008). Odgovornosti zgoraj navedenih skupin in posameznikov pa so podrobno opisane v podrobnih dokumentih IVP CURS. 3.2.3 Področja, ki jih pokriva IVP CURS-a IVP CURS-a pokriva širok segment varovanja za področje, ki zadeva uporabnike, pa so pomembna naslednja: • zagotavljanje varnega okolja, • varovana območja, • politika čiste mize in praznega zaslona, • odgovornost uporabnikov IKT opreme, • uporaba IKT opreme v zasebne namene, • mobilna IKT oprema, 46 • upravljanje informacijskih sistemov, • zaščita pred računalniškimi virusi in drugimi oblikami zlonamerne programske kode, • izdelava varnostnih kopij podatkov, • uporaba izmenljivih nosilcev podatkov, • uničevanje nosilcev podatkov, • uporaba elektronske pošte, • uporaba svetovnega spleta (interneta), • varnostni dogodki in okvare, • obvladovanje dostopov, • dodeljevanje dostopnih pravic, • odgovornost uporabnikov – gesla, sredstva za dostop. 3.2.4 Poslovni in IKT skrbniki Poslovnega oziroma IKT skrbnika je potrebno zagotoviti za vsak zaokrožen poslovni proces podprt z informacijskimi sistemi. Poslovni skrbnik pokriva vsebinski del poslovnega procesa, IKT skrbnik pa njegovo IKT podporo. Oba skrbnika morata pri zagotavljanju podpore določenemu poslovnemu procesu med seboj tesno sodelovati. Poslovni skrbnik izvaja naslednje naloge: • skrbi za nemoteno delovanje poslovnih procesov, • skrbi za ustrezno klasifikacijo (zaupnost, pomembnost, nepogrešljivost …) informacijskega sistema, • sodeluje pri pripravi sistema pooblastil za dostop do informacijskega sistema, • sodeluje pri dodeljevanju pooblastil za dostop do informacijskega sistema, • določi ustrezen način varnostnega arhiviranja, • predlaga postopek nadzora nad izvajanjem IVP pri zunanjih izvajalcih, (IVPCURS, 2008). IKT skrbnik izvaja naslednje naloge: • skrbi za nemoteno delovanje IKT podpore enega ali več med seboj povezanih poslovnih procesov, 47 • skupini za informacijsko varnost predlaga ustrezne načine upravljanja IKT podpore, • določa postopke za tekoče izvajanje IKT podpore, • predlaga in zagotavlja izvajanje varnostnih ukrepov na področju IKT podpore, • izvaja postopke v zvezi z dodeljevanjem pravic dostopa do informacijskih sistemov, za katere formalen dostop odobri poslovni skrbnik. O dodeljenih pravicah je dolžan voditi natančno evidenco, • izvaja postopke v zvezi z varnostnim arhiviranjem podatkov, določene s strani poslovnega skrbnika, • predlaga postopek nadzora nad izvajanjem IVP pri zunanjih izvajalcih (IVPCURS, 2008). 4 VPLIV IVP NA DELOVANJE IKT OPREME ZAGOTAVLJANJU INFORMACIJSKE VARNOSTI PRI Carinska uprava kot organ Ministrstva za finance uporablja številne IKT rešitve za zagotavljanje učinkovitega delovnega procesa. Merjenje uspešnosti in učinkovitosti delovanja IKT je možno izvajati na različne načine in s pomočjo ustrezne tehnologije za posamezno IKT. Učinkovitost lahko vrednotimo po predhodno definiranih meritvenih metrikah, lahko pa le-to ugotavljamo s pomočjo neformalnih metod, kar se delno izvaja tudi na obravnavanem primeru Carinske uprave RS. Vprašanje ki se postavlja je, kako IKT vpliva na učinkovitost in uspešnost delovanja službe. Da bi prišli do odgovora, je potrebno analizirati obstoječe sisteme merjenja učinkovitosti in uspešnosti v organizaciji. Pod IKT smatramo široko področje, ki ga želimo spremljati oziroma meriti njeno uspešnost in učinkovitost delovanja. Help Desk s centralne lokacije nadzira, meri ter servisira IKT sisteme generalno, po lokacijah pa del te naloge opravljajo lokalni informatiki, pri čemer tudi vodijo evidence okvar IKT opreme ter izpadov in preko analiz in poročil izvajajo meritve uspešnosti in učinkovitosti IKT tehnologije. Kot skrbniki IKT opreme so na tem nivoju tudi odgovorni, da oprema deluje brezhibno in učinkovito. Informacijska varnostna politika in njeno izvajanje vplivata na učinkovitost IKT, pri čemer pa to tudi lahko merimo z revizijskimi poročili kot neformalno metodo merjenja uspešnosti in učinkovitosti. 48 4.1 Analiza uvedbe IVP Z vzpostavitvijo akta o varovanju podatkov in informacij – IVP na CURS se je informacijska varnost nedvomno izboljšala. Predvsem se je zmanjšalo število varnostnih incidentov, kar je prispevalo k večji učinkovitosti delovanja IKT opreme, posledično pa se je izboljšal tudi delovni proces. Prednosti uvedbe akta IVP kakor tudi vpliv na učinkovitost delovanja IKT opreme smo analizirali v tabeli Swot analiza, ki je predstavljena v tabeli št 4.1. Tabela 4.1: SWOT analiza PREDNOSTI POMANJKLJIVOSTI • Zmanjšanje števila okvarjenih računalnikov in naprav • Zmanjšana zaznava zlonamernih programov, virusov, • na določenih mestih • trojanskih konjev itd. Omejitve dostopa do interneta Onemogočena uporaba usbključkov • Manj primerov izgub podatkov • Boljša preglednost nad uporabo IKT • Večja varnost pri elektronskem poslovanju • Manjše število izpadov sistemov • Prilagajanje uporabnikov • Nadzor dostopov • Odpor na spremembe • Lažje odkrivanje kršiteljev • Neprekinjeno poslovanje • Onemogočena uporaba cdpogona PRILOŽNOSTI NEVARNOSTI • Ocena tveganja • Neosveščenost uporabnikov • Redno usklajevanje delovnih procesov in določil IVP • Odpor zaposlenih • Nadgrajevanje in izpopolnjevanje akta IVP, • Nedostopnost informacij vključujoč novejša ogrodja in primere dobrih praks Vir: Lastni prikaz (2012) Tabela prikazuje prednosti, pomanjkljivosti, priložnosti ter nevarnosti, ki so rezultat vzpostavitve dokumenta oziroma akta službe o informacijskem varovanju na CURS-u. Iz tabele je razvidno, da je implementacija IVP na Carinskem uradu Brežice prinesla več pozitivnih stvari kot pa negativnih. Nadzor dostopa v objekte, večja preglednost nad uporabo IKT, neprekinjeno poslovanje ter predvidene aktivnosti na področju informacijskega tveganja 49 so pomembne prednosti uvedbe IVP. Posledično se je zmanjšalo tudi število okvar ter varnostnih incidentov, saj so uporabniki uvideli, da so z upoštevanjem določil omenjenega dokumenta prispevali posredno k izboljšanju učinkovitosti delovnega procesa. Manj kot je izpadov sistema ter manj kot je okvar in varnostnih incidentov, hitrejši so postopki v delovnem procesu, kar prispeva k večjemu zadovoljstvu zaposlenih, strank v postopkih ter samega vodstva. Določila IVP predvidevajo tudi številne omejitve uporabnikom, kot so onemogočena uporaba USB-ključev, CD-pogona, internetnega dostopa na določenih delovnih mestih itd. Po uvedbi teh omejitev se je izkazalo, da je okvar delovnih postaj resnično manj, saj je distribucija morebitnih zlonamernih programov, virusov idr. onemogočena in s tem delovni proces teče nemoteno. Vsaka sprememba zahteva določen čas, da se uporabniki prilagodijo in sprejmejo novosti. Posamezni uporabniki IKT so določila IVP tudi težje sprejeli, saj določene omejitve onemogočajo uporabo nekaterih funkcionalnosti. Kot priložnost pa štejemo lahko izdelan profil varnostnega tveganja, ki se ga redno nadgrajuje in posodablja s tokom razvoja informacijsko komunikacijske tehnologije ter o spremembah določil dokumenta IVP redno seznanja tudi vse uporabnike oziroma zaposlene. 