Dokument

FAKULTETA ZA INFORMACIJSKE ŠTUDIJE
V NOVEM MESTU
MAGISTRSKA NALOGA
ŠTUDIJSKEGA PROGRAMA DRUGE STOPNJE
JANKO PETAN
FAKULTETA ZA INFORMACIJSKE ŠTUDIJE
V NOVEM MESTU
MAGISTRSKA NALOGA
VPLIV INFORMACIJSKE VARNOSTNE POLITIKE
NA UČINKOVITO DELOVANJE IKT OPREME:
PRIMER CARINSKEGA URADA
Mentorica: izr. prof. dr. Nadja Damij
Novo mesto, december 2012
Janko Petan
IZJAVA O AVTORSTVU
Podpisani Janko Petan, študent FIŠ Novo mesto, v skladu z določili statuta FIŠ izjavljam:




da sem magistrsko nalogo pripravljal samostojno na podlagi virov, ki so navedeni v
magistrski nalogi,
da dovoljujem objavo magistrske naloge v polnem tekstu, v prostem dostopu, na
spletni strani FIŠ oz. v digitalni knjižnici FIŠ (obkroži odločitev):
o takoj,
o po preteku 12 mesecev po uspešnem zagovoru,
o ne dovoljujem objave na spletni strani oz. v elektronski knjižnici FIŠ zaradi
prepovedi organizacije, v sklopu katere je bil pripravljen empirični del naloge.
da je magistrska naloga, ki sem jo oddal v elektronski obliki identična tiskani verziji,
da je magistrska naloga lektorirana.
V Novem mestu, dne _________________ Podpis avtorja: ________________________
POVZETEK
Izraz informacijska varnostna politika povzema široko področje informacijskega varovanja.
Ranljivost sistemov in aplikacij se v novodobnem času internetne tehnologije in elektronskega
poslovanja z izmenjavo dokumentov, podatkov in informacij povečuje. Uspešna in učinkovita
informacijska tehnologija predstavlja predpogoj za varno elektronsko poslovanje tudi na
CURS. Cilj implementacije akta o informacijskem varovanju v delovno okolje je
zagotavljanje varnega, neprekinjenega in učinkovitega poslovanja s čim manj varnostnih
incidentov oziroma okvar. Akt poleg navodil, postopkov in omejitev opredeljuje tudi tveganja
za posredno vzpostavljanje zaščite, pri čemer gre poudarek tudi revidiranju informacijskih
sistemov za doseganje večje učinkovitosti in varnosti.
KLJUČNE BESEDE: Carinska uprava RS, elektronsko poslovanje, informacijska varnost,
Help Desk, ISO standardi, IT revizija
ABSTRACT
The phrase information security policy summarizes the wide range of information security.
Vulnerability of systems and applications is particularly evident in modern day time
electronic commerce, where companies share a number of documents, data and information
online. Effective and efficient information technology is a precondition for secure electronic
commerce even at Custom Administration of the Republic of Slovenia. The objective of the
implementation of Information Protection Act in the workplace is to provide uninterrupted
and efficient operation with a minimum of security incidents and malfunctions. In addition to
guidance, standards and limits the act defines the risk of indirect defense establishment, where
importance is given to auditing of information systems to achieve greater efficiency and
safety.
KEY WORDS: Custom Administration of the Republic of Slovenia, e-commerce,
information security, Help Desk, ISO standards, IT audit
KAZALO
1 UVOD ......................................................................................................................................... 1
1.1 Predstavitev proučevanega problema ................................................................................ 1
1.2 Raziskovalna vprašanja ...................................................................................................... 2
1.3 Metodologija raziskave ...................................................................................................... 3
1.3.1 Cilji raziskovalne magistrske naloge ....................................................................... 4
1.3.2 Aktivnosti ................................................................................................................... 5
1.3.3 Pričakovani rezultati raziskave................................................................................ 5
1.4 Predstavitev poglavij .......................................................................................................... 6
2 INFORMACIJSKA TEHNOLOGIJA IN VARNOST ............................................................ 7
2.1 Informacijsko komunikacijska tehnologija ....................................................................... 7
2.2 Elektronsko poslovanje ...................................................................................................... 7
2.2.1 Zakonodaja na področju e-poslovanja, varovanja podatkov in informacij ........ 11
2.2.2 Poslovni modeli v elektronskem poslovanju.......................................................... 11
2.2.3 Opredelitev portalov ............................................................................................... 13
2.2.4 Portali za upravljanje in organizacijo znanja ...................................................... 15
2.2.5 Portali za e-poslovanje ........................................................................................... 17
2.2.6 Spletni portal SICIS – Carinski informacijski sistem ........................................... 19
2.3 Uspešnost in učinkovitost IKT ......................................................................................... 21
2.3.1 ITIL .......................................................................................................................... 22
2.3.2 COBIT ...................................................................................................................... 25
2.3.3 ISO standardi .......................................................................................................... 26
2.4 Vpliv delovanja IKT na učinkovitost organizacije ......................................................... 29
2.5 Revidiranje informacijskih sistemov ............................................................................... 30
2.6 Informacijska varnost ....................................................................................................... 32
2.7 Informacijska varnostna politika...................................................................................... 35
3 PREDSTAVITEV OBSTOJEČEGA STANJA ..................................................................... 38
3.1 Predstavitev organizacije .................................................................................................. 38
3.2 Strukturni pregled obstoječega akta IVP CURS ............................................................. 44
3.2.1 Namen vzpostavitve IVP na CURS ......................................................................... 45
3.2.2 Odgovornosti v sistemu informacijskega varovanja ............................................. 46
3.2.3 Področja, ki jih pokriva IVP CURS-a .................................................................... 46
3.2.4 Poslovni in IKT skrbniki ......................................................................................... 47
4 VPLIV IVP NA DELOVANJE IKT OPREME PRI ZAGOTAVLJANJU
INFORMACIJSKE VARNOSTI ....................................................................................... 48
4.1 Analiza uvedbe IVP .......................................................................................................... 49
4.2 Analiza ter rezultati raziskave .......................................................................................... 50
4.2.1 Oddelek za centralno pomoč uporabnikom – Help Desk ..................................... 50
4.2.2 Analiza kvalitativne raziskave ................................................................................ 53
4.2.3 Analiza poročil IKT skrbnikov ............................................................................... 57
4.2.4 Analiza revizijskih poročil ...................................................................................... 58
4.3 Kritični pregled uspešnosti ............................................................................................... 59
4.4 Predlog izboljšav ............................................................................................................... 60
5 ZAKLJUČEK ........................................................................................................................... 63
6 LITERATURA IN VIRI .......................................................................................................... 65
PRILOGE
KAZALO GRAFOV
Graf 2.1: Uporaba najpogostejših okvirov ter rešitev za upravljanje IT ................................... 26
Graf 2.2: Primeri varnostnih incidentov ...................................................................................... 34
Graf 4.1: Varnostni incidenti ........................................................................................................ 57
Graf 4.2: Varnostni incidenti in okvare 2008 – 2011 ................................................................. 58
KAZALO SHEM
Shema 2.1: Oblike e-poslovanja .................................................................................................... 9
Shema 2.2: Celostni poslovni portal podjetja in poslovni portal znanja ................................... 16
Shema 2.3: Grafični prikaz procesov v ITIL v 3. ....................................................................... 23
Shema 2.4: Razvoj standarda BS 7799 ........................................................................................ 27
Shema 2.5: Povezava med celovitostjo, zaupnostjo in razpoložljivostjo .................................. 33
Shema 2.6: Demingov krog .......................................................................................................... 37
Shema 3.1: Organizacijska struktura Carinskega urada Brežice ............................................... 41
Shema 3.2: Hierarhična struktura dokumentov ........................................................................... 45
Shema 4.1: Paradigmatski model ................................................................................................. 55
Shema 4.2: Razširjen paradigmatski model ................................................................................ 56
KAZALO SLIK
Slika 2.1: Portal SICIS .................................................................................................................. 20
Slika 3.1: Carinski uradi in izpostave .......................................................................................... 40
Slika 4.1: Help Desk aplikacija .................................................................................................... 52
KAZALO TABEL
Tabela 2.1: Primerjava med ITIL 3 in ISO 20000 ...................................................................... 24
Tabela 4.1: SWOT analiza............................................................................................................ 49
Tabela 4.2: Analiza kvalitativnega raziskovanja ........................................................................ 54
1
UVOD
Področje varovanja podatkov zajema zelo velik spekter. Varnost je beseda, ki postaja v
vsakdanjem življenju na vseh področjih čedalje bolj pomembna. Razvoj komunikacijske in
računalniške tehnologije gre zelo hitro naprej, s tem pa se povečujejo možnosti številnih
zlorab le-teh. Trend postajajo številni ceneni programi za uporabo in obdelavo podatkov ter
informacij, ki pa ne zadostijo potrebam varnosti. Sam prehod na elektronsko poslovanje
zahteva od udeležencev temeljit razmislek o zagotavljanju informacijske varnosti. Podjetja pri
svojem poslovanju uporabljajo tudi določene poslovne modele, vse s ciljem zagotavljanja čim
večje konkurenčne prednosti. Pri tem pa so posamezna podjetja ali organizacije pozabila, da
prisotnost na medmrežnih povezavah in svetovnem spletu zahteva povečano skrb za
informacijsko varnost. Tako smo priča številnim zlorabam, poneverbam, kraji ali uničenju
podatkov. Že same motnje v delovanju komunikacijske in računalniške opreme pa povzročajo
izpad poslovanja podjetja in neprecenljivo škodo. Vsa ta dejstva so uporabnike spodbudila k
razmišljanju in potrebam po povečani informacijski in računalniški varnosti, saj varovanje
podatkov zmanjšuje poslovna tveganja in prispeva k uspešnosti podjetja.
Vsaka organizacija oziroma podjetje naj bi imelo dokument oziroma akt, ki ureja politiko
varovanja. Kot primer uporabe akta o varovanju, to je informacijske varnostne politike v
organizaciji, bomo v magistrski nalogi povzeli ter analizirali ključne elemente tega krovnega
dokumenta Carinske uprave Republike Slovenije (krajše CURS 1), ki ureja politiko varovanja
ter predpisuje odgovornosti vseh udeležencev delovnega procesa po posameznih področjih.
1.1
Predstavitev proučevanega problema
Besedna zveza »informacijska varnost« povzema zelo široko področje, vendar se bomo pri
magistrski nalogi osredotočili na samo politiko varovanja, to je akt o informacijskem
varovanju ki ga imenujemo Informacijska varnostna politika (krajše IVP 2). Implementacija
IVP v organizacijo, v našem primeru na Carinski urad Brežice, sproži določene premike o
pojmovanju varnega poslovanja. Akt opredeljuje način, a katerim Carinska uprava RS izvaja
zaščito svojih informacijskih virov. Obsega varovanje in zaščito vseh poslovnih, osebnih in
1
CURS – Carinska uprava Republike Slovenije
2
IVP – Informacijska varnostna politika
1
drugače občutljivih podatkov ter informacijsko-komunikacijskih sistemov za hranjenje,
obdelavo ter distribucijo podatkov. Predstavlja okvir pri zagotavljanju informacijske varnosti
z obvezno seznanitvijo ter upoštevanjem vseh zaposlenih.
Pri vsebinski analizi dokumenta IVP bomo primerjali uporabljene standarde z novostmi na
tem področju ter podali ugotovitve. Uporabniki pri svojem vsakdanjem delu uporabljajo
številne pripomočke, neposredno in posredno povezane z informacijsko komunikacijsko
tehnologijo (krajše IKT 3).
Za pravilno in varno uporabo pa so v tej IVP opredeljena tudi podrobna navodila o pravicah
in dolžnostih uporabnikov v zvezi z varno uporabo opreme, kar od zaposlenih zahteva tudi
obvezno upoštevanje vseh določil tega akta. Pri strukturnem pregledu obstoječega akta IVP
CURS, verzije 1.0 a, ki je s potrditvijo ožjega kolegija generalnega direktorja stopil v veljavo
v letu 2008, bomo pri analizi v empiričnem delu raziskave dali poudarek na segment varne
uporabe IKT opreme in sredstev.
Predmet raziskave v empiričnem delu bo ugotavljanje, kakšen vpliv ima IVP pri zagotavljanju
informacijske varnosti v smislu učinkovitosti IKT opreme ter ali in kako vpliva na pojave
varnostnih incidentov. Za zagotavljanje informacijske varnosti pri poslovanju je za vsako
podjetje in organizacijo, ki posluje elektronsko pomembno, da sprejme oziroma implementira
akt o informacijskem varovanju in z njim seznani vse zaposlene. Za pojasnitev raziskovalnega
problema bomo izvedli pol strukturirani intervju s skrbnikom IKT opreme – informatikom, ki
dobro pozna tudi področje informacijske varnosti, pri čemer bomo uporabili tudi poročila o
zabeleženih varnostnih incidentih na Carinskem uradu Brežice v določenem obdobju. Kot
drugi vir pa bodo uporabljeni podatki ter ugotovitve notranje revizijske službe, ki so bili
pridobljeni ter predstavljeni po izvedenem revizijskem pregledu področja informacijske
varnosti na Carinskem uradu Brežice v letu 2011.
1.2
Raziskovalna vprašanja
Raziskovalno vprašanje se nanaša na temo informacijskega varovanja, informacijsko
varnostno politiko, ki je implementirana v delovnem okolju:
Kako vpliva IVP na delovanje IKT pri zagotavljanju informacijske varnosti na Carinskem
uradu? Ali IVP vpliva na pojave varnostnih incidentov oziroma na delovni proces?
3
IKT – Informacijsko komunikacijska tehnologija
2
Domneve za dokaz glavnega raziskovalnega vprašanja:
•
H1: Informacijska varnostna politika pripomore k učinkovitejšemu delovanju IKT
opreme, ker predpisuje zaščitne varnostne kontrole ter omejitve.
•
H2: Informacijska varnostna politika pripomore k izboljšanju delovnega procesa
zaradi zmanjšanja pojavov varnostnih incidentov ter okvar.
•
H3: Za informacijsko varnost na Carinskem uradu Brežice je dobro poskrbljeno, saj se
IVP izvaja v vseh ključnih segmentih.
1.3
Metodologija raziskave
Teoretične razlage in zaključke bomo uporabili kot podlago pri analiziranju stanja
informacijske varnosti na praktičnem primeru implementiranega akta o informacijskem
varovanju - IVP na Carinskem uradu Brežice. Struktura magistrske naloge temelji na
deduktivni metodi, saj se z začeto splošno razpravo o informacijsko komunikacijski
tehnologiji postopoma spuščamo konkretiziramo področja informacijskega varovanja.
Pričetek izvedbe kvalitativne raziskave bo vseboval več sklopov. Po preučitvi relevantne
literature iz raziskovanega področja informacijskega varovanja oziroma informacijske
varnostne politike bomo za pojasnitev raziskovalnega področja opravili intervju s skrbnikom
računalniške in informacijsko komunikacijske opreme– lokalnim administratorjem. Glede na
področje raziskovanja bomo izbrali kandidata, ki bi nam lahko glede na specifično področje
podal največ informacij glede na problem, ki ga raziskujemo, se pravi administrator –
informatik Carinskega urada. Predhodno si bomo glede na zastavljeno problematiko
raziskovanja pripravili nekaj usmeritvenih vprašanj. Intervjuvancu bomo zastavljali tudi
podvprašanja, s katerimi ga bomo usmerjali, da pridemo do želenih informacij. Po izdelavi
transkripta bomo opravili nadaljnjo analizo ter povzeli ključne ugotovitve.
Drugi segment raziskovanja bo izveden s pomočjo analize obsežnejšega revizijskega poročila
o izvajanju in zagotavljanju informacijske varnosti in informacijske varnostne politike, ki je
bilo posredovano po opravljeni notranji reviziji na Carinskem uradu Brežice, pri čemer so vir
analiziranih podatkov tudi beležena poročila oziroma evidence varnostnih incidentov.
Revizijsko poročilo zajema vse segmente informacijskega varovanja, ki jih opredeljuje akt
IVP CURS-a
oziroma podaja mnenje o stanju informacijske varnosti glede na pregled
vzpostavljenih varnostnih kontrol po carinskih uradih. Na podlagi primerjalnega raziskovanja
bodo podani zaključki za odgovor na raziskovalna vprašanja oziroma potrditev postavljenih
3
hipotez, kjer bo uporabljena tudi kombinacija induktivne in deduktivne raziskovalne metode.