4.2 Analiza ter rezultati raziskave Glede na izvedeno predhodno analizo uvedbe IVP kakor tudi na podlagi evidenc ter poročil lahko povzamemo, da se je v delovnem okolju zadeva izkazala kot zelo pozitivna. Delavci so uvedbo IVP sprejeli pozitivno in jo tudi upoštevajo pri svojem delu pri uporabi IKT opreme ter informacijskih sistemov. Tudi rezultati kvalitativne raziskave, ki je bila izvedena potrjujejo pozitiven vpliv akta o informacijskem varovanju na zmanjšanje pojavov varnostnih incidentov ter okvar IKT opreme, posledično pa to vpliva tudi na delovni proces, ki zahteva neprekinjeno delovanje opreme oziroma informacijskih sistemov. Prav tako je notranja revizija področja informacijske varnosti, ki jo je izvedel Generalni carinski urad na CU Brežice potrdila, da so vse ključne kontrole na tveganih segmentih vzpostavljene in da delujejo. 4.2.1 Oddelek za centralno pomoč uporabnikom – Help Desk Oddelek za centralno pomoč uporabnikom oziroma Help Desk CURS-a je enotna vstopna točka za podporo zunanjim in notranjim uporabnikom in deluje po sistemu 24/7/365. Gre za oddelek v okviru Carinske uprave RS, ki nudi prvo, osnovno raven pomoči s svetovanjem pri znanih rešitvah in posredovanjem zadev sektorjem pri zahtevnih vsebinskih in postopkovnih 50 zadevah s področja informacijskih sistemov ter IKT tehnologije, ki jo carinska služba in njeni partnerji uporabljajo pri svojem delu. V okviru CURS-a za IT skrbi sektor za informatiko, po organizacijskih enotah pa so to IKT skrbniki opreme – informatiki. Poglavitna naloga oddelka Help Desk oziroma operaterjev je nadziranje in spremljanje delovanja vseh informacijskih sistemov in IKT tehnologije, ki jo uporabljajo zaposleni, sekundarna naloga pa je merjenje same učinkovitosti IKT s pomočjo ustreznih programov in aplikacij za zbiranje in obdelavo informacij z evidencami ter poročili. V sklopu administracije sistemov gre za več kot 50 aplikacij, katerih delovanje je nujno potrebno za izvajanje procesov. Za sporočanje o napakah in okvarah se uporablja sistem Incident Monitor, preko katerega se beležijo vsi klici uporabnikov ter posredujejo v reševanje pristojnim. Obenem pa se vsaka prijava spremlja, dokler ni napaka odpravljena. Vsak prejeti klic po elektronski/navadni pošti ali po telefonu/telefaksu, ki predstavlja problem na nekem področju delovanja carinskih aplikacij ali pa kakršnikoli drugo vprašanje v zvezi z IKT tehnologijo se evidentira kot vstopni klic v Help Desk aplikacijo, s katero le-ta operira. Uslužbenec Help Deska, ki predstavlja I. nivo reševanja, lahko problem reši oziroma ga v primeru, da ga sam ne zna ustrezno rešiti, posreduje v reševanje II. nivoju, to je strokovnjak področja v okviru CURS-a. Reševalci klica na II. nivoju pa lahko v reševanje klica vključijo III. nivo, ki ga predstavljajo zunanji pogodbeniki za vzdrževanje IT-sistemov. Za potrebe spremljanja, beleženja oziroma merjenja so v uporabi aplikacijske rešitve: Help Desk aplikacija, RIPadmin, Web-nadzor, Sistem za sledenje vitalnih parametrov omrežja, Zenworks ter Nagios. V sklopu svojih nalog Help Desk izdaja tudi obdobna poročila o učinkovitosti IKT sistemov preko tipskih poročil, ki vključujejo tudi podatke – poročila notranje organizacijskih enot, ki pa so neformalno strukturirana. Sektor za informatiko na Generalnem carinskem uradu v skladu z zastavljenimi cilji in strategijo CURS zbrane podatke obdela v nadaljnjih analizah ter tako poda obdobno poročilo o uspešnosti oziroma učinkovitosti enkrat letno. V letnem poročilu, ki ga objavi CURS, se predvsem navaja podatek o (ne)dosegljivosti oziroma o (ne)delovanju informacijskega sistema, pri čemer pa v poročilu niso strukturirani vzroki, ali je šlo za strojno ali programsko napako. 51 Slika 4.1: Help Desk aplikacija Vir: Interni vir Carinske uprave Republike Slovenije (2012) Osrčje delovanja carinske službe predstavlja Carinski informacijski sistem, katerega vzdržuje in servisira pogodbeni zunanji izvajalec, ki nosi tudi neposredno odgovornost. Ažurno spremljanje sistema, merjenje odzivnosti ter obremenjenosti IKT opreme oziroma strežnikov, posredno tudi učinkovitosti, pa Carinska uprava RS izvaja preko Help Desk-a s pomočjo programske opreme. Namen merjenja oziroma spremljanja (ne)delovanja je zagotoviti čim krajši odzivni čas sanacije oziroma odprave napak in nedelovanja sistema. Tu gre za merljive cilje – čas izpada sistema v minutah, kar se evidentira v dnevnem poročilu učinkovitosti informacijskega sistema, predstavljeno kot št. min. nedelovanja/24 ur. Help Desk zabeležene dnevne, tedenske oziroma mesečne informacije v obliki poročila posreduje Generalnemu carinskemu uradu, ki poročila analizira. Ob ugotovljenem odstopanju od pogodbenih obveznosti poslovni skrbnik informacijskega sistema na generalnem uradu od zunanjega izvajalca zahteva pojasnila. 52 4.2.2 Analiza kvalitativne raziskave Skrbnik računalniške opreme (informatik carinskega urada), ki je odgovoren za nemoteno delovanje IKT opreme ter izvaja tudi ukrepe za zagotavljanje informacijske varnosti, določene v aktu o informacijskem varovanju IVP CURS-a, nam je podal pojasnila za pojasnitev hipotez raziskovalnega vprašanja. Tematika kvalitativne raziskave je obsegala področje informacijske varnosti in je razdeljena na enajst enot: 1. Informacijska varnost 2. Vpliv informacijske varnosti na poslovanje 3. Skrb za informacijsko varnost 4. Dokument o informacijskem varovanju in seznanjenost z njim 5. Jasnost določb Informacijske varnostne politike 6. Pojavi kršitev Informacijske varnostne politike pri uporabi informacijske opreme 7. Okvare opreme in primeri varnostnih incidentov 8. Pravila Informacijske varnostne politike in vrste kršitev 9. Razlogi kršitev informacijske varnostne politike pri uporabnikih 10. Restriktivnost informacijske varnostne politike 11. Uvedba informacijske varnostne politike, prednost ali ovira Domnevo (H1), ali Informacijska varnostna politika pripomore k učinkovitejšemu delovanju IKT opreme, ker predpisuje zaščitne varnostne kontrole ter omejitve, potrjuje tudi analiza notranjerevizijske službe, ki je potrdila ustreznost vpeljanih kontrol ter zaščitnih varnostnih ukrepov. Intervjuvanec (informatik) nam je podal izčrpne informacije z odgovori na usmeritvena vprašanja, ki potrjujejo rezultate revizijskega poročila. Z vpeljavo IVP se je celovita informacijska varnost izboljšala, delovno okolje je postalo bolj varno. Vzpostavljen je bil nadzor dostopanja v prostore in aplikacije. Večja je tudi zanesljivost delovanja, dostopnost do podatkov in informacij ter večje zadovoljstvo uporabnikov. Beleženo je tudi manj okvar, k čemer so pripomogle preventivne aktivnosti za zagotavljanje varnosti z vpeljavo večnivojske zaščite, pomanjkljivosti pa je manj. Vpeljava akta o informacijskem varovanju je ocenjena kot zelo pozitivna, pri čemer je potrebno poudariti pomembnost določb akta oziroma njegovih prednosti. Pomembno je tudi izvajanje samega akta ter redno posodabljanje, pri čemer se stremi k jasnosti in transparentnosti. Za pojasnitev domneve H2 ki predpostavlja, da Informacijska varnostna politika