Empirični del bo tako izhajal iz metode študije primera v realnem okolju.
Sledila bo analiza zbranih podatkov za potrditev domnev za dokaz glavnega raziskovalnega
vprašanja. Za potrditev domneve (H1), ali informacijska varnostna politika pripomore k
učinkovitejšemu delovanju IKT opreme, ker predpisuje zaščitne varnostne kontrole ter
omejitve, bomo analizirali sam Akt o informacijskem varovanju CURS, kjer bomo preverjali
ustreznost glede na varnostne standarde na katerih naj bi akt temeljil. Tu so mišljene
predvsem vgrajene varnostne kontrole in omejitve. Posledično je moč sklepati, da ob
ustreznosti vpeljanih varnostnih kontrol IKT deluje učinkoviteje, kar bomo preverjali s
poročili o beleženih varnostnih incidentih ter izvedeni analizi in poročilom izvedene notranje
IT revizije. Za dodatno pojasnitev pa bomo uporabili tudi rezultate kvalitativnega
raziskovanja z izvedbo polstrukturiranega intervjuja s skrbnikom informacijskega varovanja –
informatikom Carinskega urada Brežice, ki ima tudi celoten pregled nad stanjem IKT opreme.
Iz poročil in analiz bomo preverjali tudi domnevo H2, ki predpostavlja, da informacijska
varnostna politika posredno pripomore k izboljšanju delovnega procesa zaradi zmanjšanja
pojavov varnostnih incidentov ter okvar. Za potrditev domneve H3 ki predpostavlja, da je za
informacijsko varnost na Carinskem uradu Brežice dobro poskrbljeno ter da se IVP izvaja v
vseh ključnih segmentih, pa bomo prav tako uporabili rezultate izvedenih analiz ter poročilo
notranje revizijske službe. Na tak način so preverjane vzpostavljene varnostne kontrole, s
katerimi preverjamo tudi domnevo o izvajanju akta IVP. Akt IVP v zaključnem delu tudi
določa, da morajo biti z aktom seznanjeni vsi zaposleni, in to je bil tudi predmet
notranjerevizijskega poročila, s katerim bomo H3 tudi pojasnjevali. Za odgovore oziroma
pojasnjevanje postavljenih hipotez bomo pozornost namenili tudi letnim poročilom CURS, za
katera se vsako leto po standardni metodologiji zbirajo določeni podatki s trendi in kazalci
učinkovitosti tudi za področje IKT tehnologije. Uporabljeni bodo uradni podatki od leta 2008
do leta 2011, zbrani v poročilih CURS-a.
1.3.1
Cilji raziskovalne magistrske naloge
Cilji raziskovalne magistrske naloge so naslednji:
•
Strukturni pregled obstoječega akta IVP CURS-a, ki je stopil v veljavo v letu 2008, s
poudarkom na segmentu zagotavljanja varnega delovnega okolja, varne uporabe IKT
opreme in sredstev, ter pregledu vgrajenih standardov oziroma uporabljenih smernic in
4
ogrodij področja informacijskega varovanja. Ugotoviti ustreznost uporabljenih
standardov in smernic, na katerih temelji akt IVP CURS-a glede na novejše standarde.
•
Ugotoviti, kakšen vpliv ima akt – IVP CURS-a na delovanje IKT opreme pri
zagotavljanju učinkovite informacijske varnosti na Carinskem uradu Brežice.
1.3.2
Aktivnosti
Aktivnosti, ki jih je potrebno izvesti za izdelavo magistrske naloge:
•
Preučitev tuje in domače strokovne literature področja raziskovanja, informacijsko
komunikacijske tehnologije, elektronskega poslovanja ter področja informacijske
varnosti z uporabo informacijskih varnostnih politik.
•
Pregled ter preučitev novejših ISO standardov ter smernic ki jih vključujejo
informacijske varnostne politike.
•
Vsebinski pregled akta o informacijskem varovanju – Informacijska varnostna politika
CURS-a ter preučitev vgrajenih standardov.
•
Pričetek izvedbe kvalitativne raziskave bo vseboval več sklopov.
o Izvedba pol strukturiranih intervjujev s predhodno pripravo usmeritvenih
vprašanj,
o Izdelava transkriptov ter analize s povzetkom ključnih ugotovitev.
•
Drugi segment raziskovanja bo izveden s pomočjo analize obsežnejšega revizijskega
poročila o izvajanju in zagotavljanju informacijske varnosti in informacijske varnostne
politike, ki je bilo posredovano po opravljeni notranji reviziji CURS-a na Carinskem
uradu Brežice.
•
Poročila ter analize evidenc lokalnih informatikov za preverjanje postavljenih domnev
za odgovore na raziskovalna vprašanja.
1.3.3
Pričakovani rezultati raziskave
Informacijska varnost je za vsako organizacijo ali podjetje ključnega pomena, zato je
pomembno, da so informacije in podatki varno shranjeni, dostopni le tistim, katerim so
namenjeni. Tako ima CURS implementiran akt o informacijskem varovanju, to je
Informacijska varnostna politika, s katerim ureja politiko informacijskega varovanja.
Pričakovati je, da ima tako CURS kakor tudi notranjeorganizacijske enote dobro varovane
podatke, saj jih za to zavezuje tudi zakonodaja. Za ustrezno informacijsko varnost ter
zagotavljanje neprekinjenega poslovanja, ki je za CURS še kako pomembno, saj delovni
5
proces poteka po sistemu 24/7/365, pa je potrebna tudi učinkovita IKT oprema, saj le na ta
način lahko pripomoremo k učinkovitejšemu delovnemu procesu, kar se tudi pričakuje.
Raziskava bo tako prinesla številne odgovore skrbnikom sistemov, vodstvu kakor tudi
zaposlenim, saj bo predstavljala koristen napotek pri nadaljnjih projektih v smislu
zagotavljanja še učinkovitejšega delovnega procesa. Pri analizi samega akta IVP pa bodo
glede na uporabljene ISO standarde predlagane dopolnitve, ki bodo vključevale novejše
standarde ter smernice ogrodja COBIT in dobre prakse ITIL-a, ki bi jih bilo smiselno vključiti
v novo – posodobljeno verzijo akta IVP.
1.4
Predstavitev poglavij
Magistrska naloga obravnava tematiko informacijskega varovanja oziroma proučuje vpliv
akta o informacijskem varovanju na učinkovitost delovanja informacijsko komunikacijske
opreme v CURS. V teoretičnem delu magistrske naloge bomo na podlagi zbranega gradiva
domačih in tujih avtorjev opredelili pojme področja IKT tehnologije, elektronskega
poslovanja, poslovnih modelov, portalov, informacijske varnosti širše ter segmente
učinkovitih novejših metod, tehnik ter standardov za zagotavljanje učinkovite informacijske
varnosti v skladu z zakonskimi določili. Za preverjanje ustreznosti izvajanja ukrepov
informacijske zaščite bomo opredelili tudi revizijo oziroma revidiranje informacijskih
sistemov. Empirični del raziskovalne naloge je deljen na več segmentov. Kot primer uspešne
uvedbe akta o informacijskem varovanju – Informacijske varnostne politike na Carinski
upravi RS – bomo za pojasnitev domnev raziskovalnega vprašanja proučili vpliv akta IVP na
učinkovitost delovanja IKT opreme in sistemov. Predstavili bomo tudi organizacijsko
strukturo ter organiziranost IT-ja na CURS-u oziroma na carinskem uradu, podrobneje pa
bomo analizirali sam akt o informacijskem varovanju IVP CURS. V poglavju 4 bo
predstavljena analiza uvedbe IVP z izdelano SWOT analizo. Rezultati kvalitativne raziskave
bodo na podlagi intervjuja ter izvedene analize predstavljeni v poglavju 4.2. Za pojasnitev
domnev raziskovalnega vprašanja pa bodo uporabljene še analize poročil IKT skrbnikov,
poročila CURS-a ter analiza revizijskega poročila. Na koncu bomo glede na rezultate
raziskave podali še predloge izboljšav ter zaključne ugotovitve.
6
2
2.1
INFORMACIJSKA TEHNOLOGIJA IN VARNOST
Informacijsko komunikacijska tehnologija
Uporaba informacijsko komunikacijskih tehnologij je pri poslovanju podjetij močno
zaznamovala način poslovanja. Živimo v času, ko se informacijska tehnologija zelo hitro
razvija. Tako postajajo informacije ključnega pomena v vsakdanjem življenju. Pomembna je
pravočasnost, točnost ter dosegljivost informacij, seveda tistim, ki so jim namenjene. Za
razpoložljivost informacij v poslovnem svetu pa skrbijo številni informacijski sistemi. Poleg
le-teh pa so za doseg želenih informacij potrebne še ostale komponente za prenos ter hrambo
informacij, vključujoč vso napredno IKT tehnologijo. Dostopno okno do informacij v
številnih podjetjih predstavljajo tako imenovani portali. Portali imajo tako pomembno vlogo
pri poslovanju organizacij, saj zagotavljajo ustrezno komunikacijo med udeleženci dobavne
verige in poslovnimi partnerji, vse to pa prispeva k večji konkurenčni prednosti.
Tudi javna uprava omogoča dostope do številnih povezav do sistemov preko portalov,
vstopnega okna, kjer uporabniki lahko pridejo do želenih informacij, pri čemer pa je to
deljeno na intranet, internet ter extranet omrežne dostope. Uslužbenci ministrstev in
organizacijskih enot dostopajo do številnih informacijskih sistemov in aplikacij, ki jih
uporabljajo preko tako imenovanih intranetnih portalov v okviru intraneta, na strani
internetnega dostopa pa so informacije na voljo zunanjim uporabnikom. Tudi CURS ima
vzpostavljeno intranet okolje, ki je dostopno preko brskalnikov znotraj Carinske uprave RS
oziroma njenih notranjih organizacijskih enot. Kot enotna vstopna točka nudi številne dostope
do informacijskih sistemov, aplikacij, elektronske pošte kakor tudi do zunanjih povezav.
2.2
Elektronsko poslovanje
Elektronsko poslovanje obsega v najširšem pomenu uporabo vseh oblik informacijske in
komunikacijske tehnologije. To se predvsem odraža pri poslovnih odnosih med
organizacijami. S tem so mišljene tako proizvodne, trgovske kakor tudi storitvene dejavnosti
predvsem pri e-oskrbovalni verigi. Pri tradicionalni oskrbovalni verigi se pojavljajo zamude
pri transformaciji informacij, posledica je prepočasno odločanje. Internet omogoča pretok v
realnem času, to pa omogoča takojšnje odzivanje. Vpeljava e-oskrbne verige omogoča
številne prednosti pri obvladovanju procesov in stroškov (Podlogar, 2002, str. 63).
7
Za posamezne uspešne rešitve elektronskega poslovanja se uporabljata IKT ter internet kot
medij, ki na novo definira razmerja med udeleženci preskrbovalne verige, to je med kupci,
prodajalci in drugimi partnerji. Tudi logistična pravila so se ob uporabi internetne tehnologije
spremenila. Z globalno dostopnostjo internet omogoča še kakovostnejše poslovanje s
povečevanjem ekonomskih rezultatov v smislu zadovoljevanja čedalje bolj zahtevnih kupcev,
seveda ob predpostavki, da je poskrbljeno za varnost na vseh nivojih. Zaključimo lahko, da
pojem elektronsko poslovanje pomeni poslovati »elektronsko«, se pravi z uporabo vse
razpoložljive informacijske in komunikacijske tehnike. Elektronsko poslovanje omogoča
poslovanje po celem svetu. Za podjetja predstavlja e-poslovanje predvsem nižje transakcijske
in administrativne stroške, boljše upravljanje s podatki, globalno dosegljivost, nove poslovne
možnosti ter krajši čas vstopa izdelka na trg; kot prednost za kupce pa lahko štejemo
neprestano izbiro med najboljšimi ponudniki oziroma primerjanjem njihovih cen.
Elektronsko poslovanje (angl. E-business) obsega v najširšem pomenu uporabo vseh oblik
informacijske in komunikacijske tehnologije v poslovnih odnosih med organizacijami in
podjetji kakor tudi ponudniki storitev, uporabniki storitev ter državno upravo. Z napredkom
razvoja predvsem na področju internetne tehnologije so podjetja prisiljena uporabljati internet
in poslovati elektronsko, v nasprotnem primeru ne zadostujejo kriterijem konkurenčnosti.
Elektronsko poslovanje predstavlja širok
pojem in obsega več segmentov. Elektronsko
poslovanje se je tako razširilo na veliko področij in ga lahko opredelimo kot:
•
elektronsko trgovanje,
•
elektronsko založništvo,
•
elektronsko zavarovalništvo,
•
delo na daljavo,
•
elektronsko poslovanje državnih in javnih služb.
•
elektronsko bančništvo in borzništvo,
•
storitve na zahtevo,
•
informacijski terminali – avtomati idr.
Kot oblike elektronskega poslovanja lahko ponazorimo še naslednjo delitev:
•
potrošnik – potrošnik (C2C),
•
notranje poslovanje (B2E),
8
•
poslovanje med podjetji (B2B),
•
poslovanje s potrošniki (B2C),
•
državna uprava – državljani (A2C),
•
državna uprava – podjetje (A2B)
(Lesjak, Sulčič, 2004, 8–10).
Pod tretjo alinejo, poslovanje državne uprave s podjetji in strankami, se je v zadnjem času
zgodil tudi velik premik v smeri elektronskega poslovanja in računalniške izmenjave
podatkov.
Internetna
računalniška
izmenjava
podatkov
(krajše
RIP 4)
imenujemo
informacijske sisteme, ki omogočajo izmenjavo elektronskih poslovnih listin med
partnerskimi podjetji oziroma organizacijami s pomočjo internetnih tehnologij. Takšni
informacijski sistemi se povezujejo običajno preko ekstranet omrežij. Ekstranet preko
interneta poveže intranet-e različnih podjetij. V internetnem RIP-u se za komunikacijo
uporablja standard XML. Oblike e-poslovanja lahko shematično prikažemo tudi po načinu
povezav na shemi št. 2.1.
Shema 2.1: Oblike e-poslovanja
Vir: Lesjak (2004, str. 77)
Vedno močnejši so trendi, ki temeljijo na zmanjšanju potrebne papirne dokumentacije tudi za
izvedbo carinskih postopkov, ob prehajanju na elektronsko poslovanje. Informacijska
tehnologija omogoča razvoj visoko zmogljivih informacijskih rešitev na področju hitre pošte,
transporta in ostalih postopkov v logističnih verigah. Prednosti elektronskega poslovanja so v
4
RIP – Računalniška izmenjava podatkov
9
hitri elektronski oziroma tako imenovani računalniški izmenjavi podatkov. Za elektronsko
izmenjavo podatkov pa je v smislu varnosti in integritete potrebna tudi določena tehnologija
in procedure, ki to zagotavljajo. Carina je v tej verigi vključena kot enakopraven partner,
seveda ob predhodno dogovorjenih pravilih. Povezanost in odprtost informacijskih sistemov v
spletnem okolju odpirata možnost hitrejše komunikacije z vsemi udeleženci in tako presegata
meje posamezne organizacije, pri čemer pa je tu poudarek na varni komunikaciji oziroma
izmenjavi podatkov, upoštevajoč varnostne okvire in standarde.
Carina že vrsto let omogoča svojim partnerjem elektronsko izmenjavo podatkov. Uveljavila
se je na področju vlaganja deklaracij, pri poenostavljenih postopkih, pri plačevanju in
obračunavanju trošarin in drugo. V okolju prejšnjega carinskega informacijskega sistema
(krajše SICIS 5), ki je omogočal avtomatsko obdelavo dokumentov, kontrolo in pregled nad
carinskimi postopki ter zagotavljal nadzor nad vplačevanjem carinskih in drugih dajatev je
komunikacija potekala preko RIP-a, od 01. 01. 2007 pa je CURS izvedla posodobitve.
Poslovanje s strankami je tako omogočeno preko podatkovnih struktur XML ter elektronskega
podpisa, kar pomeni, da za uspešno izvedeno transakcijo stoji sporočilo, ki je šifrirano s
pomočjo ustreznega digitalnega potrdila. Bodoči uporabnik informacijskega sistema za
elektronsko poslovanje s CURS mora tako predhodno skleniti dogovor o uporabi
informacijskega sistema za elektronsko poslovanje. V dokumentu, ki ga potrdi CURS, so
opredeljene pravice in obveznosti v sistemu za elektronsko poslovanje.
Elektronski podpis predstavlja sodobno alternativo klasičnemu podpisu, zagotavlja pa:
•
identiteto imetnika digitalnega potrdila
•
lastništvo podpisanih e-podatkov in
•
celovitost (integriteto) sporočila, kar pomeni, da samo del podatkov ni mogoče
spremeniti
ali
drugače
popraviti
brez
(vednosti)
podpisnika.
(http://www.carina.gov.si/si/e_carina/e_poslovanje/)
Elektronski podpis, kot ga določa Zakon o elektronskem poslovanju in elektronskem podpisu
(ZEPEP), je niz podatkov v elektronski obliki, v katerem so zapisane določene logične
povezave z drugimi podatki in je namenjen preverjanju pristnosti teh podatkov ter
identifikaciji podpisnika (Svete, Pinterič, 2008 str. 179).
5
SICIS – Slovenski carinski informacijski sistem
10
2.2.1
Zakonodaja na področju e-poslovanja, varovanja podatkov in informacij
V Sloveniji imamo zakonske osnove, ki urejajo področje varovanja informacij. Med
pomembnejše štejejo:
•
Zakon o elektronskih komunikacijah,
•
Zakon o elektronskem poslovanju in elektronskem podpisu (ZEPEP),
•
Zakon o varstvu osebnih podatkov,
•
Zakon o Informacijskem pooblaščencu (ZInfP),
•
Zakon o dostopu do informacij javnega značaja (ZDIJZ).
Za učinkovit pristop urejanja v zvezi z varnostjo informacij šteje tako imenovani celovit
pristop k varnosti podatkov. Kot navaja Turle, lahko posamezne faze celovitega pristopa na
primeru prenosnih računalnikov opredelimo na sledeči način:
•
IT 6 manager preuči smernice informacijskega pooblaščenca o zagotavljanju
elektronske varnosti prenosnih računalnikov.
•
Odloči se, da je potrebno osebne računalnike zaščititi s pomočjo šifriranja.
•
Izvede nakup šifrirne programske opreme.
•
Naloži administratorjem distribucijo zaščite na vse prenosne računalnike
(Turle, 2009).
Celovit pristop jemlje za izhodišče življenjski cikel informacij v celotnem podjetju in
opredelitev vseh podatkov ter varnostnih tveganj.
2.2.2
Poslovni modeli v elektronskem poslovanju
Besedna zveza poslovni model nam pove, da gre za povezavo s poslovanjem podjetja in z
modelom. Obstaja več definicij poslovnih modelov, na splošno pa jih lahko opredelimo kot
metodo, s pomočjo katere podjetja oziroma organizacije pridobivajo in uporabljajo svoje vire
pri poslovnem procesu s ciljem povečevanja konkurenčnosti. Pomembno je, da podjetje
uporabi čim primernejši poslovni model oziroma optimalno sestavo komponent za doseganje
konkurenčne prednosti. Med poslovnimi modeli v elektronskem poslovanju prevladujejo štirje
modeli:
6
IT – Informacijska tehnologija
11
•
transakcijski model,
•
oglaševalski model,
•
model naročnin,
•
servisni model.
Transakcijski model je model, ki se uporablja v glavnem med podjetji, ki se ukvarjajo z
internetno prodajo. Primer večjih podjetij, ki uporabljajo ta model, so Ebay, Bolha idr.
Oglaševalski poslovni model je model, pri katerem podjetja uporabljajo internet za prodajo
svojih proizvodov in storitev preko spletnih strani. Oglaševalski model je zelo uporaben, kot
primer so večje dveri in spletni imeniki (Lycos, Yahoo …).
Naročniški model predstavlja način zagotavljanja dohodka z zaračunavanjem naročnin za
različne storitve, ki jih ponujajo. V praksi so to modeli za gostovanje spletnih strani,
ponujanje specifičnih vsebin in informacij.
Servisni poslovni model je model, kjer podjetja delujejo kot posredniki in svetovalci pri
zakupu oglasnega prostora. Podjetja se poslužujejo raznih modelov, običajno pa uporabljajo
kombinacije zgoraj naštetih modelov in jih tako prilagajajo svojim potrebam. Z razvojem eposlovanja se postavljata torej dve vprašanji, in sicer:
•
kakšni so in kakšni bodo uspešni poslovni modeli,
•
katere marketinške strategije bo potrebno uporabiti oz. razviti.
Poslovni model zagotavlja prilagodljivo stojalo, ki ponuja tehnološke značilnosti in potenciale
kot vhod v transformacijsko okolje s poudarkom na uporabi informacijskih sistemov. To je
vmesnik med stopnjo tehnološkega in informacijskega razvoja ter stopnjo oblikovanja
ekonomskih vrednosti (Krstov in Šinkovec, 2007).
Namen poslovnega modela lahko opredelimo kot naslednje:
•
pomoč in razumevanje pri poznavanju, distribuciji in v izdelavi poslovne strategije
organizacije,
•
prispevek k analizi strategije poslovanja organizacije,
•
izboljšanje upravljanja poslovne strategije v organizaciji,
•
izdelava strateškega načrta organizacije,
•
patentirati, saj poslovni model je sam po sebi izdelek (Krstov in Šinkovec, 2007).
12
2.2.3
Opredelitev portalov
Pod besedo "portal" smatramo neko informacijsko središče, kjer se povezujejo raznolike
informacije vseh vrst, ki se nahajajo na različnih mestih. Z informacijskega stališča portalom
pravilno pravimo spletni portali, včasih tudi spletne dveri. Te lahko razumemo na različne
načine. V osnovi gre za spletno mesto, od koder po najlažji poti pridemo do želenih
informacij. Tako ta informacijska središča, imenovana portali, omogočajo uporabnikom, da
preko povezav dostopajo do aplikacij in raznih podatkovnih zbirk ter informacijskih sistemov
preko ene stične točke z uporabo brskalnikov.
»Vloga informacijskih portalov je ponuditi uporabniku dostop do poslovnih storitev in raznih
drugih vsebin, ki jih potrebuje pri svojem delu. Te storitve in vsebine so upravljane in
ponujene uporabniku v osnovnih aplikacijah, ki so značilne za informacijske portale:
aplikacije za sodelovanje, aplikacije za skupinsko delo, aplikacije za poslovno inteligenco,
aplikacije za poslovne transakcije in aplikacije za upravljanje z vsebinami « (Krajnc, 2007,
str. 4).
Podjetja se utapljajo v množici informacij, ki so shranjene v različnih oblikah. Vstopi
podatkov so lahko v obliki dokumentov, prispelih dokumentov po klasični ali elektronski
pošti, v obliki zabeleženih telefonskih klicev in v drugih oblikah oziroma formatih. V kopici
podatkov kaj kmalu postane delovni proces otežen zaradi preobremenjenosti. Količine
podatkov, ki prihajajo od zunaj ali jih sproduciramo sami, večinoma ne uspemo niti
klasificirati. Za dostope do teh podatkov so običajno na razpolago številna orodja, ki pa so za
povprečnega uporabnika preveč komplicirana.
Rešitev v zadnjem času kar perečega problema je v oblikovanju portala, ki predstavlja
spletno okolje, prilagojeno po meri uporabnika. Za dostop do te skupne vstopne točke,
imenovane portal, se uporabljajo brskalniki, preko katerih uporabniki dostopijo do vseh
informacijskih objektov, tako strukturiranih kot tudi nestrukturiranih. V raznih literaturah sem
zasledil številne delitve portalov. Smiselna delitev portalov glede na zastavljeni problem
naloge se mi zdi naslednja:
•
intranet portali, ti so namenjeni zaposlenim znotraj podjetij oziroma organizacij,
•
ekstranet portali, ti so namenjeni predvsem medpodjetniškemu poslovanju,
•
internet portali, ti so pa namenjeni odprti množici uporabnikov in so javno dostopni.
13
2.2.3.1 Arhitektura portalov
Samo arhitekturo portalov avtorji členijo različno. Ponazoril bom delitev, ki se mi zdi
smiselna glede na vsebino raziskovalne naloge, ki zajema tudi portale z integriranim
informacijskim sistemom, kjer najde mesto tudi portal SICIS, katerega uporabniki so vsi
uslužbenci. Gre za devet elementov kot sestavin arhitekture portalov. Pomembno je
izpostaviti, da so informacije na voljo vedno ob pravem času, v ustrezni obliki ter tistim, ki so
za informacije zainteresirani. Pomembno je tudi to, da vsi spodaj našteti elementi, ki jih avtor
navaja delujejo medsebojno usklajeno.
Kričejeva delitev na devet osnovnih elementov portala:
•
integracija dostopov do vseh notranjih in zunanjih podatkovnih virov,
•
kategorizacija, ki omogoča hitro prepoznavo informacijskih mest in medsebojnih
povezav,
•
sodelovanje, ki pomeni dinamično sodelovanje med partnerji ali strankami s pomočjo
funkcionalnosti portala,
•
osebna prilagoditev, personalizacija je takšna funkcija portala, ki omogoča, da si
uporabnik lahko nastavi le dostop do tistih informaciji, ki jih pri delu najprej
potrebuje,
•
iskanje, ki je v bistvu centralizirana možnost iskanja po vsebini portala,
•
objavljanje in posredovanje, kjer so mišljene tako izdelava, avtorizacija in distribucija
dokumentov s pomočjo orodij za podporo delovnim procesom,
•
podpora procesom, kamor sodi omogočanje sodelovanja v poslovnih procesih in gre
za premik portala iz funkcije prikazovalnika v funkcijo podpore poslovnim procesom,
•
predstavitev pomeni informacijsko oblikovanje in predstavitev posamezne vsebine,
•
portalni krog učenja predvideva izboljšanje in povečavo učinkovitosti portalov
(Kričej, 2002).
Vse zgoraj navedeno velja tudi za portale, ki uporabnikom ponujajo prostorske podatke in
informacije ter storitve, povezane s prostorskimi podatki (Kričej, 2002).
Portali oziroma vsebine so načeloma dostopne preko različnih elektronskih medijev. To so
lahko internet, WAP telefoni, dlančniki, informacijski terminali idr. Pomembna je večslojna
arhitektura portalov, temelječa na XML strukturi dokumentov. Sestava večslojne arhitekture
temelji na:
14
•
uporabniških vmesnikih za posamezne skupine elektronskih naprav in medijev,
•
transformacijskih adapterjih za posamezne skupine naprav in medijev,
•
dokumentnih strežnikih.
2.2.3.2
Funkcionalne komponente portalov
Portale si tako predstavljamo kot neko skupno vstopno točko do informacij, podatkov,
aplikacij in drugih sistemov. Za delovanje interaktivnosti portalov pa so potrebne številne
funkcionalne komponente. Z upravljanjem vsebin (ang. Content Management) dosežemo
možnost urejanja in dodajanja nove vsebine. Upravljanje vsebin nam omogoča objavo in
preklic vsebin ter vsesplošen nadzor nad objavljenimi vsebinami. Običajno se za vsebine
posameznih strani uporabljajo HTML urejevalniki, kjer lahko poleg golega teksta oblikujemo
še strukturo same strani, prav tako pa lahko dodajamo multimedijske in druge vsebine (Jurič
in Pušnik, 2007).
Med osnovnejše komponente portalov lahko štejemo:
•
aplikacije za iskanje in pregledovanje interneta (iskalni mehanizem, sistem imenikov
•
osebne oz. namizne aplikacije (el. pošta, postavitev lastne spletne strani, osebni
koledarji, urejevalnik teksta ...),
•
informacijske storitve (kanali za dostop do različnih inf. in novic kot npr.: politika,
vreme, šport, TV-programi),
•
klepetalnice, forume, oglasne deske,
•
nakupovanje, poslovanje, izobraževanje,
•
upoštevanje želja uporabnikov po informacijah, vsebinah in storitvah.
Pomembni sestavni deli spletnih portalov so tehnološko napredni uporabniški vmesniki, ki še
povečujejo njihovo vrednost. Tehnologijo prilagajanja specifičnim potrebam in željam
informiranja uporabnikov kakor tudi orodja za distribucijo raznih formatov dokumentov in
datotek omogočajo napredni uporabniški vmesniki.
2.2.4
Portali za upravljanje in organizacijo znanja
Portali za upravljanje znanja so vir informacij o poslovanju organizacije in nas oskrbujejo z
meta informacijami. To so tudi informacijski dejavniki, ki nam povedo, na katere informacije
se lahko zanesemo, ko sprejemamo odločitve. Prav tako omogočajo ustvarjanje znanja iz
15
pridobljenih podatkov in informacij. Uporabnikom je omogočen hiter in enostaven dostop do
podatkov, informacij in znanja, ki ga v določenem trenutku potrebujejo.
Za podporo pri vpeljevanju skupinskega dela organizacije uvajajo portalne tehnologije.
Integracija se kaže tako v podjetjih kakor tudi izven v povezavi s kupci, dobavitelji in
konkurenti. Konkurenčno prednost pa si bodo pridobila podjetja oziroma organizacije, ki
bodo implementirala informacijske portale in s tem razvoj sistema e-učenja. Sistem naj bi
povezoval poslovne procese, projektno upravljanje in tudi razvoj kariere (Krstov, et al., 2005).
Strukturni prikaz organizacije portala znanja nam prikazuje shema 2.2
Shema 2.2: Celostni poslovni portal podjetja in poslovni portal znanja
Vir: Krstov et al. (2005, str. 164–165)
Shematski prikaz opredeljuje podrobnejšo arhitekturo poslovnega portala znanja, ki je
opredeljena v sistemskem nivoju podjetja. Nad sistemskim nivojem so pozicionirani nivoji
procesov, kjer se le-ti odvijajo v okviru managementa znanja. Vse to je določeno s strategijo
organizacije. Sam poslovni portal znanja je z managementskega vidika razdeljen na pet
vsebinskih področij:
•
transakcije,
•
vsebine,
16
•
sodelovanje oz. teamsko delo,
•
kompetence,
•
orientacija.
Našteta področja ponujajo različne funkcije, podprte z aplikacijami, ki so integriranimi v
poslovni portal znanja (Krstov, et al., 2005).
Na ravni strategije se definira poslovno strategijo podjetja. Podrejeno strategijo managementa
znanja se opredeli pod njo, skupaj s cilji organizacije in načinom vodenja. Na tem nivoju se
določi tudi sistem, s pomočjo katerega je možno meriti doseganje zastavljenih ciljev.
Procesni del deluje kot podlaga za odvijanje prevladujočih oziroma temeljnih poslovnih
procesov. Vrednostna veriga tako povezuje vse temeljne poslovne procese in njihove
podporne procese z dobavitelji in kupci. Tretja raven pa predstavlja sistemsko raven, ki jo
predstavlja poslovni portal znanja in njegova arhitektura.
2.2.5
Portali za e-poslovanje
V raznih literaturah so razvrstitve portalov različno definirane, in jih je kar nekaj. Najbolj
pogosti obliki e-poslovanja sta B2B in B2C. B2B je kratica, ki opisuje angleško besedno
zvezo business-to-business. Označuje vrsto elektronskega poslovanja, ki je namenjena
izmenjavi blaga in uslug, informacij in servisov med podjetji. B2C pa je kratica, ki opisuje
angleško besedno zvezo business-to-consumer. Pri tem modelu gre za e-poslovanje med
podjetji in končnimi potrošniki. Poznamo pa še: business-to-goverment (B2G), gre za eposlovanje in komuniciranje med državo in podjetji ter občani. Pri B2E, business-toemployee, gre za komuniciranje med podjetji in zaposlenimi.
V podjetjih in organizacijah, kjer se zavedajo pomembnosti elektronskega poslovanja, je kot
prioriteta prisotna stalna in hitra dostopnost do informacij in podatkov v danem trenutku. Pri
tem se razume, da so podatki oziroma informacije razpoložljivi na čim bolj enostaven način.
Prav to ponujajo implementirane informacijske sisteme in aplikacije, dostopne skozi eno
točko, imenovano portal.