posredno pripomore k izboljšanju delovnega procesa zaradi zmanjšanja pojavov varnostnih incidentov ter okvar ter domneve 53 H3, da je za informacijsko varnost na Carinskem uradu Brežice dobro poskrbljeno, saj se IVP izvaja v vseh ključnih segmentih, je bila uporabljena analiza kvalitativnega raziskovanja, pri čemer rezultate lahko prikažemo tudi s pomočjo tabele št. 4.2. ter izdelanega paradigmatskega modela kvalitativne analize, ki je prikazan v shemi št. 4.1. ter shemi št. 4.2. Tabela 4.2: Analiza kvalitativnega raziskovanja 1. nivo 2 . nivo 3. nivo CELOVITA INFORMACIJSKA VARNOST Varnost informracij in podatkov Varno delovno okolje Tehnološka in fizična varnost Zadovoljstvo Okvare in izpadi Večnivojska zaščita Tehnično varovanje Določbe akta – IVP Nadzor dostopov ZANESLJIVOST DELOVANJA AKTIVNOSTI ZA ZAGOTAVLJANJE VARNOSTI AKT O INFORMACIJSKEM VAROVANJU VARNOSTNI INCIDENTI Zloraba opreme Zloraba interneta Kršitev zakonodaje Nepooblaščena uporaba Nepravilna uporaba Upravičeni razlogi kršitev Neupravičeni razlogi kršitev USTREZNOST DOLOČIL IVP Omejitve pravic Pokritost področja informacijskega varovanja Boljše delovanje opreme Varno ravnanje s podatki Manj kršitev in incidentov Obvladovanje varnostnih incidentov in kršitev Zavedanje uporabnikov REZULTATI UVEDBE IVP Vir: Lastni prikaz (2012) 54 Preventivne aktivnosti Pomanjkljivosti Prednosti akta Jasnost in preglednost akta IVP Izvajanje akta Posodabljanje akta Izvajanje nadzora Sankcije in omejitve Preventivni ukrepi in rezultati Posledice incidentov Preiskava incidentov Posledice Razlogi kršitev Vzroki Zasebnost Obveščanje o posegih Manj zlorab Izboljšan delovni proces Stabilnost Neprekinjeno poslovanje Produktivnost Shema 4.1: Paradigmatski model Vir: Lastni prikaz (2012) 55 Shema 4.2: Razširjen paradigmatski model AKT O INF.VAROVANJU DOLOČBE AKTA PREDNOSTI JASNOST-PREGLEDNOST VARNOST INFORMACIJ IN PODATKOV DELOVNO OKOLJE IZVAJANJE POSODABLJANJE CELOVITA INFORMACIJSKA VARNOST TEHNOLOŠKA IN FIZIČNA VARNOST NADZOR DOSTOPOV USTREZNOST DOLOČIL AKTA IVP AKTIVNOSTI ZA ZAGOTAVLJANJE VARNOSTI POMANJKLJIVOSTI OMEJITVE PRAVIC MANJ ZLORAB POKRITOST PODROČJA INF. VAROVANJA POMANJKLJIVOSTI VEČ NIVOJSKA ZAŠČITA POMANJKLJIVOSTI KRŠITVE IN INCIDENTI ZANESLJIVOST DELOVANJA SANKCIJE IN OMEJITVE ZLORABA OPREME ZADOVOLJSTVO OKVARE IN IZPADI PREVENTIVNE AKT. REZULTATI UVEDBE IVP ZLORABA INTERNETA KRŠITEV ZAKONODAJE NEPOOBLAŠČENA UPORABA BOLJŠE DELOVANJE OPREME IZBOLJŠAN DELOVNI PROCES PREISKAVA INCIDENTOV POSLEDICE NEPRAVILNA UPORABA VARNO RAVNANJE S PODATKI NEPREKINJENO POSLOVANJE MANJ KRŠITEV IN INCIDENTOV STABILNOST OBVLADOVANJE KRŠITEV IN INCIDENTOV VEČJA PRODUKTIVNOST IZVAJANJE NADZORA ZAVEDANJE UPORABNIKOV Vir: Lastni prikaz (2012) Implementacija akta IVP na Carinski urad Brežice je tako prispevala k bolj varnemu ravnanju s podatki, učinkovitejšemu delovanju opreme, lažjemu obvladovanju varnostnih incidentov in pojavom kršitev, ki so se tudi močno zmanjšali, kar bomo prikazali tudi z analizo poročil o varnostnih incidentih v naslednjem poglavju. Iz odgovorov, ki jih je na zastavljena vprašanja podal intervjuvanec, lahko razberemo, da se je izboljšalo tudi zavedanje uporabnikov glede varne uporabe IKT tehnologije. Izvajanje akta o informacijskem varovanju vpliva na pojave kršitev in incidentov, ki jih je manj, s tem so mišljeni zloraba opreme, zloraba interneta, kršitev zakonodaje, nepooblaščena uporaba ter nepravilna uporaba, vse to posledično tudi zaradi nadzora in možnosti odkrivanja vzrokov oziroma preiskave ter uvedbe sankcij, ki sledijo. So tudi izjemne situacije, v katerih se kršitev tolerira ob takojšnjem obveščanju pooblaščenih oseb. Pomembno pri tem je, da ne prihaja do kršitev zasebnosti. Posledično je prišlo do izboljšanja delovnega procesa ter s tem tudi večje produktivnosti pri carinskih delavcih, stabilnosti delovanja ter neprekinjenega poslovanja. 56 4.2.3 Analiza poročil IKT skrbnikov Za zaščito pred zlonamerno programsko kodo, virusi in neželenimi aplikacijami je na vseh delovnih postajah in strežnikih nameščena protivirusna zaščita. Za spremljanje delovanja delovnih postaj in strežnikov ter obveščanje o stanju zaščite pred zlonamerno programsko kodo CURS uporablja sistem »SWEEPALERT«, ki beleži vse pojave opredeljenih varnostnih incidentov. Sistem beleži vse programe, ki so opredeljeni kot neželena aplikacija, dostope do strani ki vsebujejo zlonamerno programsko kodo, viruse, trojanske konje ter druge kršitve, ki so opredeljene tudi v aktu IVP. Iz podatkov o beleženih varnostnih incidentih za leta 2008, 2009 in 2010 lahko povzamemo, da se je število le-teh po implementaciji akta o informacijskem varovanju IVP CURS na Carinskem uradu Brežice močno zmanjšalo, kar je razvidno tudi iz grafa št. 4.1. Graf 4.1: Varnostni incidenti VARNOSTNI INCIDENTI 6000 5000 4000 3000 2000 5020 1000 1591 0 2008 114 2009 2010 Vir: Lastni prikaz (2012) Iz analize mesečnih poročil informatike o nedelovanju sistemov, aplikacij, primerov okvar opreme ter motenj delovanja omrežja na Carinskem uradu Brežice za leto 2008, 2009, 2010 ter 2011 lahko vidimo, da se je učinkovitost delovanja opreme, aplikacij kakor tudi mrežnih povezav zelo izboljšala, saj podatki kažejo na večjo učinkovitost delovanja za več kot 50 % primerjalno za leto 2008 ter leto 2011, kar je razvidno tudi iz grafa št. 4.2. 57 Graf 4.2: Varnostni incidenti in okvare 2008 – 2011 VARNOSTNI INCIDENTI – OKVARE 180 160 140 120 100 80 60 40 20 0 DELOVNE POSTAJE STREŽNIKI MREŽNE POVEZAVE 2008 2009 2010 OSTALA OPREMA APLIKACIJE 2011 Vir: Lastni prikaz (2012) 4.2.4 Analiza revizijskih poročil Rezultat analize notranjerevizijskega poročila kaže, da ni bilo ugotovljenih večjih nepravilnosti po vseh področjih, ki jih opredeljuje akt o informacijskem varovanju IVP CURS. Potrdili so delovanje vključenih varnostnih kontrol ter izvajanje akta IVP v vseh segmentih. Revizorji informacijskih sistemov oziroma informacijske varnosti so podali nekaj manjših pripomb glede alarmiranja ob pregrevanju v sistemskih prostorih, kar je bilo zabeleženo tudi v revizijskem poročilu. Odziv vodstva na opozorila revizorjev je bil zelo pozitiven, saj je takoj stekel projekt dograditve sistema za alarmiranje. V tem segmentu se tako pokaže smisel izvajanja revizij informacijskih sistemov, saj se na zaznana tveganja lahko pravočasno odzovemo in preprečimo morebitne okvare ter posledično izpade delovnega procesa, kar je za carinski urad ključno, saj posamezne izpostave poslujejo neprekinjeno, 24/7/365. Poudariti pa je potrebno, da notranjerevizijska služba ni preverjala samega akta IVP glede na ustreznost vgrajenih standardov glede na novejše tehnologije, ampak le s ciljem ugotavljanja dejanskega stanja pri izvajanju varnostne politike. 58 4.3 Kritični pregled uspešnosti Pri analiziranju uspešnosti in učinkovitosti IKT na primeru Carinskega urada Brežice so upoštevani pridobljeni podatki iz internih evidenc oddelka za centralno pomoč uporabnikom, ter evidenc lokalnih informatikov, kakor tudi rezultati notranjerevizijskih poročil. Neprestani nadzor in s tem merjenje učinkovitosti delovanja sistemov in aplikacij pa je na Carinski upravi RS vršen iz centralne lokacije Help Desk, kar nadalje omogoča tudi poenostavljeno obveščanje vseh notranjih in zunanjih uporabnikov ob izpadih ali nedostopnosti. Ob enem se izvaja tudi merjenje učinkovitosti delovanja IKT tehnologije in sistemov z dnevnimi, tedenskimi, mesečnimi in letnimi statističnimi poročili, ki jih izvaja Help Desk. Merjenje učinkovitosti IKT oziroma informacijskega sistema se izvaja s pomočjo orodja, aplikacije za merjenje odzivnosti informacijskega sistema. Prav tako Help-desk izvaja meritve učinkovitosti delovanja strojne opreme – procesorjev preko spletne aplikacije. Iz meritvenih poročil (ne)uspešnosti delovanja informacijskega sistema SICIS, ki ga je Help Desk objavil v internem poročilu za leto 2010, je moč razbrati, da je bil informacijski sistem SICIS izredno nestabilen, kar se je odražalo v številnih izpadih delovanja. Iz poročila CURS-a za leto 2010 je razvidno, da je bilo zabeleženih 355 ur nedelovanja oziroma motenega delovanja informacijskega sistema. (CURS, 2010). Vzroke za tako stanje je moč delno prepisati programski kodi, saj meritve učinkovitosti na strojni opremi niso pokazale pomanjkljivosti. Pri analiziranju sistemov za merjenje učinkovitosti IKT na Carinski upravi lahko ugotovimo, da kljub vzpostavljenim centrom Help-desk služba nima izdelanih natančnih meritvenih metrik, po katerih bi bilo možno vrednotiti samo uspešnost IKT tehnologije. Tako je možno podati le okvirno oceno (ne) učinkovitosti glede na strateški plan delovanja, ki stremi k neprekinjenemu poslovanju. Vrednotenje neučinkovitosti glede na stroškovni vidik je zelo kompleksno, saj izpad sistema pomeni zastoj v verigi podjetja–izvozniki–deklaranti–uvozniki–podjetja oziroma dobavitelji, s katerimi CURS posluje oziroma jih servisira, tako že manjši izpad lahko povzroči večjo gospodarsko škodo. Interne evidence IKT skrbnikov – informatikov opreme povzemajo segmente neprekinjenega poslovanja IKT opreme in varnostnih sistemov notranje organizacijskih enot CURS-a. Gre za beleženje okvar IKT opreme po lokacijah in s tem analiziranje učinkovitosti delovanja. Tudi na tem nivoju merjenja služba nima izdelanih natančnih meritvenih metrik, po katerih bi bilo vrednotenje učinkovitosti oziroma uspešnosti moč podati natančneje. 59 Z vzpostavitvijo akta o varovanju podatkov in informacij IVP sta se informacijska varnost in posledično učinkovitost IKT tehnologije nedvomno izboljšala. Po implementaciji v letu 2008 se je predvsem zmanjšalo število varnostnih incidentov, kar je prispevalo k brezhibnosti izvajanja delovnih procesov. CURS preko akta IVP zagotavlja zaščito svojih informacijskih virov in sredstev ter ob enem preverja učinkovitost delovanja IKT tehnologije. Prav na tak način ob obdobnih pregledih revizorji ocenjujejo učinkovitost delovanja vseh segmentov uporabe IKT tehnologije in sistemov. Notranje revidiranje lahko definiramo kot neodvisno in nepristransko mnenje, svetovanje vodstvu z namenom povečevanja učinkovitosti in izboljšanja delovanja organizacije. Cilj IT revizije v obravnavanem primeru Carinske uprave RS oziroma Carinskega urada, Brežice, na katerem je bila izvedena, je bil ugotoviti dejansko stanje pri izvajanju IVP, izmeriti morebitna odstopanja, izpostaviti določena tveganja, ki se pojavljajo, in podati priporočila za odpravo pomanjkljivosti. Kot rezultat meritve učinkovitosti delovanja IKT ter uspešnosti pri zagotavljanju informacijske varnosti je izdano notranjerevizijsko poročilo, ki natančno oceni vsa področja ter predlaga tudi rešitve za odpravo morebitnih pomanjkljivosti. CURS izvaja revizijo IT-ja po carinskih uradih obdobno, in sicer predvidoma enkrat letno. Na obravnavanem primeru Carinske uprave RS povzemam revizijsko poročilo, ki ga je izvedla CURS v Carinskem uradu Brežice. Sam postopek izvedene notranje revizije na primeru Carinskega urada Brežice je obsegal več segmentov, in sicer izvedbo intervjujev kot kvantitativne metode merjenja, inšpekcijskih ogledov uporabljenih strojnih in programskih komponent ter kontrolo prednastavljenih slik delovnih postaj v CU z orodjem, imenovanim Zen Works. Revizijski pregled je obsegal ogled opreme v vseh pomembnejših prostorih s sistemsko in vozliščno opremo in sistemske prostore po lokacijah notranje organizacijskih enot. Glede na rezultate izvedene notranjerevizije lahko povzamemo, da se je v delovnem okolju zadeva izkazala kot zelo pozitivna. Vse ključne kontrole na tveganih segmentih so vzpostavljene in delujejo. 4.4 Predlog izboljšav Področje informacijske varnosti je ob hitrem razvoju tehnologije potrebno nenehno spremljati in sprejemati ustrezne ukrepe, da je neželenih situacij čim manj. Akt IVP CURS iz leta 2008 bi bilo potrebno prilagoditi na novejše standarde, ki vključujejo smernice in ogrodja ter primere dobrih praks. Tu gre tudi za uporabo ogrodja COBIT ter smernic uporabljenih dobrih praks ITIL-a, katere bi bilo smiselno uporabiti pri posodobljeni verziji akta IVP, saj bi na tak 60 način vzpostavili pogoje, kjer bi ob ustrezno postavljenih meritvenih metrikah ter kontrolah prispevali k uspešnosti in učinkovitosti IKT. Prav tako bi bilo potrebno izdelati meritvene metrike za vso IKT opremo, saj se le na tak način lahko vrednoti sama uspešnost oziroma učinkovitost njenega delovanja. ISO/IEC 27002 standard vključuje novosti in predvideva razširjena nadzorstva za upravljanje virov, opredeljuje uporabo zunanjih storitev in zunanjega izvajanja s poudarkom na varni uporabi teh možnosti. Vključuje tudi uvajanje novejših tehnologij brezžičnega omrežja ter mobilnih omrežij. Revidirana verzija opredeljuje postopke s tveganji in obvladovanje novih groženj ter smernice za obvladovanje varnostnih incidentov, tako bi z vgraditvijo v IVP stopnjo informacijske varnosti povečali. S prihodom standarda ISO 27001, ki vsebuje nabor procesov, povezanih z obvladovanjem tveganj, revizija in certifikacija po starem standardu BS 7799-2:2002 nista več mogoča, ampak se za to uporablja standard ISO 27001. Med predlagane standarde, ki jih je smiselno uporabiti v aktu IVP, je standard ISO 27004, ki je bil objavljen v decembru 2009 in daje navodila za razvoj in uporabo ukrepov merjenja za oceno učinkovitosti izvajanja informacijske varnosti, sistema upravljanja in nadzora. Vpeljava sistema bo pripomogla k izboljšanju procesov in delovanja organizacije v smislu učinkovitosti ter zadovoljstva zaposlenih in strank. Tudi novi standard ISO 27003, ki je bil objavljen leta 2010, pokriva področje obvladovanja tveganj uporabe informacijskega sistema, vsebuje podrobne smernice za upravljanje tveganj in njihov vpliv na poslovanje, poslovne procese in ostale poslovne rizike, zato bi ga bilo tudi smiselno uporabiti. Poleg omenjenih so še zelo uporabni ISO/IEC 27032:2012 – kibernetska varnost, ohranjanje zaupnosti, celovitosti in razpoložljivosti ter ISO/IEC 27035 – Informacijska tehnologija – varnostno upravljanje incidentov. Glede na ugotovitve analize, kako CURS preko Help Desk-a spremlja delovanje Carinskega