Vsi se zavedamo, da je potrebno s pomočjo izmenjave informacij ves čas ohranjati stike z
dobavitelji, poslovnimi partnerji oziroma strankami. Prav na tej točki imajo glavno vlogo
poslovni portali kot osrednji del informacijskega sistema. Lahko govorimo kot o neki
17
platformi, preko katere se izvaja celotno poslovanje. Ta platforma oziroma portal naj bi
omogočal:
•
dostop do vseh informacijskih in podatkovnih zbirk,
•
dostop do evidenc, informacij ter aplikacij,
•
dostop do informacijskih sistemov in storitev znotraj podjetja.
•
dostop do tujih strežnikov.
Portali, namenjeni poslovni uporabi, se malenkost razlikujejo od ostalih spletnih portalov.
Bistvena razlika je v dostopnosti. Poslovni portali so večinoma zgrajeni za poslovno uporabo.
To pomeni, da strani niso dostopne slehernemu uporabniku kot osnovna predstavitvena stran,
ampak je le-ta razdeljen na javni del, viden v splošni predstavi, in pa zasebni del.
2.2.5.1 Portali podjetij
Portali podjetij oziroma poslovni informacijski portali (ang. Enterprise Information Portals –
EIP) so portali podjetij, in to so običajno interne vstopne točke za upravljanje odnosov s
strankami, obvladovanje dobaviteljev in tudi upravljanje z znanjem. Namenjeni so podpori
poslovnim procesom med podjetjem in zaposlenimi (ang. Business-to-Employee – B2E).
Zasledil sem tudi, da jih imenujejo korporacijski oziroma organizacijski portali. Ti portali
omogočajo medsebojno sodelovanje ter izmenjavo informacij, kar pripomore k hitrejšim in
lažjim odločitvam v poslovnih procesih. Običajno so v portale implementirane tudi povezave
do ključnih informacijskih sistemov podjetij.
Poslovni portal tako predstavlja povezavo do različnih virov podatkov tako iz medmrežja
kakor tudi povezave do podatkovnih baz ter aplikacij, kar omogoča uporabnikom hiter ter
zanesljiv dostop do informacij oziroma podatkov, ki jih potrebujejo v danem trenutku. Tukaj
uporabniku ni važno, ali so iskani podatki strukturirani (podatkovne baze) ali nestrukturirani
(besedila, elektronska pošta, spletne storitve). Pomembno je, da lahko uporabljajo portale
oziroma dostopajo do želenih informacij z orodjem, ki se imenuje brskalnik.
Namen poslovnih portalov podjetij je tako informacijska podpora poslovnim procesom pri
doseganju zastavljenih ciljev podjetja.
Dodatne prednosti, ki jih nudijo take vstopne točke oziroma portali, so:
•
vpogled v vsebino lahko prilagajamo določenim skupinam,
18
•
prikaz podatkov je možno rangirati glede na pomembnost – prioritete,
•
možnost nastavitev izbranih pogledov glede na potrebe posameznega uporabnika
(personifikacija),
•
omogoča oddaljen dostop do portala,
•
enostavna uporaba in upravljanje z uporabo brskalnika,
•
poenostavljen nadzor upravljanja iz centralnega strežnika,
•
možnost povezovanja različnih podatkovnih zbirk.
2.2.5.2 Javni portali
Javni portali so portali, ki so javno dostopni. So nasledniki internetnih iskalnikov in
internetnih spletnih imenikov. Lastnost javnih portalov je, da so zelo obširni in vsebujejo
polno raznovrstnih informacij, tako da najbolje pritegnejo slehernega obiskovalca. Podjetja, ki
koristijo takšne vire informacij iz omenjenih portalov, se povezujejo s ponudniki teh storitev v
smislu trženja, reklamiranja, naročanja na informacije itd. Glavni cilj teh spletnih portalov je
pridobiti čim več uporabnikov, vpletenih v med seboj povezano mrežo za lažjo distribucijo
informacij.
Nekaj primerov večjih javnih spletnih portalov:
•
www.yahoo.com
•
www.altavista.com
•
www.msn.com
•
www.zurnal24.si
•
www.slowwwenia.com
•
www.najinfo.com
•
www.24ur.com
2.2.6
Spletni portal SICIS – Carinski informacijski sistem
Carinska služba pri svojem delovanju uporablja kot informacijsko podporo več informacijskih
sistemov. Eden osnovnih sistemov je portal, imenovani Slovenski carinski informacijski
sistem (krajše SICIS 7).
7
SICIS – Slovenski carinski informacijski sistem
19
Slika 2.1: Portal SICIS
Vir: Interni vir Carinske uprave Republike Slovenije (2012)
Omenjeni portal deluje v spletnem okolju kot nadgradnja predhodnega Carinskega
informacijskega sistema (krajše CIS), ki je bil zasnovan v DOS okolju in dostopen preko
terminalskega dostopa. CIS je sicer še v uporabi, vendar je bila glavnina modulov preseljena v
spletno okolje portala SICIS. SICIS je tako eden pomembnejših informacijskih sistemov, ki
ga carina uporablja za operativne naloge v blagovnem carinjenju ter pri nadzornem delu. Ta
vsebuje številne module, ki zagotavljajo informacijsko podporo carinikom ter inšpektorjem.
PORTAL SICIS vsebuje več modulov:
•
ECS (izvozni sistem),
•
SIAES (avtomatizirani izvozni sistem),
•
MOIZ (modul izvoz),
•
SIAIS (avtomatizirani uvozni sistem),
•
SINCTS (tranzitni sistem),
•
STROM (strokovna mnenja),
20
2.3
•
GCUKOD (aplikacije, namenjene finančnemu modulu),
•
EORI (sistem preverja EORI številke gospodarskih subjektov),
•
EOS (register pravnih in fizičnih oseb),
•
Modul pooblastila (administracija).
Uspešnost in učinkovitost IKT
Pod pojmom učinkovitost, ki je dokaj širok lahko smatramo tudi stroškovno merjenje
učinkovitosti določene organizacije oziroma razporejanje in razpolaganje z njenimi sredstvi.
Ocenjevanje uspešnosti oziroma učinkovitosti v javnem sektorju je kar zahteven proces. Za
stranke v postopkih sodelovanja z javno upravo pa uvajanje kakovosti pomeni večje
zadovoljstvo.
Samo uspešnost pa lahko ponazorimo z merjenjem rezultatov glede na vizijo in zastavljene
cilje organizacije. Za stranke pa je pomembno zadovoljstvo, torej se ocenjuje stopnja, kar
posledično rezultira uspešnost oziroma koristnost za potencialne odjemalce. Kot posledica
merjenja učinkovitosti in uspešnosti IKT se za rezultat pričakuje optimizacija procesov in
storitev, kar prispeva k zmanjšanju stroškov, to pa je v trenutnih razmerah še kako pomembno
(Žurga, 2002, str. 88).
Upravljanje storitev IT si lahko razlagamo kot načrtovanje, izvajanje, suport in varnost
storitev informacijske tehnologije ki je usmerjena k strankam, kar predstavlja razliko od
tradicionalnega pristopa upravljanja tehnične infrastrukture. Trend uporabe posameznih
standardov, ogrodij in metodologij, ki omogočajo učinkovito upravljanje IT storitev, je v
porastu, saj po podatkih iz članka avtorja Winniforda z naslovom: »IT Service Management
Practice and Terminology« znašajo stroški upravljanja IT storitev v organizacijah nekje med
70–90 odstotki skupnih stroškov lastništva informacijske tehnologije ( Winniford et.al., 2009).
Na področjih kontrole, tehnike, meritev in pri upravljanju s poslovnimi tveganji je ogrodje
COBIT uporabno kot okvir in sklop podpornih orodij za sporočanje ravni kontrole vsem
zainteresiranim strankam. Obenem pa ogrodje omogoča vodstvu razvoj jasnih politik in dobre
prakse za kontroliranje IT-ja v podjetjih. COBIT se neprestano posodablja in usklajuje z
drugimi standardi in smernicami. COBIT 4.1 je v slovenskem prevodu brezplačno dostopen
na straneh slovenskega odseka ISACA, mednarodnega Združenja za revizijo in kontrolo
informacijskih sistemov.
21
2.3.1
ITIL
ITIL (ang. IT Infrastructure Library) razlagamo kot
nabor priporočil za uvajanje in
kakovostno upravljanje s storitvami IT. Povzema najboljše prakse in priporočila za
upravljanje storitev na področju IKT. Nastal je že leta 1980 na pobudo urada za poslovanje z
vlado Velike Britanije (ang. Office of Government Commerce). Uveljavil se je šele po
priznanju večjih proizvajalcev programske opreme, kot so Microsoft, HP, IBM in drugi. ITIL
priporočila so uporabna in koristna za vse IT organizacije. Prilagoditi jo je možno potrebam
organizacij in podjetij, ne glede na njihovo velikost oziroma uporabljeno tehnologijo (Pollard
in Cater-Steel, 2009, str. 164– 175).
ITIL sestavlja več modulov, pri čemer je za obravnavani primer upravljanja IKT tehnologije
predlagan modul za upravljanje infrastrukture IKT. Modul povzema tudi vsebinska področja
za operativno izvajanje IT storitev in IKT infrastrukture. Predlaga uporabo ustreznih
menedžment orodij za upravljanje in nadziranje oziroma merjenje z ustreznimi menedžment
orodji. Kot osnovni cilj pa izpostavlja izboljšanje učinkovitosti in uspešnosti IKT
infrastrukture ter zagotavljanje vzdrževanja želene kvalitete dogovorjenih IT storitev. Če
vsebino ITIL priporočil in COBIT ogrodja uporabimo kombinirano, potem lahko govorimo o
sinergijskem učinku uporabe. ITIL opredeljuje tudi vzpostavitev Help Desk-a oziroma
nadgradnjo v Service Desk. To predstavlja osrednjo informacijsko in podporno točko kar
posledično rezultira povečevanje zadovoljstva uporabnikov.
Vloga Help Desk-a je tako izvajanje tehnološke podpore za poslovne cilje, izvajanje
zapisovanja vseh incidentov, kategoriziranje ter izvajanje meritvene metrike.
V ITIL-u 3 se koncept spreminja na upravljanje storitev IT s poudarkom na življenjskem ciklu
storitev. Namesto prejšnjih dveh sklopov, zagotavljanje storitev (ang. Service Delivery ) in
podpora storitvam (ang. Service Support), jih ITIL 3 sedaj vsebuje kar pet:
•
Strategija storitev (ang. Service Strategy),
•
Zagotavljanje storitev (ang. Service Delivery),
•
Prehod na nove storitve IT (ang. Service Transition),
•
Opravljanje operativnih nalog IT (ang. Service Operation) ter
•
Nenehno izboljševanje storitev (ang. Continual Service Improvement.
22
Grafični prikaz procesov v ITIL-u 3 je prikazan v shemi št. 2.3.
Shema 2.3: Grafični prikaz procesov v ITIL v 3.
Vir: prirejeno po Pevzner (2007)
V iskanju razlik je ITIL v svoji zadnji verziji (v 3) dosegel pomik proti standardu ISO 20000,
predvsem gre tu za dodatne integrirane procese, kot so upravljanje informacijske varnosti
(ang. Information Security Management) in upravljanje dostave (ang. Supplier Management)
(Plevnik, 2012).
23
Primerjavo med ITIL 3 in ISO 20000 ponazarja tabela št. 2.1
Tabela 2.1: Primerjava med ITIL 3 in ISO 20000
ISO/IEC 20000
Standard in navodila
Certifikacija ponudnikov
storitev/organizacij
Določene zahteve na visokem nivoju za
procese in upravljavske sisteme
Neodvisna organizacijska struktura z
malim številom opisanih obveznih vlog
16 procesov, brez funkcij (funkcionalnih)
ITIL v 3
Najboljša oz. dobra praksa
Kvalifikacijska shema za posameznike
Podrobna priporočila za izvajanje in implementacijo
najboljših praks, njihovi opisi
Definira veliko funkcij, vlog na procesih ter njihove
odgovornosti
26 procesov in 4 funkcije, dokumentirani
Vir: Plevnik (2012)
Robič v članku z naslovom: »IT uporabnike v vašem podjetju obravnavajte kot kupce« odpira
dilemo številnih organizacij o preoblikovanju oziroma nadgradnji Help Desk-a v Service
Desk, oziroma storitveni center v skladu z ITIL smernicami. Posamezna podjetja so veliko
vložila v razvoj ter delovanje svojih centralnih točk Help-desk, pri tem pa ugotovila zelo
majhno poslovno vrednost naložbe. Tu je mišljeno zadovoljstvo uporabnikov kakor tudi
predvideno znižanje stroškov ter dvig kakovosti IT storitev. Kot posledico neučinkovitosti
Help Desk-a pa gre pripisati nedosledni izdelavi periodičnih poročil ter obdelav oziroma
neustrezni interpretaciji. Rešitev nastale situacije se ponuja z vpeljevanjem sistema merjenja
učinkovitosti delovanja IT podpore s spremljanjem ključnih kazalnikov. Če se sklicujemo na
rek: »Brez meritev je nemogoče upravljati« (ang. »You Can't Manage What You Don't
Measure« je prav tu razbrati, da je pomembno pazljivo izbrati kazalnike oziroma izdelati
meritvene metrike, seveda pa je nadalje potrebno tudi dosledno spremljati rezultate merjenj.
Za uspešnost pa se šteje takojšnje ukrepanje in redno izvajanje kontrol (Robič, 2010).
Številne države se soočajo z naraščanjem javnega sektorja, v zadnjem času pa je učinkovitost
in uspešnost tista, ki se postavlja pod vprašaj. V času vsesplošne krize so sredstva za
servisiranje oziroma delovanje javnega sektorja okrnjena, zato je potrebno nameniti
razpolaganju z resursi in sredstvi večji poudarek. Vse to zahteva tudi bolj profesionalno
koordinacijo pri razporejanju in delovanju IKT. Organizacija za gospodarsko sodelovanje in
razvoj (ang. OECD 8– Organisation for Economic Co-operation and Development), katere
Slovenija je od julija 2010 tudi članica, opredeljuje tudi kazalnike oziroma količinske mere, ki
jih uporabljamo, če rezultatov uspešnosti ni možno meriti neposredno. Kot tehnike in možne
8
OECD – Organisation for Economic Co-operation and Development
24
rešitve za ugotavljanje kakovosti se lahko uporablja model za celovito obvladovanje
kakovosti (krajše TQM 9), ISO standarde in tudi druge rešitve.
2.3.2
COBIT
COBIT 4.1 (ang. Control Objectives for Information and Related Technologies) predstavlja
učinkovito ogrodje splošno uporabnih informacijsko tehnoloških, varnostnih in kontrolnih
postopkov za upravljanje IKT. Opredeljuje sedem različnih kriterijev za informacije, ki se med
seboj prekrivajo: uspešnost, učinkovitost, zaupnost, celovitost, razpoložljivost, skladnost ter
zanesljivost informacij. COBIT procesni model omogoča, da se aktivnosti in viri IT ustrezno
upravljajo in nadzirajo na podlagi COBIT kontrolnih ciljev. Področje kontrole in vrednotenja
usklajuje s strategijo organizacije in ocenjevanjem njenih potreb z vrednotenjem obstoječih
sistemov IT, ki so v preverjanju v skladnosti z zastavljenimi cilji, posredno pa odgovarja tudi
na vprašanje uspešnosti oziroma učinkovitosti IKT v organizaciji. Revizorji preverjajo, če je
ustrezno poskrbljeno za varnost, zaupnost, in razpoložljivost ter integriteto podatkov (COBIT,
2007, str. 7).
Na podlagi izvedene raziskave, ki jo je objavil »The IT Governance Institute« (krajše ITGI) v
letu 2008, je bilo izbranih 749 podjetij, 652 naključno izbranih in 71 podjetij v 23 državah, ki
uporabljajo COBIT, od tega je 26 izkušenih COBIT podjetij (ITGI, 2008, str. 10).
V primeru SUG (ang. Software User Group) raziskave je bil ciljni kader anketirancev funkcija
vodje informatike (CIO). V raziskavo je bilo zajetih 29 bank na področju JV Evrope, ki
sestavljajo SUG skupino, to so države Srbija, Makedonija, Črna gora in BIH, vse pa za izvajanje
primarnih poslovnih procesov uporabljajo enako programsko rešitev.
Trend kaže na povečanje prepoznavnosti COBIT-a, ki je presegla 50 % glede na predhodne
raziskave. Podatki za leto 2008 kažejo, da se odstotek njegove uporabe giblje okoli 30 %.