informacijskega sistema, bi bilo smiselno vpeljati več nivojsko meritveno strukturo, kjer bi bil prvi nivo merjenje učinkovitosti delovanja posamezne IKT opreme ter drugi nivo merjenje učinkovitosti programske opreme, kajti oboje je ključno za uspešno delovanje sistema. Kot strojna oprema so mišljeni predvsem strežniki in delovne postaje, kot drugo pa programska koda, za katero brezhibnost katere je odgovoren pogodbeni zunanji izvajalec. Cilj vpeljave metrik je večja transparentnost pri ugotavljanju učinkovitosti delovanja celotnega informacijskega sistema, saj se ob nedelovanju sistema oziroma izpadih lažje predvidi vzrok, ali gre za strojno ali programsko opremo. Pri strojni opremi (strežnikih) bi tako z vpeljavo meritvenih metrik (kazalnikov) bolj natančno ovrednotili učinkovitost delovanja strežnikov. Obremenjenost procesorjev strežnikov se izvaja preko aplikacije, kjer se spremlja le trenutna obremenjenost. Z definirano metriko obremenjenosti procesorjev pa bi povečane obremenitve 61 sistemsko beležili – odstopanje od dovoljenega/na časovno enoto, kar bi bilo zajeto v dnevnih oziroma mesečnih poročilih ter predmet nadaljnjih analiz učinkovitosti delovanja. Prav tako bi za vso IKT opremo po organizacijskih enotah, kjer za opremo odgovarjajo IKT skrbniki, izdelali metrike, po katerih bi vrednotili uspešnost oziroma učinkovitost delovanja posamezne opreme. Z vpeljano metriko – kazalnikom bi merili število okvar na opremi v določenem časovnem obdobju, nakar bi obdobna poročila analizirali, pri čemer bi prišli do rezultata, cilja izmerjene učinkovitosti ter tako lažje predvideli morebitno zamenjavo opreme ki ne zadovoljuje normativov učinkovitega delovanja. Glede na specifičnost opreme, bi za primer računalnikov – delovnih postaj vpeljali kazalnike, s katerim bi merili učinkovitost delovanja. Pri vsakem zastoju oziroma okvari bi ustvarili zapis o vrsti in težavnosti okvare (glede na sanacijo), vzroku okvare (neznan, nepooblaščen poseg, poškodba ...), garancijsko ali po garancijsko dobo ipd. Zabeleženi podatki bi bili predmeti nadaljnjih analiz, ovrednotene rezultate pa bi po izdelanem modelu glede opremo nadalje klasificirali. Help Desk bi po vzpostavljeni evidenci, ki bi lahko bila tudi dograjena obstoječa aplikacija ali nova, vršil centralni pregled nad (ne)učinkovito IKT opreme, kar bi prispevalo tudi k učinkovitejšemu razporejanju ter pri nabavi opreme. Za merjenje učinkovitosti – odzivnosti skrbnikov IKT opreme oziroma IT-ja bi v primeru okvare računalnika (delovne postaje) beležili tudi čas nedelovanja oziroma čas do ponovne vzpostavitve delovanja oziroma menjave okvarjene opreme po formuli: čas nedelovanja/obdobje (dan, mesec ...), zapisi oziroma zajeti podatki pa bi bili predmeti nadaljnjih analiz učinkovitosti delovanja, ki bi jih Help Desk glede na strateški plan neprekinjenega poslovanja upošteval v poročilu. V smislu revizije informacijskih sistemov pa je revizijsko poročilo potrditev vodstvu kakor tudi odgovornim IKT skrbnikom, da je za informacijsko varnost dobro poskrbljeno in da IT v lokalnem okolju deluje dobro, saj na podlagi podanega poročila večjih pomanjkljivosti ni bilo zaznanih. Revizorji so podali tudi manjše pripombe in priporočila, kar je vodstvo akceptiralo v celoti in pristopilo k takojšnjemu reševanju. Za zagotavljanje učinkovitega nadzora nad delovanjem strežniške in komunikacijske opreme se je vodstvo zavezalo, da na predlog revizorjev v vseh sistemskih sobah dogradi sistem za alarmiranje s toplotnimi senzorji za zaznavo preobremenitev oziroma pregrevanja. Iz primera lahko razberemo, da so revizije informacijskih sistemov zelo dobrodošle, saj s tem pridobijo tako vodstvo kakor tudi odgovorni za IT v organizaciji ter posledično prispevajo k še bolj učinkoviti varnosti in uspešnosti delovanja IT in organizacije. 62 5 ZAKLJUČEK V času hitrega razvoja informacijske tehnologije je težko slediti vsem zahtevam po varovanju informacij in sistemov. Informacijsko okolje postaja zapleteno in nevarno, širi se reprodukcija škodljivih zlonamernih programov, ki pa postajajo čedalje bolj nevarni. Uporaba varnostnih orodij je tako neobhodna in nujno potrebna. Skoraj vsakodnevno je moč zaslediti številne zlorabe varnostnih mehanizmov. Kljub razpoložljivi opremi za varovanje so nepridipravi vedno korak dlje. Vsako blago oziroma predmeti, informacije in podobno izgubljajo vrednost ali pa je sploh nimajo, če je skrb za varnost malomarna. Avtorji strokovnih člankov ugotavljajo, da se sicer tehnologija za zaščito in varnost kar uspešno kosa z zlonamernimi poskusi vdorov in kraje informacij, da pa prednostni problem zlorab postaja človeški faktor. Tako se priporoča implementacija informacijskih varnostnih politik v vsa podjetja in organizacije, pri čemer je pomembno, da ta dokument pokriva celotno področje poslovanja. Priprava celovite informacijske varnostne politike in njena uveljavitev tako pripomoreta k varovanju poslovnih procesov in informacij v organizaciji ter olajšata delo zaposlenih. Pripomore tudi k boljši informiranosti zaposlenih z varnostnimi pravili organizacije v kateri delajo. Kot odgovor na ciljno razmišljanje v prvem delu naloge lahko podamo, da je uvedba akta o informacijskem varovanju, to je IVP pomembno vplivala na izboljšanje delovnega procesa na Carinskem uradu Brežice. Po določilih IVP se je z uvedbo določenih omejitev uporabnikom IKT opreme zmanjšalo število varnostnih incidentov, okvar delovnih postaj ter zastojev delovnega procesa.Za izboljšanje informacijske varnosti je poleg napisane varnostne politike zelo pomembno tudi njeno izvajanje in spremljanje njene učinkovitosti. Pod izvajanje smatramo tudi sankcioniranje kršitev varnostne politike, saj tako dosežemo večjo učinkovitost. Z implementacijo informacijske varnostne politike v organizaciji se aktivnosti ne zaključijo. Pomembno je, da varnostno politiko prilagajamo trenutnim razmeram. Prav tako je potrebno spremljati posamezne procese oziroma njihovo skladnost z varnostno politiko. Merjenje uspešnosti in učinkovitosti IKT v organizacijah in podjetjih je možno izvajati na različne načine ter s pomočjo ustrezne IKT tehnologije. Pri formalnem merjenju gre za uporabo kvantitativnih tehnik, vključujoč uporabljene meritvene metrike vrednotenja uspešnosti oziroma učinkovitosti delovanja posameznega IKT sklopa, kar omogoča dokaj natančne rezultate. Pri neformalnem merjenju uspešnosti oziroma učinkovitosti IKT pa so uporabljeni viri raznih evidenc in poročil, ki se v nadaljnjih analizah obdelajo in podajo kot končno poročilo učinkovitosti oziroma uspešnosti. CURS merjenje uspešnosti in učinkovitosti svojih IKT sistemov izvaja s pomočjo IKT tehnologije za posamezne sklope opreme, kjer se zahteva neprekinjeno delovanje in je formalno odstopanje beleženo s pomočjo aplikacijskih 63 orodij ter podano v poročilu oddelka Help Desk, to je tudi kontaktna enotna vstopna točka za podporo zunanjim in notranjim uporabnikom. Pri analiziranju sistemov merjenja uspešnosti IKT na CURS lahko ugotovimo, da ni definiranih meritvenih metrik, po katerih bi lahko kategorizirali uspešnost oziroma učinkovitost na formalni ravni. Pri sistemih oziroma IKT tehnologiji, kjer se zahteva neprekinjeno poslovanje v skladu strategije in poslanstva CURS-a, je odstopanje od zahtevanega 100-odstotnega neprekinjenega delovanja enostavno izmeriti, pri čemer čas (ure) nedelovanja vrednotimo glede na sistem 24/7/365. Kot je bilo podano v prejšnjem poglavju, je bil Carinski informacijski sistem v letu 2010 zelo nestabilen, saj je bil povprečno nedejaven skoraj uro na dan, kar lahko ocenjujemo kot zelo kritično. Učinkovitost delovanja IKT CURS meri tudi preko evidenc informatikov, ki so predmet nadaljnjih analiz ter vrednotene v poročilu uspešnosti in učinkovitosti CURS-a. Glede na nedefinirane meritvene metrike podporne IKT opreme pa podani rezultati niso natančni, ampak predstavljajo le okvirno oceno uspešnosti oziroma učinkovitosti. Za uspešnost delovanja IKT na CURS so odgovorni IKT ter poslovni skrbniki sistemov in aplikacij, ki pa morajo med seboj sodelovati. Odgovornost se zahteva tudi od pogodbenih zunanjih izvajalcev, po organizacijskih enotah CURS-a pa so za učinkovito delovanje IKT odgovorni IKT skrbniki opreme. Določbe IVP opredeljujejo naloge in odgovornosti vseh, ki se srečujejo z IKT opremo. Pri analizi uvedbe akta IVP na CURS se je pokazalo, da se je posredno izboljšala tudi učinkovitost in uspešnost IKT, saj se je zmanjšalo število izpadov zaradi nedelovanja opreme kakor tudi število varnostnih incidentov, z izjemo delovanja CIS-a. Novejši ISO standardi družine 27000, kot so ISO/IEC 27001, ISO/IEC 27002, ISO 27003, ISO 27004, ter standard ISO/IEC 27035, po katerem je opredeljeno varnostno upravljanje incidentov, so standardi, ki skupaj s smernicami ogrodja COBIT ter priporočil dobrih praks ITIL-a zagotavljajo učinkovito informacijsko varnost, če so ustrezno vgrajeni v aktu o informacijskem varovanju – IVP. Predlagane izboljšave z vpeljavo meritvenih metrik učinkovitosti delovanja programske in strojne opreme bodo prispevale k še učinkovitejšemu oziroma uspešnejšemu delovanju IKT, saj bo na tak način omogočena tudi preventiva. Revizijska poročila, ki se obdobno izvajajo pa doprinesejo, da odgovorni za IKT kakor tudi vodstvo pridobijo vpogled v izmerjeno stanje IKT tehnologije oziroma IT-ja ter z ukrepi prispevajo k še učinkovitejši informacijski varnosti. 64 6 LITERATURA IN VIRI 1. ANDOLJŠEK, ŽIGA (2005) Ugotavljanje učinkovitosti in uspešnosti delovanja javnega sektorja. V Stanka Setnikar - Cankar (ur.): Ekonomika javnega sektorja in proračunsko financiranje. Ljubljana: Fakulteta za upravo (str. 87–111). 2. ANDOLJŠEK, ŽIGA in SELJAK, JANKO (2005) Merjenje učinkovitosti in uspešnosti javne uprave – PIPA (The Performance Indicator(s) of the Public Administration). Ljubljana: GV Izobraževanje. 3. BREZAVŠČEK, ALENKA in MOŠKON, STANE (2009) Smernice za vzpostavitev sistema za upravljanje informacijske varnosti v organizaciji, Nove tehnologije, novi izzivi. 28. Mednarodna konferenca o razvoju organizacijskih znanosti, 25.–27. marec 2009, Moderna organizacija, Portorož, 2009, str. 202–209. 4. Carina. si (2009): Glasilo Carinske uprave Republike Slovenije, (02/2009, št. 14) 5. Carinska uprava Republike Slovenije: Brezpapirno poslovanje v carinski službi. Dostopno prek: http://www.carina.gov.si/si/novosti/sektor_za_carinske_in_davcne_postopke/brezpapir no_poslovanje_v_carinski_sluzbi (01.07.2012). 6. Carinska uprava Republike Slovenije: E-poslovanje. Dostopno http://www.carina.gov.si/si/informacije/podjetja/e_carina/e_poslovanje (01. prek: 07. 2012). 7. CIGLARIČ, MOJCA (2007) Varno obnašanje uporabnikov v omrežnem okolju. V Uroš Pinterič in Uroš Svete (ur.): Elektronsko upravljanje in poslovanje v službi uporabnika. Ljubljana: Fakulteta za družbene vede (177–191). 8. COBIT. Dostopno prek: http://www.isaca.org/Knowledge- Center/cobit/Pages/Downloads.aspx (01. 07. 2012). 9. CURS (2008) Slovenska carina v letu 2007. Dostopno prek: http://intraadm.curs.sigov.si/fileadmin/curs.gov.si/pageuploads/Katalog_inf_javn_znac/Dokumen ti/CURS_letno_porocilo_2007.pdf (01. 07. 2012). 10. CURS (2009) Slovenska carina v letu 2008. Dostopno prek: http://intraadm.curs.sigov.si/fileadmin/curs.gov.si/internet/Publikacije/Letno_porocilo_2008_SL O.pdf (01.07.2012). 65 11. CURS (2010) Slovenska carina v letu 2009. Dostopno prek: http://intraadm.curs.sigov.si/fileadmin/curs.gov.si/internet/Publikacije/Letno_Porocilo_2009_SL O.pdf (01. 07. 2012). 12. CURS (2011): Slovenska carina v letu 2010. Dostopno prek: http://intraadm.curs.sigov.si/fileadmin/curs.gov.si/internet/Publikacije/Letno_porocilo_2010__S LO.pdf (01. 07. 2012). 13. CURS (2012): Slovenska carina v letu 2011. Dostopno prek: http://intraadm.curs.sigov.si/fileadmin/curs.gov.si/internet/Publikacije/Letno_porocilo_2011__S LO.pdf (01. 07. 2012). 14. CVELBAR, BRANKO (2012) Register tveganj kot nadzorna plošča upravljanja informacijske varnosti. Dostopno prek: www.fvv.uni-mb.si/IV-2012- 01/zbornik/Cvelbar.pdf (01. 08. 2012) 15. GROZNIK, ALEŠ in LINDIČ JAKA (2004) Elektronsko poslovanje. Ljubljana: Ekonomska fakulteta. 16. HAJTNIK, TATJANA (2002) Priporočila za pripravo informacijske varnostne politike. Ljubljana: Center Vlade RS za informatiko. 17. HÖNE, KARIN in ELOFF, J.H.P. (2002) Information security policy – what do international standards say?, Computers & Security. 2002, št.:21, str: 402–409. 18. Housing Co.d.o.o. Standardi sistemov za upravljanje varovanja informacij. Dostopno prek: http://www.housing.si (01. 08. 2012). 19. Housing Co.d.o.o. Upravljanje z informacijsko varnostjo. Dostopno prek: http://www.housing.si/sl/ISMS_vpeljava/ (01. 08. 2012). 20. Information security Comunity portal (2012) Latest ISO 27001 and ISO 27002 FAQ. Dostopno prek: http://www.17799.com/ (01. 08. 2012) 21. ITGI. (2008) IT Governance Global Status Report 2008. IT Governance Institute. Dostopno prek: http://www.itgi.org/Template_ITGI7ee9.html?section=News_Releases 22. ITIL. Dostopno prek: http://www.itgovernance.co.uk/itil.aspx#1 (01. 08. 2012). 23. ITIL’s dressed for the corner office. Dostopno prek: http://blog.lontra.com/weblog/2007/06/index.html (01. 08. 2012). 24. IVPCURS. (2008): Informacijska varnostna politika Carinske uprave Republike Slovenije. Ljubljana: Carinska uprava RS. 25. JERMAN BLAŽIČ, BORKA (2001) Elektronsko poslovanje na internetu. Ljubljana: Gospodarski vestnik. 66 26. JURIČ, MATJAŽ in PUŠNIK MAJA (2007) Informatika v medijih II. Zbrano gradivo za 2. letnik univerzitetnega študija medijskih komunikacij, 2. dop. izd. Maribor: Fakulteta za elektrotehniko, računalništvo in informatiko, Inštitut za informatiko. 27. KOVAČIČ, ANDREJ, GROZNIK, ALEŠ in RIBIČ, MIROSLAV (2005) Temelji elektronskega poslovanja. Ljubljana: Ekonomska fakulteta. 28. KRAJNC, BOŠTJAN (2007) Pomen in vloga informacijskih portalov za upravljanje znanja. Organizacija znanja, letnik 12, zvezek 1. str. 4–8. Maribor: Inštitut informacijskih znanosti. 29. KRIČEJ, DUŠAN (2002) E-uprava na dlani. Ljubljana: Založba Pasadena. 