25 % do 35 % sodelujočih v raziskavi dosledno uporablja COBIT, 50 % pa COBIT uporablja
delno ali kot osnovo. Splošno gledano sta razpoznavnost in uporaba COBIT v primerjavi na
pretekla leta zelo napredovala (ITGI, 2008, str. 36).
Raziskava postreže tudi z rezultati uporabe ISO standardov ter okvirov COBIT-a ter ITIL-a,
za upravljanje IT rešitev, pri čemer v tem segmentu ne vključuje odgovorov COBIT vzorca.
9
TQM – Total Quality Management
25
Graf 2.1: Uporaba najpogostejših okvirov ter rešitev za upravljanje IT
Vir: ITGI (2008, str. 36)
2.3.3
ISO standardi
ISO/IEC 27000 je družina mednarodnih standardov, ki pokriva segment upravljanja
informacijske varnosti. Standardi vsebujejo priporočila in nasvete za zagotavljanje zaščite v
smislu zaupnosti, integritete in dostopnosti informacijskih virov tistim, ki so jim namenjeni.
Področje uporabe je zelo obsežno. Osnova za dinamični razvoj standardov sistema upravljanja
informacijske varnosti ISMS 10 deluje po načinu Demingovega kroga, kjer se zbirajo povratne
informacije in na ta način se sistem nenehno nadgrajuje in izboljšuje (Wikipedija, 2012).
V prvem delu standarda BS7799:1995 so zajete najboljše prakse za upravljanje sistema
varovanja informacij, ki je bil leta 1998 sprejet kot ISO standard ISO/IEC 17799. Revidirana
verzija omenjenega standarda ISO/IEC 17799:2000 pa je bila v letu 2005 spremenjena in
vključena v družino standardov ISO 27000 pod imenom ISO/IEC 27002.
Standard vključuje novosti in predvideva razširjena nadzorstva za upravljanje virov,
opredeljuje uporabo zunanjih storitev in zunanjega izvajanja s poudarkom na varni uporabi
teh možnosti. Vključuje tudi uvajanje novejših tehnologij brezžičnega omrežja ter mobilnih
omrežij, opredeljuje postopke s tveganji in obvladovanju novih groženj ter smernice za
uspešno obvladovanje varnostnih incidentov. Pomemben segment pri upravljanju varnostnih
10
ISMS – Information security management system
26
vidikov so človeški viri, saj so v zadnjem času po številnih raziskavah ključni faktor pri
nastajanju varnostnih incidentov.
Drugi del standarda BS7799-2:1999 je bil prvič objavljen leta 1999 pod naslovom
»Informacijska varnost – Sistemi vodenja«, ki pa je bil po reviziji potrjen in sprejet v družino
standardov 27000 kot prvi iz te družine pod imenom ISO/IEC 27001:2002. Vseboval je
elemente PDCA iz Demingovega kroga, bil pa je usklajen s standardi kakovosti ISO 9000 ter
ISO 14001:1996. S prihodom ISO 27001, ki vsebuje popis zahtev, ki so obvezne za
certifikacijo standarda, revizija in certifikacija po starem standardu BS 7799-2:2002 nista več
mogoča, ampak se za to uporablja standard ISO 27001. Razvoj standarda BS 7799 je prikazan
v shemi št. 2.4.
Tako PDCA 11 procesni model (Planiraj– Izvedi–Preveri–Ukrepaj) predpisuje cikel aktivnosti
v zvezi z načrtovanjem in vzpostavljanjem ISMS ter samo izvajanje kakor tudi nadzor in
tveganja v smislu nenehnega dopolnjevanja in izboljševanja za zagotavljanje uspešnosti
varovanja informacij in sistemov. Sam standard ISO 27001 pa vključuje tudi nabor procesov,
povezanih z obvladovanjem tveganj.
Shema 2.4: Razvoj standarda BS 7799
Vir: Housing Co.d.o.o (2012)
11
PDCA– Plan-Do-Check-Act
27
Na področju upravljanja IT-storitev se že dolgo uveljavlja ITIL kot primer najboljše prakse,
mednarodni standard ISO/IEC 20000 pa je zelo uporaben, saj se dopolnjuje oziroma povezuje
s standardom ISO 9001 ter ITIL-om, namenjen pa je predvsem ponudnikom storitev IT. Na
tem mestu naj tudi omenimo standard ISO 27004, ki je bil objavljen v decembru 2009.
Standard daje navodila za razvoj in uporabo ukrepov merjenja za oceno učinkovitosti
izvajanja informacijske varnosti, sistema upravljanja in nadzora. Dodatek dokumenta predlaga
tudi meritve, ki sovpadajo za uskladitev s standardom ISO 27002. Vpeljava sistema
pripomore k izboljšanju procesov in delovanja organizacije v smislu učinkovitosti ter
zadovoljstva zaposlenih in strank. Je prvi mednarodni standard, ki pokriva področje
upravljanja storitev informacijske tehnologije.
Trenutno javno objavljeni standardi skupine ISMS oziroma družine 27000 so delno že v
uporabi, nekaj se jih pa še pripravlja za prihodnost, vsi pa so definirani po principu standardov
ISO 9000:
•
ISO/IEC 27000 – uvod in pregled ISMS družine standardov
•
ISO/IEC 27001 – specifikacija ISMS, ki je naslednik BS7799-2 standarda
•
ISO/IEC 27002 – kodeks prakse, predhodno znan kot ISO 17799 in BS 7799
•
ISO/IEC 27003 – pomoč pri načrtovanju implementacije ISMS
•
ISO/IEC 27004 – standard meritev ISMS za izboljšanje učinkovitosti
•
ISO/IEC 27005 – upravljanje tveganja ISMS
•
ISO/IEC 27006 – digitalni certifikati in registracija
•
ISO/IEC 27007 – revidiranje ISMS
•
ISO/IEC 27008 – revidiranje varnostnega nadzora
•
ISO/IEC 27010:2012 – Infosec Communications.
•
ISO/IEC 27011 – informacijska varnost v telekomunikacijah
•
ISO/IEC 27031 – standard poslovne kontuitete
•
ISO/IEC 27032 – kibernetska varnost
•
ISO/IEC 27032:2012 – kibernetska varnost, ohranjanje zaupnosti, celovitosti in
razpoložljivosti
•
ISO/IEC 27033– 1:2009 – določa koncepte in smernice za upravljanje na področju
varnosti omrežja.
•
ISO/IEC 27033-3:2010 – omrežna varnost, tveganja in tehnike kontrolnih vprašanj
•
ISO/IEC 27035 – informacijska tehnologija - varnostno upravljanje incidentov
28
•
ISO 27799:2008 – smernice za upravljanje informacijske varnosti v zdravstvu.
(The ISO/IEC 27000 family of information security standards, 2012)
2.4
Vpliv delovanja IKT na učinkovitost organizacije
Tehnika in tehnologija vsekakor vplivata na učinkovitost in kakovost organizacije. Tu gre za
IKT opremo, ki mora delovati brezhibno, varno in neprekinjeno. Za spremljanje delovanja
IKT opreme in sistemov pa so na voljo številne možnosti za nadzor nad delovanjem oziroma
zagotavljanjem administracije in servisov.
OECD tudi ugotavlja, da v številnih državah uvajajo različne sistematične pristope za
spremljanje organizacij v javni upravi. Kar se tiče razvijanja sistemov merjenja učinkovitosti
in uspešnosti v javnem sektorju je Slovenija še na začetku. V zadnjem času se še kako
zavemo, da je potrebno spremljati učinkovitost oziroma določiti smernice in izhodišča za
vpeljavo sistemov za merjenje.
Tudi smernice EU in OECD zahtevajo od držav članic določitev pogojev za merjenje in
vpeljavo sistemov za merjenje učinkovitosti javnega sektorja. Avtorja Andoljšek in Seljak
ugotavljata, da ni veliko raziskav s področja uspešnosti v javni upravi, le te pa so povzemale
le specifična področja, kar z delnimi rezultati niso pokazale dejanskega stanja. Raziskave in
analize benchmarking primerjajo med sabo države, kar pa glede na različno razvitost IT ne
morejo med sabo primerjati, saj so odstopanja tudi po ciljih in organiziranosti posamezne
države. (Andoljšek, Seljak, 2005, str. 15, 24).
Tudi standardi ISO, ISO 9001:2000 je zasnovan tako, da je primeren tudi za uporabo v upravi.
Gre za merila, ki se jih je potrebno držati za izboljšanje kakovosti in uspešnosti, ki jih ta
standard poudarja. Javni sektor mora biti usmerjen v prihodnost z jasnimi cilji slediti
smernicam, ki jih oblikuje poslovno okolje. Le tako namreč lahko ohrani kakovost in
učinkovitost ter se vedno bolj usmerja k uporabnikom.
Eden od načinov ugotavljanja stanja po področjih v organizaciji je tudi izvedba obdobnih
pregledov oziroma revizij. Revizijo in revizijski postopek opredeljuje Zakon o revidiranju
(ZRev-2, 2008). Zakon o revidiranju se prvenstveno nanaša na revidiranje računovodskih
izkazov, v 7. členu pa govori tudi o strokovnih področjih revidiranjih, ki so povezana z
revidiranjem, in sicer računovodstvo, poslovne finance, notranje revidiranje, revidiranje
informacijskih sistemov, davčno proučevanje in svetovanje ter ocenjevanje vrednosti podjetij,
nepremičnin ter strojev in opreme. Eden novejših ISO standardov vodenja meritev
29
informacijske varnosti je standard ISO 27004:2009, ki opredeljuje meritve učinkovitost
vzpostavljenih sistemov vodenja varovanja informacij v smislu ugotavljanja učinkovitosti po
principu nenehnega izboljševanja. Varni sistemi so tudi bolj učinkoviti in uspešni, saj
neprekinjeno poslovanje, ki je tudi za CURS ključnega pomena zahteva učinkovito IKT
opremo za uspešno in učinkovito poslovanje. Ena od smernic oziroma vodil področja meritev
informacijske varnosti oziroma metod za upravljanje IT tveganj je tudi vodnik za merjenje
uspešnosti informacijske varnosti (ang. NIST
12
800-55 – Performance Measurement Guide
for Information Security). Ta merila so namenjena ugotavljanju učinkovitosti varnostnih
kontrol sistema informacijskega varovanja. Poudarek v dokumentu je na sistemih merjenja,
orodjih, namenjenih za pomoč pri odločanju in izboljševanju izvajanja skozi celoten proces
zbiranja, analize in poročanja o podatkih zajetih v meritvah. Cilj merjenja učinkovitosti
sistema informacijske varnosti je usmerjen v aktivnosti po stalnem izboljševanju z uvajanjem
korekcij in popravkov na podlagi opazovanih meritev (Brezavšček, Moškon, 2009, str. 202–
209).
2.5
Revidiranje informacijskih sistemov
Za doseganje učinkovite varnosti pri poslovanju je potrebno skrbeti, da so informacijski
sistemi ki jih podjetje uporablja revidirani, saj na tak način zagotavljamo posredno tudi
nemoteno delovanje delovnega procesa. Revizijo in revizijski postopek opredeljuje Zakon o
revidiranju (ZRev-2, 2008). Zakon o revidiranju se prvenstveno nanaša na revidiranje
računovodskih izkazov, v 7. členu pa govori tudi o strokovnih področjih revidiranjih, ki so
povezana z revidiranjem, in sicer računovodstvo, poslovne finance, notranje revidiranje,
revidiranje informacijskih sistemov, davčno proučevanje in svetovanje ter ocenjevanje
vrednosti podjetij, nepremičnin ter strojev in opreme. Skladno z navedenim se tudi za revizijo
informacijskih sistemov uporablja Zakon o revidiranju kot krovni zakon (ZRev-2, 2008).
Preden se soočimo z revidiranjem informacijskega sistema je potrebno opredeliti, kaj sploh
revidiranje kot pojem to pomeni. Obstaja več razlag in definicij, v osnovi pa revidirati pomeni
pregledati oziroma pregledovati, torej v tem kontekstu revidirati informacijski sistem pomeni
pregledati oz. pregledovati informacijski sistem ki je predmet obravnave revizije. V segmentu
informacijskega sistema naj bi si predstavljali sklop nekih naprav in programov, ki so
12
NIST – National Institute of Standards and Technology
30
namenjeni učinkovitemu zbiranju, shranjevanju, obdelavi in posredovanju podatkov
uporabnikom (Zaletelj, 2006).
Na podlagi Zakona o revidiranju (16. člen) je strokovni svet slovenskega inštituta za revizijo
na seji sprejel dokument »Hierarhija pravil revidiranja informacijskih sistemov« z objavo v
Uradnem listu RS št. 40/2011). V dokumentu so opredeljena tudi pravila revidiranja
informacijskih sistemov ki jih sestavljajo:
•
ZRev‑2,
•
drugi zakoni, ki urejajo revidiranje informacijskih sistemov,
in predpisi, izdani na njihovi podlagi,
•
standardi, smernice ter orodja in tehnike za strokovnjake revidiranja, kontrol in
dajanja zagotovil na področju IT,
•
druga pravila revidiranja informacijskih sistemov, ki jih izdaja oziroma določa
Inštitut,
•
mednarodna stališča o revidiranju informacijskih sistemov (ISACA)
(UL. RS Št. 40 / 27. 5. 2011, str. 5283)
Ranljivost sistemov in aplikacije se posebej kaže v novodobnem času elektronskega
poslovanja, kjer podjetja izmenjujejo številne dokumente, podatke in informacije oziroma si
jih delijo preko spleta. Sam prehod na elektronsko poslovanje zahteva od udeležencev temeljit
razmislek o zagotavljanju informacijske varnosti. Podjetja pri svojem poslovanju uporabljajo
tudi določene poslovne modele, vse s ciljem zagotavljanja čim večje konkurenčne prednosti.
Revizor informacijskih sistemov mora imeti veljavno licenco, ki jo podeljuje ob izpolnjevanju
določenih pogojev in opravljenem izpitu Slovenski inštitut za revizijo (SIR 13). Revizor je
strokovno usposobljen z obvladanjem strokovnih in etičnih standardov. Slovenski odsek
ISACA skupaj s Slovenskim inštitutom za revizijo letno organizira opravljanje izpitov za
preizkušene revizorje informacijskih sistemov (ISACA, 2010).
Revizor informacijskih sistemov pri izvajanju revizijskega pregleda informacijskega sistema
upošteva veljavno zakonodajo in standarde revidiranja. Pri tem mora upoštevati tudi
mednarodno uveljavljene postopke organizacije ISACA ter upošteva standarde organizacije
ISO, povezane s področjem informacijskega varovanja.
13
SIR – Slovenski inštitut za revizijo
31
Poznamo več vrst revizijskih pregledov, to so revizija celotnega okolja IT ki je lahko zunanja
ali notranja, revizija posameznega področja, posebna revizija ali revizija IT projektov. Namen
revizije je tako pridobiti mnenje o dejanskem stanju področja IT, kar se navezuje na varnost,
neprekinjeno poslovanje in samo učinkovitost delovanja, čigar namen je tudi v primeru
notranjega nadzora nad stanjem IT-ja na Carinskem uradu Brežice.
Cilj izvedene notranje revizije je bil ugotoviti dejansko stanje pri izvajanju IVP in
terminskega plana IVP v CU Brežice oziroma v notranjeorganizacijskih enotah, ugotoviti
morebitna odstopanja in podati priporočila za odpravo morebitnih pomanjkljivosti. Notranji
strokovni nadzor je obsegal intervjuje, inšpekcijske oglede uporabljenih strojnih in
programskih komponent ter kontrolo prednastavljenih slik delovnih postaj v CU Brežice z
orodjem ZenWorks. Pri izvajanju NSN
14
sta sodelovala pooblaščena informatika. NSN je
obsegal ogled opreme v vseh pomembnejših prostorih s sistemsko in vozliščno opremo.
Sleherna organizacija oziroma podjetja mora stremeti k temu, da postavi področje varovanja
informacijskih sistemov, ki jih uporablja, med prioritetne naloge v vseh segmentih varovanja,
od preventivnih varnostnih ukrepov pa do izvedb rednega revidiranja s strani notranjih in po
potrebi tudi zunanjih revizorjev informacijskih sistemov.
Kritično bi bilo govoriti, da so v posameznih primerih notranjih kontrol notranjerevizijske
službe neučinkovite, čeprav obstaja možnost, da glede na že postavljene kontrolne točke
varnostnih tveganj kakšno od prežečih nevarnosti tudi spregledajo, kljub temu da se revizije
lotijo zelo natančno.