30. KRSTOV, LJUPČO in ŠINKOVEC URŠA (2007) Relations between business strategy, business models and e-business applications. V: Aurer, B. (ur.), Bača, M. (ur.). International Conference on Information and Intelligent Systems. Varaždin: Faculty of Organization and Informatics. 31. KRSTOV, LJUPČO et al. (2005) Organization knowledge management portal as internet business model. V: Trajkovska, G. Predizvicite na novata ekonomija. Prilep: Univerzitet "Sv. Kliment Ohridski": Ekonomski fakultet, str. 164–165. 32. KUMAR, PANKAJ (2010) Data Security 2010: Lessons learned from 2009 and how to move your Internet Retail business into the future. Dostopno prek: http://blog.ignify.com/2009/12/03/data-security-2010-lessons-learned-from-2009-andhow-to-move-your-internet-retail-business-into-the-future/#comments (02. 11. 2011). 33. LEMIČ, JANEZ (2011) ISO/IEC 27001:2005 Sistemi vodenja varovanja informacij. Dostopno prek: http://www.siq.si/ocenjevanje_sistemov_vodenja/storitve/sistemi_vodenja_varovanja_ informacij/index.html (6. 8. 2012). 34. LESJAK, BENJAMIN (2004) Vpeljava elektronskega poslovanja med strankami v sodnem procesu s prototipno rešitvijo. Dostopno prek: http://www2.arnes.si/~blesja2/raziskave/mag.htm#_Toc64364147 (01. 08. 2012). 35. LESJAK, DUŠAN in SULČIČ, VIKTORIJA (2004) Ekonomika elektronskega poslovanja. Koper: Fakulteta za management. 36. Ministrstvo za javno upravo (2006) Akcijski načrt e-uprave do leta 2010 AN– 2007/2010. Dostopno prek: http://e-uprava.gov.si/eud/e-uprava/akcijski_nacrt_e- uprave_2010_1.pdf (6. 8. 2012). 67 37. Ministrstvo za javno upravo (2006) Strategija e-uprave Republike Slovenije za obdobje 2006 do 2010 (SEP-2010). Dostopno prek: http://e-uprava.gov.si/eud/euprava/sep2010_200406_1.doc (6. 8. 2012). 38. Ministrstvo za javno upravo (2010) Akcijski načrt elektronskega poslovanja javne uprave od 2010 do 2015 (AN SREP). Dostopno prek: http://www.mju.gov.si/fileadmin/mju.gov.si/pageuploads/SOJP/PDF/AN-SREP_080410.pdf (6. 8. 2012). 39. Ministrstvo za javno upravo: Overitelj digitalnih potrdil na Ministrstvu za javno upravo. Dostopno prek: http://www.si-ca.si/index.php (6. 8. 2012). 40. MJU (2008): Akcijski načrt elektronskega poslovanja javne uprave SREP 2010–2015. Dostopno prek: http://www.mju.gov.si/fileadmin/mju.gov.si/pageuploads/SOJP/PDF/AN-SREP_080410.pdf (01.08.2012). 41. PEVZNER, BORIS (2007) ITIL v3 – Building a successful IT service delivery organization brick by brick, with the Service Portfolio as the cornerstone. Dostopno prek: http://blog.lontra.com/weblog/2007/06/index.html (10.08.2012) 42. PFLEEGER, CHARLES P (2006) Security in Computing, Prentice. Shari Lawrence Pfleeger Hall PTR, 4. Izdaja. 43. PINTERIČ, UROŠ in GRIVEC, MALČI (2007) Informacijsko komunikacijske tehnologije v sodobni družbi: multidisciplinarni pogledi. Nova Gorica: Fakulteta za uporabne družbene študije. 44. PINTERIČ, UROŠ in SVETE, UROŠ (2007) Elektronsko upravljanje in poslovanje v službi uporabnika. Ljubljana: Fakulteta za družbene vede. 45. PLEVNIK, RONY (2012) S pomočjo najboljših praks do standarda za upravljanje IT–storitev. Normacom PLUS d.o.o. Dostopno prek: http://www.normacomplus.si/sl/s-pomocjo-najboljsih-praks-do-standarda-zaupravljanje-it-storitev (2. 8. 2012). 46. PODLOGAR, MATEJA (2002) Model dejavnikov elektronskega poslovanja v procesu oskrbovanja, Maribor, Fakulteta za organizacijske vede Univerze v Mariboru. 47. POLLARD, CAROL in CATER-STEEL, AILEEN (2009) Justification, Strategies, and Critical Success Factors in Successful ITIL Implementations in US and Australian Companies, An Exaplantory Study. Information Systems Management, št. 26, str. 164–175. 68 48. Price Waterhouse Coopers (2010) ISBS-Information Security Breaches Survey 2010. Dostopno prek: http://www.pwc.co.uk/audit-assurance/publications/isbs-survey- 2010.jhtml (03. 07. 2012). 49. ROBIČ, ERIK (2010) IT uporabnike v vašem podjetju obravnavajte kot kupce. Iteron.si. Dostopno prek: http://www.iteron.si/it-uporabnike-v-vasem-podjetju- obravnavajte-kot-kupce.html (01.08.2012) 50. Strategija razvoja elektronskega poslovanja ter izmenjave podatkov iz uradnih evidenc – SREP. Dostopno prek: http://zakonodaja.gov.si/rpsi/r04/predpis_STRA54.html (01.08.2012) 51. SVETE, UROŠ in PINTERIČ, UROŠ (2008) E-država: upravno-varnostni vidiki. Nova Gorica: Fakulteta za uporabne družbene študije. 52. ŠTRAKL, MARJAN (2003) Varnostna politika informacijskega sistema. Brdo pri Kranju: Štirinajsta delavnica o telekomunikacijah –VITEL. 53. THE ISO/IEC 27000 FAMILY OF INFORMATION SECURITY STANDARDS. Dostopno prek: http://www.itgovernance.co.uk/iso27000-family.aspx (01.08.2012). 54. TURLE, MARCUS (2009) Data security: Past, present and future. let. 2009, št. 25, str. 51–58. 55. Uredba o upravnem poslovanju (UUP), Ur. l. RS št. 20/2005, 106/2005, 30/2006, 86/2006, 32/2007, 63/2007, 115/2007 (122/2007 popr.), 31/2008, 35/2009, 58/2010, 101/2010. Dostopno prek: http://www.uradni-list.si/1/objava.jsp?urlid=200520&stevilka=690 (01. 08. 2012). 56. VOGRINC, JANEZ (2008) Kvalitativno raziskovanje na pedagoškem področju. Ljubljana: Pedagoška fakulteta. 57. Wikipedija (2012) ISO/IEC 27001. Dostopno prek: http://en.wikipedia.org/wiki/ISO/IEC_27001 (01. 08. 2012) 58. WINNIFORD, M., CONGER, S., ERICKSON-HARRIS, L. (2009) Confusion in the Ranks. IT Service Management Practice and Terminology, Information Systems Management, št. 26, str. 153–163. 59. Zakon o carinski službi ZCS (uradno prečiščeno besedilo) Ur. l. RS 103/2004. Dostopno prek: http://zakonodaja.gov.si/rpsi/r06/predpis_ZAKO4186.html (01.08.2012) 60. Zakon o elektronskem poslovanju in elektronskem podpisu (ZEPEP–UPB1) Ur. l. RS 98/2004, 61/2006. 69 Dostopno prek: http://www.uradni-list.si/1/objava.jsp?urlid=200498&stevilka=4284 (12. 12. 2011). 61. Zakon o varstvu dokumentarnega in arhivskega gradiva ter arhivih (ZVDAGA) Ur.l. RS 30/2006. Dostopno prek: http://www.uradni-list.si/1/objava.jsp?urlid=200630&stevilka=1229 (12. 12. 2011). 62. Zakon o varstvu osebnih podatkov (ZVOP-1-UPB1), Ur. l. RS št. 94/2007. Dostopno prek: http://www.uradni-list.si/1/objava.jsp?urlid=200794&stevilka=4690 (12. 12. 2011). 63. ZALETELJ, TINA (2006) Notranja revizija družb za upravljanje, diplomsko delo. Ljubljana, Ekonomska fakulteta. Dostopno prek: http://www.cek.ef.uni-lj.si/u_diplome/zaletelj2190.pdf (22.11.2011). 64. ŽIDANIK, MARJAN et al. (2004) Raziskava o informacijski varnosti RIV 2004. Dostopno prek: http://mid.gov.si/mid/mid.nsf/V/K27E5C33FBE14DDD0C1256FF60023AE20/$file/R IV2004.pdf (01. 08. 2012) 65. ŽURGA, GORDANA (2002) Kakovost državne uprave: Pristopi in rešitve, Fakulteta za družbene vede, Ljubljana. 70 PRILOGE Priloga 1: Usmeritvena vprašanja za izvedbo kvalitativne raziskave Priloga 2: Analiza poročil Informatike CU Brežice Priloga 3: Intervju z informatikom pred notranjo IT revizijo Priloga 1: Usmeritvena vprašanja za izvedbo kvalitativne raziskave 1. Kaj si predstavljate pod besedno zvezno informacijska varnost? 2. Kako informacijska varnost vpliva na poslovanje vaše organizacije? 3. Ali se vam zdi, da je v vaši organizaciji dovolj dobro poskrbljeno za informacijsko varnost? 