Obstaja pa verjetnost, da bodo zunanji revizorji informacijskih sistemov ob predpostavki, da
varnostno tveganje na posameznem področju obstaja, pri odkrivanju nepravilnosti uspešnejši.
Seveda se vsaka revizija informacijskih sistemov sproži z določenim namenom in cilji in pa v
primerih, kjer tako opredeljujejo predpisi v organizacijah.
2.6
Informacijska varnost
Za učinkovit pristop urejanja v zvezi z varnostjo informacij šteje tako imenovani celovit
pristop k varnosti podatkov v smislu razpoložljivosti, celovitosti ter zaupnosti, kar ponazarja
tudi shema št. 2.5.
14
NSN – notranji strokovni nadzor
32
Shema 2.5: Povezava med celovitostjo, zaupnostjo in razpoložljivostjo
Vir: Pfleeger (2006)
Pomanjkljivosti zagotavljanja informacijske oziroma podatkovne varnosti pripelje do resnega
razmišljanja, ali je pri nas za informacijsko varnost dovolj dobro poskrbljeno ali pa smo lahko
tudi mi žrtve podobnih incidentov. Za zagotavljanje učinkovite varnosti je tako potreben
celovit pristop. Celovit pristop jemlje za izhodišče življenjski cikel informacij v celotnem
podjetju in opredelitev vseh podatkov ter varnostnih tveganj. Celovita analiza življenjskega
cikla informacij kaže, da je potrebno opredeliti področja varnostnega tveganja. Marcus Turle
tveganja deli na štiri sklope:
•
Tveganje na ljudeh
•
Fizično tveganje
•
Tveganje na področju tehnologije
•
Tveganja na področju informacij (Turle, 2009)
Ljudje predstavljajo tveganje v širokem spektru. Tu gre za pristojnosti zaposlenih v zvezi z
izvršljivostjo pogodb, ozaveščenost zaposlenih, usposabljanje osebja itd. Pomemben dejavnik
tako štejemo upravljanje s človeškimi viri. Sem spadajo: notranji akti, zaposlovanje,
obveščanje, izobraževanje in usposabljanje, spremljanje in nadzor ter prenehanje zaposlitve
(Hajtnik, 2002, str. 20).
Primeri številnih zlorab oziroma varnostnih incidentov v zvezi z izgubo podatkov ali
informacij, kažejo, da je varnost podatkov še vedno šibka točka. Raziskava o informacijski
33
varnosti – Riv 2004, objavljena pri založbi-Inštitutu za informacijsko varnost v letu 2004
kaže, da okužbe z računalniškimi virusi prednjačijo pred ostalimi varnostnimi incidenti v
organizacijah, kar je prikazano v grafu št. 2.2.
Graf 2.2: Primeri varnostnih incidentov
Vir: Židanik (2004)
Ob prebiranju strokovnega članka z naslovom »Data security: Past, present and future«,
avtorja Marcusa Turle, se nam porojijo številne dileme o varnosti informacij oziroma
podatkov, s katerimi vsakodnevno operiramo. Izguba 25 milijonov podrobnih podatkov o
prejemnikih otroškega dodatka v Veliki Britaniji, kar se je zgodilo vladni ustanovi v Veliki
Britaniji, natančneje Uradu za prihodke in carino (ang. HMRC – Her Majesty’s Revenue and
Customs), kaže na primer neučinkovitega varnostnega sistema. Avtor poudarja tudi trend
povečanja števila varnostnih incidentov v številnih drugih ustanovah oziroma podjetjih, ki
operirajo z ogromno količino zaupnih podatkov. Tako nas takšen trend naraščanja števila
zlorab varnostnih mehanizmov lahko skrbi. Vsako podjetje, ki posluje elektronsko, se mora
zavedati, kako pošilja informacije in kako hrani pomembne podatke, oziroma kako skrbi za
zaščito le-teh. Zatrdimo lahko, da nobeden sistem ni tako varen, da ga ni možno zlorabiti.
Vprašanje je le, koliko časa damo na voljo nepridipravom, da izkoristijo našo nepazljivost
34
oziroma nezaščitenost. Podjetja, ki se zavedajo informacijske nevarnosti v današnjem času, že
imajo izdelane dokumente oziroma akte o informacijskem upravljanju, ali drugače imenovane
informacijske varnostne politike – IVP. Sama vpeljava IVP v podjetjih in organizacijah pa
seveda še ni dovolj. Pomembno je, da se ta tudi dosledno izvaja. S tem je mišljena sama
seznanjenost zaposlenih s politiko informacijskega varovanja, kakor tudi dosledno
sankcioniranje kršitev le-te.
Za doseganje zadovoljive varnostno informacijske zaščite pa potrebujemo določene varnostne
mehanizme in varnostno opremo. Na splošno za varnostno opremo in varnostne mehanizme
velja, da morajo ustrezati naslednjim zahtevam:
•
celovitost in strukturiranost,
•
vladni predpisi,
•
standard (Groznik, Lindič, 2004, str. 17).
Varnost podatkov postaja vse kompleksnejša predvsem zaradi povezovanja organizacij med
seboj. V poslovnih procesih se tako povečuje število varnostnih incidentov – izgub podatkov
kakor tudi kraje in zlorabe podatkov. Ker okolje, v katerem delujejo organizacije, postaja
čedalje bolj turbulentno, se morajo podjetja temu hitro prilagajati, saj se količina podatkov
povečuje in s tem tudi skrb za njihovo varnost.
Po ugotovitvah avtorjev strokovnih člankov se v prihodnosti predvideva več varnostnih
incidentov zaradi človeških napak kot pa zaradi zatajitve tehnologije. Tako ugotavlja tudi
Kumar (2009), ki navaja več ugotovitev, ki jih je smiselno akceptirati. Kot prvo opozarja, da
je smiselno biti pripravljen na ravnanje z zaupnimi podatki, preden vklopimo stikalo za
povezavo v internet, s čimer se bo vsakdo strinjal. Nadalje opozarja, da je pomembno
razmišljati o varnosti podatkov, preden jih posredujemo. Uporaba certificiranih programov in
opreme ter skrb za varnost z uporabo večnivojske zaščite kakor tudi ažurna preglednost nad
svojimi strankami in poslovnimi parterji. V primeru varnostnih incidentov je potreben
takojšen odziv, saj se le tako omogoči sanacija z milejšimi posledicami (Kumar, 2010).
2.7
Informacijska varnostna politika
Informacijska varnostna politika je dokument s smernicami za zagotavljanje informacijske
varnosti znotraj organizacije. Je hkrati dokument, ki naznanja obvezo in podporo vodstva ter
35
določa vlogo informacijske varnosti pri doseganju in podpori viziji in poslanstvu organizacije
(Höne in Eloff, 2002).
Z implementacijo varnostne politike v podjetje se smatra tudi vključitev varnostnih
pričakovanj vodilnih managerjev v obliki določenih izmerljivih ciljev ter nalog. Na splošno je
Informacijska varnostna politika (IVP) dokument, ki opredeljuje način, a katerim organizacija
oziroma podjetje varuje oziroma izvaja zaščito svojih informacijskih virov. Obsegati mora
varovanje in zaščito vseh poslovnih, osebnih in drugače občutljivih podatkov ter
informacijsko-komunikacijskih sistemov, ki so namenjeni hranjenju, obdelavi in prenašanju
teh podatkov. V tem dokumentu so zajeta vsa pomembna področja informacijske varnosti
znotraj organizacije. Opredeljena so tudi tveganja, ki se lahko pojavijo, hkrati pa so ponujeni
organizacijski in tehnološki ukrepi za njihovo zmanjševanje. Informacijska varnostna politika
pove zaposlenim, kaj lahko počnejo in česa ne smejo. Nalaga jim tudi določene odgovornosti.
Ko je varnostna politika kot krovni dokument definirana do želenega nivoja, se izvedejo
ustrezne aktivnosti. Poslovne procese se uskladi z določili varnostne politike in se jo
implementira v delovno okolje.
Proces pa se na tem mestu še ne konča, saj je naloga skrbnika varnostne politike, da od tu
naprej skrbi, da postane ta dokument živa stvar oziroma proces, kar pomeni, da se ga nenehno
dopolnjuje in dograjuje sočasno z novostmi na področju informacijske tehnologije. Za
doseganje optimalnih rezultatov učinkovitosti varnostne politike je potrebno nenehno
prilagajanje na spremembe, ki se odvijajo v okolju in poslovnem sistemu, kar v ospredje
postavlja tudi celovita rešitev upravljanja z informacijsko varnostjo ISMS (Štrakl, 2003, str.
21).
36
Shema 2.6: Demingov krog
Vir: Štrakl (2003, str. 22)
PDCA model izboljšanja procesa strategije, nadzora ter spremljanja kakovosti v štirih korakih
kot je prikazano v shemi št. 2.6 je predstavila tudi OECD v svojih smernicah (Guidelines for
the Security of Information Systems and Networks, 2002), kjer je poudarek na upravljanju
varnosti omrežjih in informacijskih sistemov, ki so delno zajeta tudi v standardu BS 77992:2002 (©2006 Housing Co.d.o.o, 2012).
Nujnost vzpostavitve IVP v podjetja in organizacije kaže tudi objavljena raziskava ISBS 152010 o informacijski varnosti, ki jo je izvedlo podjetje Price Waterhouse Coopers iz Velike
Britanije. V raziskavi je sodelovalo preko 500 podjetij. Rezultati raziskave potrjujejo nujnost
implementacije IVP v podjetja, saj se tako lahko podjetja izognejo stroškom, ki bi nastali ob
morebitnih varnostnih incidentih.
Povzetek izvedene raziskave:
•
Zaradi hitro razvijajoče se tehnologije podjetja izkoriščajo »cloud computing« in
socialna omrežja, kar postavlja v dilemo varnostni vidik poslovanja.
•
Poslovodstvo varnosti še vedno namenja visoko prioriteto kljub recesiji in gospodarski
krizi
15
ISBS – Information Security Breaches Survey 2010.
37
•
Po padcu v zadnjih nekaj letih trend kršitev varnosti spet narašča, kar se kaže na
primerih številnih britanskih organizacij, ki so utrpele velike stroške zaradi varnostnih
incidentov v višini več milijard funtov.
•
Podjetja so vse bolj povezana med sabo v dobavni verigi, kar zahteva še večjo
pozornost po zagotavljanju varnosti, vendar je večina podjetij slabo pripravljenih za
to.
•
Učinkovito in strokovno vodenje pri zagotavljanju informacijske varnostni je
ključnega pomena za spopad z varnostnimi grožnjami.
Že sam podatek iz raziskave, da se je 92 % podjetij v zadnjem letu soočilo z vsaj enim
varnostnim incidentom, 61 % podjetij pa je zabeležilo poskus vdora, nam pove, da je ključna
vzpostavitev vseh varnostnih mehanizmov še kako pomembna. Tudi podatek, da je 90 %
podjetij takšnih, ki imajo implementirano informacijsko varnostno politiko, od tega le 68 %
po standardu ISO 27001, je zaskrbljujoč (Price Waterhouse Coopers, 2010).
3
PREDSTAVITEV OBSTOJEČEGA STANJA
3.1
Predstavitev organizacije
Naloge carinske službe opravlja Carinska uprava Republike Slovenije kot upravni organ v
sestavi Ministrstva za finance. Upravo sestavljajo carinski organi, ki so Generalni carinski
urad, carinski uradi kot območne organizacijske enote uprave, ustanovljene za posamezno
območje, in izpostave kot notranjeorganizacijske enote carinskih uradov.
Carinska dejavnost, tako fiskalno zaščitna kot kontrolna, število zaposlenih in regionalna
razpredenost so kriteriji, ki uvrščajo carino med pomembnejše službe v državi in družbi.
Carinski zakon, Zakon o carinski službi, Zakon o carinski tarifi in podzakonski akti so
temeljna zakonska osnova carinskega sistema v Republiki Sloveniji.
V Zakonu o carinski službi (Ur. l. RS 56/99) so opredeljene naloge in organizacija carinske
službe, pooblastila, zbiranje, varstvo in zavarovanje podatkov, posebnosti delovnih razmerij,
posebnosti disciplinske in odškodninske odgovornosti, priznanja in prekrški. V skladu s 3.
členom omenjenega zakona med temeljne naloge spadajo:
•
opravljanje carinskega in trošarinskega nadzora,
•
odobravanje carinsko dovoljenih rab ali uporab blaga,
38
•
izvajanje carinske in trošarinske kontrole ter inšpekcijskih pregledov,
•
preprečevanje in odkrivanje kaznivih ravnanj v zvezi z blagom, ki se vnaša na
carinsko območje ali iznaša s tega območja in v zvezi s trošarinskimi izdelki ter
vodenje postopka o carinskih in trošarinskih prekrških na prvi stopnji,
•
opravljanje kontrole vnosa in iznosa domačih in tujih plačilnih sredstev,
•
kontrola vnosa, iznosa in tranzita blaga, za katero so predpisani posebni ukrepi zaradi
interesov varnosti, varovanja zdravja in življenja ljudi, živali in rastlin,
•
varstvo okolja, varovanje nacionalnih vrednot umetniške, zgodovinske ali arheološke
vrednosti ali varovanje lastnine,
•
kontrola prehajanja oseb čez državno mejo na mejnih prehodih, ki jih določi Vlada
Republike Slovenije,
•
opravljanje drugih nalog, določenih s tem zakonom in v drugih predpisih (ZCS, 1999)
Od leta 2004 imamo v Sloveniji 10 carinskih uradov. Zaradi vstopa Slovenije v EU je nastala
potreba po prestrukturiranju carinske službe zaradi opustitve mejne carinske kontrole na
severni meji in s tem prerazporeditev carinikov na južno mejo. Iz tega razloga je bil
ustanovljen tudi novi Carinski urad Brežice, ki je pričel z delovanjem dne 01. 05. 2004.
Carinska uprava Republike Slovenije se organizacijsko deli na:
•
Generalni carinski urad – GCU,
•
deset carinskih uradov – CU kot območnih organizacijskih enot, ustanovljenih za
posamezna območja RS.
39
Slika 3.2: Carinski uradi in izpostave
Vir: Interni vir Carinske uprave Republike Slovenije (2012)
Organizacijsko shemo Carinskega urada Brežice sestavljajo direktor s pomočnikom za
strokovne zadeve in pomočnikom za splošne zadeve. Za njimi so postavljeni štirje oddelki, in
sicer oddelek za upravni postopek, prekrške in izterjave, oddelek za kontrolne zadeve,
oddelek za trošarine in oddelek za splošne in finančne zadeve. Carinski urad Brežice
sestavljata tudi dve izpostavi, in sicer carinska izpostava Železniška postaja Dobova ter
carinska izpostava Obrežje. Pod carinsko izpostavo Železniška postaja Dobova spadata tako
dva mejna prehoda, in sicer železniški mejni prehod Železniška postaja Dobova in cestni
mejni prehod Rigonce.
Carinsko izpostavo Obrežje pa sestavljajo tri enote, in sicer mejna carinska izpostava Obrežje,
mejni prehod Slovenska vas ter mejni prehod za obmejni promet Planina.
40
Organizacijsko shemo CU Brežice predstavlja shema št. 3.1.
Shema 3.1: Organizacijska struktura Carinskega urada Brežice
Vir: Interni vir Carinske uprave Republike Slovenije (2010)
Delo carinskega urada vodi direktor carinskega urada, ki je svetovalec vlade. Direktor ima
dva pomočnika upravnika, ki sta pomočnika predstojnika. Delo notranjih organizacijskih enot
v carinskih uradih vodijo vodje teh enot, ki so lahko svetovalci predstojnika, višji svetovalci
ali referenti. Delavci, ki vodijo notranjeorganizacijske enote, so odgovorni za pravočasno,
pravilno in zakonito delo v organizacijski enoti, ustrezno organizacijo dela, načrtovanje,
organiziranje, vodenje in nadziranje dela v organizacijski enoti, ki jo vodijo. Opravljajo
strokovno najzahtevnejše naloge s področja notranje organizacijske enote in sodelujejo z vodji
drugih organizacijskih enot v glavnem carinskem uradu in carinskih uradih ter opravljajo
druge naloge po nalogu in pooblastilu nadrejenega. Vodje notranjih organizacijskih enot
spremljajo in ocenjujejo uspešnost delavcev v enoti.
Kolegij direktorja carinskega urada je posvetovalno telo carinskega urada. Obravnava načelna
in druga skupna ter splošna vprašanja, pomembna za delo carinskega urada. Kolegij
praviloma sestavljajo pomočniki direktorja in vodje notranjih organizacijskih enot v
41
carinskem
uradu.
Vsakokratno
sestavo
kolegija
določi
direktor
ob
sklicu
(http://carina.gov.si/).
Za upravljanje IKT tehnologije na uradu je zadolžen IKT skrbnik – informatik, ki je v
organizacijski strukturi sistemiziran direktno pod vodstvo urada neposredno podrejen
direktorju urada. Carinska služba za svoje delovanje uporablja informacijske sisteme ter IKT
opremo, ki mora biti tudi ustrezno varovana. Razvoj, vzdrževanje in zagotavljanje delovanja
programske opreme (Carinskega informacijskega sistema) poteka v sodelovanju s
specializiranim zunanjim podjetjem. Za delovanje centralnega računalnika, na katerem teče
CIS, ter delovanje hitrega komunikacijskega omrežja državnih organov, ki povezuje vse
carinske izpostave in večino mejnih prehodov v enotno računalniško omrežje, skrbi
Ministrstvo za javno upravo, do leta 2004 pa je to nalogo vršil Center vlade za informatiko. V
desetih carinskih uradih in Generalnem carinskem uradu je uporabnikom namenjenih okoli
1.300 delovnih postaj, vključenih v 60 lokalnih računalniških omrežij, ki so povezana v hitro
komunikacijsko omrežje (HKOM). Na Carinskem uradu Brežice pa je v uporabi preko 120
delovnih ter prenosnih postaj, povezanih v lan ter strežniška oprema, locirana po sistemskih
sobah po lokacijah Carinskega urada kjer delovni proces poteka 24 ur na dan, 7 dni v tednu in
365 dni v letu.
Na CURS je bil sprejet dokument – akt Informacijska varnostna politika CURS, ki
opredeljuje tudi način izvajanja zaščite informacijskih virov in sredstev na CURS. Obsega
varovanje in zaščito vseh varovanih podatkov ter informacijsko komunikacijskih sistemov, ki
so namenjeni hranjenju, obdelavi in prenašanju teh podatkov. Vsi uslužbenci carinske službe
lahko dostopajo do tajnih podatkov stopnje INTERNO, vendar šele potem, ko so se udeležili
osnovnega usposabljanja za obravnavo in varovanje tajnih podatkov ter so podpisali ustrezno
izjavo. Dostop do tajnih podatkov stopnje ZAUPNO ali višje imajo samo tisti uslužbenci, ki
jim je bilo izdano dovoljenje za dostop do tajnih podatkov ustrezne stopnje. Postopek
pridobitve dovoljenja je določen z Uredbo o varnostnem preverjanju in izdaji dovoljenj za
dostop do tajnih podatkov. Carinska služba upravlja predvsem z naslednjimi varovanimi
podatki:
•
tajnimi podatki,
•
osebnimi podatki,
•
podatki, ki so davčna tajnost in
•
podatki, ki so poslovna skrivnost.
42
Ukrepe in postopke varovanja tajnih podatkov v komunikacijsko informacijskih sistemih
določa Uredba o varovanju tajnih podatkov v komunikacijsko informacijskih sistemih.
Uslužbenci morajo pri ravnanju z dokumenti, ki vsebujejo tajne podatke, upoštevati splošne
varnostne ukrepe, kot so zaklepanje pisalnih miz in pisarn ter ob tem dosledno upoštevati še
pravila, ki jih določajo predpisi na področju tajnih podatkov. Za uslužbence carinske službe so
pravila ravnanja s tajnimi podatki določena tudi v Aktu o ravnanju s tajnimi podatki in o
načinu varovanja tajnih podatkov v carinski službi. Zakon o varstvu osebnih podatkov kot
osebni podatek določa katerikoli podatek, ki se nanaša na posameznika, ki je določena ali
določljiva fizična oseba, ne glede na obliko, v kateri je izražen. Zakon o varstvu osebnih
podatkov torej varuje samo tiste podatke, za katere vemo, kateri osebi pripadajo. Podatki o
gospodarskih družbah, samostojnih podjetnikih posameznikih, kjer gre za njihovo opravljanje
dejavnosti se ne štejejo za osebne podatke in jih ko take Zakon o varstvu osebnih podatkov ne
varuje. Ker je CURS del javnega sektorja, lahko obdeluje osebne podatke le, če obdelavo
osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon. V skladu z Zakonom o
varstvu osebnih podatkov mora CURS za vsako zbirko osebnih podatkov vzpostaviti katalog
zbirke osebnih podatkov. Iz teh katalogov je potrebno posredovati določene podatke
informacijski pooblaščenki, ki vodi register vseh zbirk osebnih podatkov in je objavljen na
njeni spletni strani. CURS ima v registru trenutno prijavljenih 27 zbirk, ki jih CURS vodi na
podlagi Zakona o carinski službi oziroma na podlagi drugih predpisov. Varovanje osebnih
podatkov je natančno opisano v Aktu o zavarovanju osebnih podatkov v carinski službi. Tu so
zajeti pravni, organizacijski oziroma tehnični postopki, s katerimi se:
•
varujejo prostori, oprema in sistemska programska oprema;
•
varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
•
zagotavlja varnost posredovanja in prenosa osebnih podatkov;
•
onemogoča nepooblaščenim osebam dostop do naprav, na katerih se obdelujejo osebni
podatki, in do zbirk osebnih podatkov;
•
omogoča naknadno ugotavljanje, kdaj so bili posamezni podatki uporabljeni in
vneseni v zbirko podatkov in kdo je to storil (Carina.si, 2009).
Varovanje podatkov, ki zadevajo davčno tajnost, ureja Pravilnik o izvajanju Zakona o
davčnem postopku. Ta v posebnem poglavju »Fizični, organizacijski in tehnični ukrepi za
varovanje podatkov, ki so davčna tajnost« določa:
43
•
označevanje davčne tajnosti na dokumentih (vsak izhodni dokument mora biti
opremljen z oznako »DAVČNA TAJNOST«);
•
varovanje prostorov davčnega organa (podatki, ki so davčna tajnost, se lahko
obravnavajo samo v določenem, vidno označenem in zaščitenem prostoru oz. objektu.
V carinski službi so z ustreznimi nalepkami označeni vsi poslovni prostori službe.
Predpisani splošni varnostni ukrepi se nanašajo na hrambo ključev, shranjevanje
dokumentov v omare in pisalne mize, zaklepanje pisarn ob odsotnosti uslužbenca,
spremljanje obiskovalcev, prepoved kajenja ipd.);
•
varovanje strojne ter sistemske in aplikativne programske računalniške opreme, s
katero se obravnavajo podatki, ki so davčna tajnost (uporaba samo za izvajanje nalog
organa, dostop samo vnaprej določenim uslužbencem, javljanje napak pristojni
organizacijski enoti ipd.);
•
nepooblaščen dostop do podatkov, ki so davčna tajnost (sistem gesel za avtorizacijo in
identifikacijo uporabnikov);
•
možnost poznejšega ugotavljanja, kdaj so bili podatki, ki so davčna tajnost,
posredovani drugim naslovnikom;
•
izvajanje informacijske varnostne politike organa.
Pravilnik o izvajanju zakona o davčnem postopku določa, kako ravnati s podatki, ki so
označeni kot davčna tajnost. Carinski uslužbenci morajo ob nastopu dela podpisati tudi
ustrezno izjavo o varovanju podatkov.
3.2
Strukturni pregled obstoječega akta IVP CURS
Informacijska varnostna politika je dokument, ki opredeljuje način, a katerim Carinska uprava
Republike Slovenije izvaja zaščito svojih informacijskih virov in sredstev. Obsega varovanje
in zaščito vseh zaupnih ali drugače občutljivih podatkov ter informacijsko komunikacijskih
sistemov, ki so namenjeni hranjenju, obdelavi in prenašanju podatkov.
V IVP CURS so zajeta vsa pomembna področja informacijske varnosti znotraj carinske
službe. Opredeljena so tudi tveganja, ki se lahko pojavijo na tem področju, hkrati pa so
ponujeni organizacijski in tehnološki ukrepi za njihovo zmanjševanje. IVP CURS je
razdeljena na posamezna področja. Ta so medsebojno prepletena in skupaj tvorijo nedeljivo
celoto. Le z zagotavljanjem ukrepov na vseh področjih je namreč mogoče govoriti o celoviti
in učinkoviti informacijski varnosti. Izhaja iz večnivojske strukture, kot osnovo ima na vrhu
44
dokument »Izjava vodstva o vzpostavitvi sistema informacijskega varovanja v CURS«. Drugi
nivo je dokument »Krovna politika sistema informacijskega varovanja CURS«, tretji nivo v
hierarhični strukturi je dokument »Informacijska varnostna politika CURS« (IVP CURS, 2008).
Shema 3.2: Hierarhična struktura dokumentov
Vir: IVPCURS (2008)
3.2.1
Namen vzpostavitve IVP na CURS
Z Informacijsko varnostno politiko se v okviru CURS predpisuje način vzpostavitve in
upravljanja sistema informacijskega varovanja, odgovornosti za sistem, delo s človeškimi viri,
zagotavljanje varnega okolja, upravljanje dostopov do informacijskih virov in sredstev,
zagotavljanje
neprekinjenega
poslovanja,
upravljanje
informacijskih
sistemov
ter
zagotavljanje sistema izobraževanja in obveščanja (IVPCURS, 2008).
Informacijska varnostna politika CURS zavezuje vse javne uslužbence ter zunanje izvajalce
pri delu carinske službe. Določbe o zavezanosti posameznega javnega uslužbenca ali
zunanjega izvajalca k informacijski varnostni politiki so sestavni del pogodbe o zaposlitvi
oziroma drugih pogodb s katerimi je opredeljeno delo zunanjih izvajalcev v CURS. Če je
45
potrebno, informacijska varnostna politika velja tudi zunaj prostorov CURS in izven
delovnega časa. Še posebej to velja, kadar gre za delo na daljavo (IVPCURS, 2008).
Z implementirano IVP v delovno okolje oziroma delovni proces carinskega urada želi
organizacija doseči zastavljeni cilj, to je neprekinjeno in učinkovito poslovanje s čim manj
varnostnih incidentov oziroma okvar. Za doseganje omenjenega cilja pa je potrebno dosledno
izvajanje sprejetega akta o varovanju, kar pomeni tudi spremljanje pojavov kršitev IVP ter
sankcioniranje.
3.2.2
Odgovornosti v sistemu informacijskega varovanja
Za uspešno in učinkovito izvajanje sistema informacijskega varovanja so v okviru svojih
pooblastil
odgovorni
vsi uslužbenci
CURS. Za
vpeljavo,
spremljanje
delovanja,
vzpostavljanje kontrolnih postopkov, poročanje, dopolnjevanje IVP in pri ostalih pomembnih
zadevah s področja sistema informacijskega varovanja so zadolženi nosilci sistema
informacijskega varovanja CURS. To so:
•
ožji kolegij generalnega direktorja CURS,
•
skupina za informacijsko varnost,
•
skrbnik sistema informacijskega varovanja,
•
poslovni in IKT skrbniki (IVPCURS, 2008).
Odgovornosti zgoraj navedenih skupin in posameznikov pa so podrobno opisane v podrobnih
dokumentih IVP CURS.
3.2.3
Področja, ki jih pokriva IVP CURS-a
IVP CURS-a pokriva širok segment varovanja za področje, ki zadeva uporabnike, pa so
pomembna naslednja:
•
zagotavljanje varnega okolja,
•
varovana območja,
•
politika čiste mize in praznega zaslona,
•
odgovornost uporabnikov IKT opreme,
•
uporaba IKT opreme v zasebne namene,
•
mobilna IKT oprema,
46
•
upravljanje informacijskih sistemov,
•
zaščita pred računalniškimi virusi in drugimi oblikami zlonamerne programske kode,
•
izdelava varnostnih kopij podatkov,
•
uporaba izmenljivih nosilcev podatkov,
•
uničevanje nosilcev podatkov,
•
uporaba elektronske pošte,
•
uporaba svetovnega spleta (interneta),
•
varnostni dogodki in okvare,
•
obvladovanje dostopov,
•
dodeljevanje dostopnih pravic,
•
odgovornost uporabnikov – gesla, sredstva za dostop.
3.2.4
Poslovni in IKT skrbniki
Poslovnega oziroma IKT skrbnika je potrebno zagotoviti za vsak zaokrožen poslovni proces
podprt z informacijskimi sistemi. Poslovni skrbnik pokriva vsebinski del poslovnega procesa,
IKT skrbnik pa njegovo IKT podporo.
Oba skrbnika morata pri zagotavljanju podpore določenemu poslovnemu procesu med seboj
tesno sodelovati.
Poslovni skrbnik izvaja naslednje naloge:
•
skrbi za nemoteno delovanje poslovnih procesov,
•
skrbi za ustrezno klasifikacijo (zaupnost, pomembnost, nepogrešljivost …)
informacijskega sistema,
•
sodeluje pri pripravi sistema pooblastil za dostop do informacijskega sistema,
•
sodeluje pri dodeljevanju pooblastil za dostop do informacijskega sistema,
•
določi ustrezen način varnostnega arhiviranja,
•
predlaga postopek nadzora nad izvajanjem IVP pri zunanjih izvajalcih,
(IVPCURS, 2008).
IKT skrbnik izvaja naslednje naloge:
•
skrbi za nemoteno delovanje IKT podpore enega ali več med seboj povezanih
poslovnih procesov,
47
•
skupini za informacijsko varnost predlaga ustrezne načine upravljanja IKT podpore,
•
določa postopke za tekoče izvajanje IKT podpore,
•
predlaga in zagotavlja izvajanje varnostnih ukrepov na področju IKT podpore,
•
izvaja postopke v zvezi z dodeljevanjem pravic dostopa do informacijskih sistemov,
za katere formalen dostop odobri poslovni skrbnik. O dodeljenih pravicah je dolžan
voditi natančno evidenco,
•
izvaja postopke v zvezi z varnostnim arhiviranjem podatkov, določene s strani
poslovnega skrbnika,
•
predlaga postopek nadzora nad izvajanjem IVP pri zunanjih izvajalcih (IVPCURS,
2008).
4
VPLIV
IVP
NA
DELOVANJE
IKT
OPREME
ZAGOTAVLJANJU INFORMACIJSKE VARNOSTI
PRI
Carinska uprava kot organ Ministrstva za finance uporablja številne IKT rešitve za
zagotavljanje učinkovitega delovnega procesa. Merjenje uspešnosti in učinkovitosti delovanja
IKT je možno izvajati na različne načine in s pomočjo ustrezne tehnologije za posamezno
IKT. Učinkovitost lahko vrednotimo po predhodno definiranih meritvenih metrikah, lahko pa
le-to ugotavljamo s pomočjo neformalnih metod, kar se delno izvaja tudi na obravnavanem
primeru Carinske uprave RS. Vprašanje ki se postavlja je, kako IKT vpliva na učinkovitost in
uspešnost delovanja službe. Da bi prišli do odgovora, je potrebno analizirati obstoječe sisteme
merjenja učinkovitosti in uspešnosti v organizaciji. Pod IKT smatramo široko področje, ki ga
želimo spremljati oziroma meriti njeno uspešnost in učinkovitost delovanja. Help Desk s
centralne lokacije nadzira, meri ter servisira IKT sisteme generalno, po lokacijah pa del te
naloge opravljajo lokalni informatiki, pri čemer tudi vodijo evidence okvar IKT opreme ter
izpadov in preko analiz in poročil izvajajo meritve uspešnosti in učinkovitosti IKT
tehnologije. Kot skrbniki IKT opreme so na tem nivoju tudi odgovorni, da oprema deluje
brezhibno in učinkovito. Informacijska varnostna politika in njeno izvajanje vplivata na
učinkovitost IKT, pri čemer pa to tudi lahko merimo z revizijskimi poročili kot neformalno
metodo merjenja uspešnosti in učinkovitosti.