4. Ali imate v vaši organizaciji dokument oziroma predpis, ki ureja področje informacijskega varovanja in če ste bili o tem seznanjeni? 5. Kaj menite, so določbe IVP dovolj jasne glede varne uporabe informacijske opreme? 6. Ali po vašem mnenju prihaja do kršitev pri uporabi informacijske opreme v smislu določb IVP? 7. Okvara informacijske opreme zaradi nepravilne uporabe predstavlja varnostni incident. Ali pri vas prihaja do takšnih primerov? 8. Ali ste kdaj kršili pravila glede uporabe informacijske opreme? 9. Kakšni so po vašem mnenju razlogi kršitev IVP pri uporabnikih, upravičeni ali morda neupravičeni? 10. Ali se vam zdi, da so določila IVP ustrezna, preveč oziroma premalo restrektivna? 11. Ali štejete uvedbo IVP na Carinski urad Brežice kot prednost ali morda kot oviro pri izvajanju delovnih procesov? 12. Kdo izvaja nadzor nad pravilno uporabo informacijske opreme in ali je bil morda že uveden kakšen disciplinski postopek? 13. Ali bi na koncu še kaj dodali? Priloga 2: Analiza poročil Informatike CU Brežice Tabela 1: Varnostni incidenti in okvare DELOVNE POSTAJE STREŽNIKI MREŽNE POVEZAVE OSTALA OPREMA APLIKACIJE 2008 160 25 90 130 87 2009 146 30 85 120 80 Vir: Interne evidence Informatike CU Brežice 2010 95 20 70 85 70 2011 ZMANJŠANJE % 39 -121 - 75,63 13 -12 - 48,00 36 -54 - 60,00 46 -84 - 64,62 44 -43 - 49,43 Priloga 3: Intervju z informatikom pred notranjo IT revizijo REPUBLIKA SLOVENIJA MINISTRSTVO ZA FINANCE CARINSKA UPRAVA REPUBLIKE SLOVENIJE GENERALNI CARINSKI URAD Sektor za informatiko http://www.carina.gov.si Šmartinska cesta 55, 1523 Ljubljana tel. 01/478 38 00, faks 01/478 39 00 [email protected] Vprašalnik ANKETA IT – CU Brežice Informatik 1.) Sistem informacijskega varovanja o Ali so zaposleni v CU BR seznanjeni z IVP? Zaposleni so seznanjeni z IVP. Seznanitev zaposlenih je bila izvedena s strani GCU – Egon Milanič, Generalni carinski urad, Sektor za informatiko dne 17. 11. 2009 na lokaciji CU Brežice. 2.) Upravljanje virov in sredstev o Kako potekajo nadgradnje programske opreme? Nadgradnje programske opreme potekajo po navodilih sektorja za informatiko, po potrebi v sodelovanju zunanjih izvajalcev (Astec). Potrebe po nadgradnjah se posredujejo sektorju za informatiko, plan nabave za celotni CU pripravita informatika. o Ali imate spisek aplikativnih skrbnikov v vaši CU? Imamo. o Kako informatiki na CU BR zagotavljate, spremljate, oziroma podpirate IT uporabnike (z informacijsko opremo in programi)? Informatika uporabnikom nudiva asistenco pri uporabi IT tehnologije. V primeru težav z dostopi do posameznih aplikacij, ponastavitvah gesel, ob nedelovanju in prekinitvah nudiva asistenco ter odpravljava napake. V primeru tehničnih okvar okvarjeno opremo zamenjava ter vzpostaviva delovanje. O vsem vodiva evidenco. 3.) Zagotavljanje varnega okolja (Poglavje 5, IVP) o Kdo vam dodeljuje posebne dostopne in administrativne pravice? Dostopne administratorske pravice nam informatikom dodeljuje GCU. o Ali imate v CU BR opredeljena upravna, davčna ali druga varnostna območja? Imamo. Na CUBR se srečujemo predvsem s tajnimi podatki stopnje INTERNO, zato je za vse poslovne prostore carinske službe s sklepom generalnega direktorja vzpostavljeno upravno območje. Dokumenti z oznako davčne tajnosti se hranijo v zaklenjenih omarah, ki so označene z oznako DT. Gradivo in dokumenti, katerih narava je višja stopnja zaupnosti, se hranijo v posebnih železnih omarah ozirom sefih glede na zahtevo hrambo. o Ali v vaši CU zagotavljate neprekinjeno napajanje in uporabljate podporni program NetWision za UPS (naprava za neprekinjeno napajanje)? Neprekinjeno napajanje je zagotovljeno preko UPS sistemov, ter dizelskih agregatov po vseh lokacijah CU Brežice. − Katera vrsta naprave za neprekinjeno napajanje je v uporabi (proizvajalec, model, verzija, tip, vrsta vrat/port)? Vse UPS naprave in agregate vzdržuje in upravlja upravnik. Informatika skrbiva za obveščanje upravnika o motnjah delovanja ter izpadih. • Ali obstoja oz, uporabljate nestandardno HW, SW? NE. 4) Kako je zagotovljena zaščita pred zlonamerno programsko kodo? Strežniki, kakor tudi vse delovne postaje imajo nameščen antivirusni program SOPHOS, ki se samodejno posodablja. Zaščita3 se izvaja tudi s požarnim zidom (HKOM), ki se nahaja v sistemski sobi skupaj s strežniki. • na delovnih postajah nameščena protivirusna programska zaščita – Sophos Endpoint Security and Control, na prenosnikih tudi ISS Desktop Protector, • za spremljanje prisotnosti zlonamerne programske kode sta zadolžena informatika, ki sta o morebitni ogroženosti obveščena preko poštnega predala [email protected] in v takem primeru opravita tudi t. i. »čiščenje«, • pri zaposlenih, redno izvajan protivirusni pregled prenosnih medijev, ki jih uporabljajo (uporabniki so seznanjeni, da morajo pred uporabo prenosnih medijev, le-te sami pregledati s programom Sweep). o Ali se pri kakšni aplikaciji izvajajo postopki izdelave varnostnih kopij podatkov DA. − Če da, pri katerih? Sistem za prepoznavo registrskih tablic, Aplikacija SPIS, Podatkovni-strežniki po posameznih lokacijah – varnostne kopije se vršijo preko skupne tračne knjižnice in hranijo na kasetah. o Kako ravnate z mediji, na katerih so varnostne kopije podatkov? Letni in mesečni arhivi na kasetah se hranijo na drugi lokaciji v ločenem prostoru v ognjevarni omari. o Kako se dodeljujejo dostopne in uporabniške pravice? Dostopne in uporabniške pravice se uporabnikom dodeljujejo na podlagi odredbe direktorja oziroma vodje organizacijske enote za posameznega uslužbenca glede na njegovo razporeditev. o Ali vodite evidenco izpadov IKT opreme ? Izpade oziroma okvare IKT opreme evidentiramo in posredujemo v vednost Help Desk-u v mesečnih poročilih. o Kako evidentirate morebitne IKT izpade, oziroma okvare, komu poročate o njih Izpade oziroma okvare IKT opreme evidentiramo v mesečnih poročilih. Če gre za izpad povezav prekinitev, potem se obvesti skrbnika (Telekom, AStec ...) . V primeru okvar IKT opreme (delovne postaje, monitorji, strežniki ...itd.) pa o tem obvestimo pooblaščenega serviserja in HD. Vse okvare opreme ki je poslana na servis je evidentirana v aplikaciji Lotus Notes. 5.) Obvladovanje dostopov o Kdo dodeljuje administrativne dostopne in uporabniške pravice? Po odredbi direktorja na predlog vodje se uporabniku dodeli ustrezen uporabniški profil glede na delovno mesto, ki ga opravlja. Dostopne pravice v objekte kakor tudi dostope do uporabniškega profila na delovnih postajah dodeli informatik oziroma IKT skrbnik. Dostope v informacijski sistem ter aplikacije pa dodeljuje generalni Carinski urad po posredovanem zahtevku iz carinskega urada. o Kako je v CU BR zagotovljeno upravljanje z dostopnimi pravicami in gesli ? Vstopi v objekte so varovani. Vstop je mogoč s kartico. Za posameznega uporabnika glede na delovno mesto dostope kreira informatik po odobritvi direktorja. Vsi dostopi so beleženi v sistemu TIME – Space (Špica). Dostopi do informacijskih sistemov in aplikacij so prav tako preko uporabniškega imena in gesla.
© Copyright 2024