48
4.1
Analiza uvedbe IVP
Z vzpostavitvijo akta o varovanju podatkov in informacij – IVP na CURS se je informacijska
varnost nedvomno izboljšala. Predvsem se je zmanjšalo število varnostnih incidentov, kar je
prispevalo k večji učinkovitosti delovanja IKT opreme, posledično pa se je izboljšal tudi
delovni proces. Prednosti uvedbe akta IVP kakor tudi vpliv na učinkovitost delovanja IKT
opreme smo analizirali v tabeli Swot analiza, ki je predstavljena v tabeli št 4.1.
Tabela 4.1: SWOT analiza
PREDNOSTI
POMANJKLJIVOSTI
•
Zmanjšanje števila okvarjenih računalnikov in naprav
•
Zmanjšana zaznava zlonamernih programov, virusov,
•
na določenih mestih
•
trojanskih konjev itd.
Omejitve dostopa do interneta
Onemogočena uporaba usbključkov
•
Manj primerov izgub podatkov
•
Boljša preglednost nad uporabo IKT
•
Večja varnost pri elektronskem poslovanju
•
Manjše število izpadov sistemov
•
Prilagajanje uporabnikov
•
Nadzor dostopov
•
Odpor na spremembe
•
Lažje odkrivanje kršiteljev
•
Neprekinjeno poslovanje
•
Onemogočena uporaba cdpogona
PRILOŽNOSTI
NEVARNOSTI
•
Ocena tveganja
•
Neosveščenost uporabnikov
•
Redno usklajevanje delovnih procesov in določil IVP
•
Odpor zaposlenih
•
Nadgrajevanje
in
izpopolnjevanje
akta
IVP, •
Nedostopnost informacij
vključujoč novejša ogrodja in primere dobrih praks
Vir: Lastni prikaz (2012)
Tabela prikazuje prednosti, pomanjkljivosti, priložnosti ter nevarnosti, ki so rezultat
vzpostavitve dokumenta oziroma akta službe o informacijskem varovanju na CURS-u. Iz
tabele je razvidno, da je implementacija IVP na Carinskem uradu Brežice prinesla več
pozitivnih stvari kot pa negativnih. Nadzor dostopa v objekte, večja preglednost nad uporabo
IKT, neprekinjeno poslovanje ter predvidene aktivnosti na področju informacijskega tveganja
49
so pomembne prednosti uvedbe IVP. Posledično se je zmanjšalo tudi število okvar ter
varnostnih incidentov, saj so uporabniki uvideli, da so z upoštevanjem določil omenjenega
dokumenta prispevali posredno k izboljšanju učinkovitosti delovnega procesa. Manj kot je
izpadov sistema ter manj kot je okvar in varnostnih incidentov, hitrejši so postopki v
delovnem procesu, kar prispeva k večjemu zadovoljstvu zaposlenih, strank v postopkih ter
samega vodstva. Določila IVP predvidevajo tudi številne omejitve uporabnikom, kot so
onemogočena uporaba USB-ključev, CD-pogona, internetnega dostopa na določenih delovnih
mestih itd. Po uvedbi teh omejitev se je izkazalo, da je okvar delovnih postaj resnično manj,
saj je distribucija morebitnih zlonamernih programov, virusov idr. onemogočena in s tem
delovni proces teče nemoteno. Vsaka sprememba zahteva določen čas, da se uporabniki
prilagodijo in sprejmejo novosti. Posamezni uporabniki IKT so določila IVP tudi težje
sprejeli, saj določene omejitve onemogočajo uporabo nekaterih funkcionalnosti.
Kot priložnost pa štejemo lahko izdelan profil varnostnega tveganja, ki se ga redno nadgrajuje
in posodablja s tokom razvoja informacijsko komunikacijske tehnologije ter o spremembah
določil dokumenta IVP redno seznanja tudi vse uporabnike oziroma zaposlene.
4.2
Analiza ter rezultati raziskave
Glede na izvedeno predhodno analizo uvedbe IVP kakor tudi na podlagi evidenc ter poročil
lahko povzamemo, da se je v delovnem okolju zadeva izkazala kot zelo pozitivna. Delavci so
uvedbo IVP sprejeli pozitivno in jo tudi upoštevajo pri svojem delu pri uporabi IKT opreme
ter informacijskih sistemov. Tudi rezultati kvalitativne raziskave, ki je bila izvedena potrjujejo
pozitiven vpliv akta o informacijskem varovanju na zmanjšanje pojavov varnostnih
incidentov ter okvar IKT opreme, posledično pa to vpliva tudi na delovni proces, ki zahteva
neprekinjeno delovanje opreme oziroma informacijskih sistemov. Prav tako je notranja
revizija področja informacijske varnosti, ki jo je izvedel Generalni carinski urad na CU
Brežice potrdila, da so vse ključne kontrole na tveganih segmentih vzpostavljene in da
delujejo.
4.2.1
Oddelek za centralno pomoč uporabnikom – Help Desk
Oddelek za centralno pomoč uporabnikom oziroma Help Desk CURS-a je enotna vstopna
točka za podporo zunanjim in notranjim uporabnikom in deluje po sistemu 24/7/365. Gre za
oddelek v okviru Carinske uprave RS, ki nudi prvo, osnovno raven pomoči s svetovanjem pri
znanih rešitvah in posredovanjem zadev sektorjem pri zahtevnih vsebinskih in postopkovnih
50
zadevah s področja informacijskih sistemov ter IKT tehnologije, ki jo carinska služba in njeni
partnerji uporabljajo pri svojem delu. V okviru CURS-a za IT skrbi sektor za informatiko, po
organizacijskih enotah pa so to IKT skrbniki opreme – informatiki.
Poglavitna naloga oddelka Help Desk oziroma operaterjev je nadziranje in spremljanje
delovanja vseh informacijskih sistemov in IKT tehnologije, ki jo uporabljajo zaposleni,
sekundarna naloga pa je merjenje same učinkovitosti IKT s pomočjo ustreznih programov in
aplikacij za zbiranje in obdelavo informacij z evidencami ter poročili. V sklopu administracije
sistemov gre za več kot 50 aplikacij, katerih delovanje je nujno potrebno za izvajanje
procesov. Za sporočanje o napakah in okvarah se uporablja sistem Incident Monitor, preko
katerega se beležijo vsi klici uporabnikov ter posredujejo v reševanje pristojnim. Obenem pa
se vsaka prijava spremlja, dokler ni napaka odpravljena. Vsak prejeti klic po
elektronski/navadni pošti ali po telefonu/telefaksu, ki predstavlja problem na nekem področju
delovanja carinskih aplikacij ali pa kakršnikoli drugo vprašanje v zvezi z IKT tehnologijo se
evidentira kot vstopni klic v Help Desk aplikacijo, s katero le-ta operira. Uslužbenec Help
Deska, ki predstavlja I. nivo reševanja, lahko problem reši oziroma ga v primeru, da ga sam
ne zna ustrezno rešiti, posreduje v reševanje II. nivoju, to je strokovnjak področja v okviru
CURS-a. Reševalci klica na II. nivoju pa lahko v reševanje klica vključijo III. nivo, ki ga
predstavljajo zunanji pogodbeniki za vzdrževanje IT-sistemov. Za potrebe spremljanja,
beleženja oziroma merjenja so v uporabi aplikacijske rešitve: Help Desk aplikacija, RIPadmin, Web-nadzor, Sistem za sledenje vitalnih parametrov omrežja, Zenworks ter Nagios.
V sklopu svojih nalog Help Desk izdaja tudi obdobna poročila o učinkovitosti IKT sistemov
preko tipskih poročil, ki vključujejo tudi podatke – poročila notranje organizacijskih enot, ki
pa so neformalno strukturirana. Sektor za informatiko na Generalnem carinskem uradu v
skladu z zastavljenimi cilji in strategijo CURS zbrane podatke obdela v nadaljnjih analizah ter
tako poda obdobno poročilo o uspešnosti oziroma učinkovitosti enkrat letno. V letnem
poročilu, ki ga objavi CURS, se predvsem navaja podatek o (ne)dosegljivosti oziroma o
(ne)delovanju informacijskega sistema, pri čemer pa v poročilu niso strukturirani vzroki, ali je
šlo za strojno ali programsko napako.
51
Slika 4.1: Help Desk aplikacija
Vir: Interni vir Carinske uprave Republike Slovenije (2012)
Osrčje delovanja carinske službe predstavlja Carinski informacijski sistem, katerega vzdržuje
in servisira pogodbeni zunanji izvajalec, ki nosi tudi neposredno odgovornost. Ažurno
spremljanje sistema, merjenje odzivnosti ter obremenjenosti IKT opreme oziroma strežnikov,
posredno tudi učinkovitosti, pa Carinska uprava RS izvaja preko Help Desk-a s pomočjo
programske opreme. Namen merjenja oziroma spremljanja (ne)delovanja je zagotoviti čim
krajši odzivni čas sanacije oziroma odprave napak in nedelovanja sistema. Tu gre za merljive
cilje – čas izpada sistema v minutah, kar se evidentira v dnevnem poročilu učinkovitosti
informacijskega sistema, predstavljeno kot št. min. nedelovanja/24 ur. Help Desk zabeležene
dnevne, tedenske oziroma mesečne informacije v obliki poročila posreduje Generalnemu
carinskemu uradu, ki poročila analizira. Ob ugotovljenem odstopanju od pogodbenih
obveznosti poslovni skrbnik informacijskega sistema na generalnem uradu od zunanjega
izvajalca zahteva pojasnila.
52
4.2.2
Analiza kvalitativne raziskave
Skrbnik računalniške opreme (informatik carinskega urada), ki je odgovoren za nemoteno
delovanje IKT opreme ter izvaja tudi ukrepe za zagotavljanje informacijske varnosti,
določene v aktu o informacijskem varovanju IVP CURS-a, nam je podal pojasnila za
pojasnitev hipotez raziskovalnega vprašanja. Tematika kvalitativne raziskave je obsegala
področje informacijske varnosti in je razdeljena na enajst enot:
1. Informacijska varnost
2. Vpliv informacijske varnosti na poslovanje
3. Skrb za informacijsko varnost
4. Dokument o informacijskem varovanju in seznanjenost z njim
5. Jasnost določb Informacijske varnostne politike
6. Pojavi kršitev Informacijske varnostne politike pri uporabi informacijske opreme
7. Okvare opreme in primeri varnostnih incidentov
8. Pravila Informacijske varnostne politike in vrste kršitev
9. Razlogi kršitev informacijske varnostne politike pri uporabnikih
10. Restriktivnost informacijske varnostne politike
11. Uvedba informacijske varnostne politike, prednost ali ovira
Domnevo (H1), ali Informacijska varnostna politika pripomore k učinkovitejšemu delovanju
IKT opreme, ker predpisuje zaščitne varnostne kontrole ter omejitve, potrjuje tudi analiza
notranjerevizijske službe, ki je potrdila ustreznost vpeljanih kontrol ter zaščitnih varnostnih
ukrepov. Intervjuvanec (informatik) nam je podal izčrpne informacije z odgovori na
usmeritvena vprašanja, ki potrjujejo rezultate revizijskega poročila. Z vpeljavo IVP se je
celovita informacijska varnost izboljšala, delovno okolje je postalo bolj varno. Vzpostavljen
je bil nadzor dostopanja v prostore in aplikacije. Večja je tudi zanesljivost delovanja,
dostopnost do podatkov in informacij ter večje zadovoljstvo uporabnikov. Beleženo je tudi
manj okvar, k čemer so pripomogle preventivne aktivnosti za zagotavljanje varnosti z
vpeljavo večnivojske zaščite, pomanjkljivosti pa je manj. Vpeljava akta o informacijskem
varovanju je ocenjena kot zelo pozitivna, pri čemer je potrebno poudariti pomembnost določb
akta oziroma njegovih prednosti. Pomembno je tudi izvajanje samega akta ter redno
posodabljanje, pri čemer se stremi k jasnosti in transparentnosti. Za pojasnitev domneve H2 ki
predpostavlja, da Informacijska varnostna politika posredno pripomore k izboljšanju
delovnega procesa zaradi zmanjšanja pojavov varnostnih incidentov ter okvar ter domneve
53
H3, da je za informacijsko varnost na Carinskem uradu Brežice dobro poskrbljeno, saj se IVP
izvaja v vseh ključnih segmentih, je bila uporabljena analiza kvalitativnega raziskovanja, pri
čemer rezultate lahko prikažemo tudi s pomočjo tabele št. 4.2. ter izdelanega paradigmatskega
modela kvalitativne analize, ki je prikazan v shemi št. 4.1. ter shemi št. 4.2.
Tabela 4.2: Analiza kvalitativnega raziskovanja
1. nivo
2 . nivo
3. nivo
CELOVITA INFORMACIJSKA
VARNOST
Varnost informracij in podatkov
Varno delovno okolje
Tehnološka in fizična varnost
Zadovoljstvo
Okvare in izpadi
Večnivojska zaščita
Tehnično varovanje
Določbe akta – IVP
Nadzor dostopov
ZANESLJIVOST DELOVANJA
AKTIVNOSTI ZA ZAGOTAVLJANJE
VARNOSTI
AKT O INFORMACIJSKEM
VAROVANJU
VARNOSTNI INCIDENTI
Zloraba opreme
Zloraba interneta
Kršitev zakonodaje
Nepooblaščena uporaba
Nepravilna uporaba
Upravičeni razlogi kršitev
Neupravičeni razlogi kršitev
USTREZNOST DOLOČIL IVP
Omejitve pravic
Pokritost področja informacijskega
varovanja
Boljše delovanje opreme
Varno ravnanje s podatki
Manj kršitev in incidentov
Obvladovanje varnostnih
incidentov in kršitev
Zavedanje uporabnikov
REZULTATI UVEDBE IVP
Vir: Lastni prikaz (2012)
54
Preventivne aktivnosti
Pomanjkljivosti
Prednosti akta
Jasnost in preglednost
akta IVP
Izvajanje akta
Posodabljanje akta
Izvajanje nadzora
Sankcije in omejitve
Preventivni ukrepi in
rezultati
Posledice incidentov
Preiskava incidentov
Posledice
Razlogi kršitev
Vzroki
Zasebnost
Obveščanje o posegih
Manj zlorab
Izboljšan delovni proces
Stabilnost
Neprekinjeno poslovanje
Produktivnost
Shema 4.1: Paradigmatski model
Vir: Lastni prikaz (2012)
55
Shema 4.2: Razširjen paradigmatski model
AKT O
INF.VAROVANJU
DOLOČBE AKTA
PREDNOSTI
JASNOST-PREGLEDNOST
VARNOST INFORMACIJ IN PODATKOV
DELOVNO OKOLJE
IZVAJANJE
POSODABLJANJE
CELOVITA
INFORMACIJSKA
VARNOST
TEHNOLOŠKA IN FIZIČNA
VARNOST
NADZOR DOSTOPOV
USTREZNOST
DOLOČIL AKTA IVP
AKTIVNOSTI ZA
ZAGOTAVLJANJE
VARNOSTI
POMANJKLJIVOSTI
OMEJITVE PRAVIC
MANJ ZLORAB
POKRITOST PODROČJA INF. VAROVANJA
POMANJKLJIVOSTI
VEČ NIVOJSKA ZAŠČITA
POMANJKLJIVOSTI
KRŠITVE IN
INCIDENTI
ZANESLJIVOST
DELOVANJA
SANKCIJE IN OMEJITVE
ZLORABA OPREME
ZADOVOLJSTVO
OKVARE IN IZPADI
PREVENTIVNE AKT.
REZULTATI
UVEDBE IVP
ZLORABA INTERNETA
KRŠITEV ZAKONODAJE
NEPOOBLAŠČENA UPORABA
BOLJŠE DELOVANJE OPREME
IZBOLJŠAN DELOVNI PROCES
PREISKAVA INCIDENTOV
POSLEDICE
NEPRAVILNA UPORABA
VARNO RAVNANJE S PODATKI
NEPREKINJENO POSLOVANJE
MANJ KRŠITEV IN INCIDENTOV
STABILNOST
OBVLADOVANJE KRŠITEV IN INCIDENTOV
VEČJA PRODUKTIVNOST
IZVAJANJE NADZORA
ZAVEDANJE UPORABNIKOV
Vir: Lastni prikaz (2012)
Implementacija akta IVP na Carinski urad Brežice je tako prispevala k bolj varnemu ravnanju
s podatki, učinkovitejšemu delovanju opreme, lažjemu obvladovanju varnostnih incidentov in
pojavom kršitev, ki so se tudi močno zmanjšali, kar bomo prikazali tudi z analizo poročil o
varnostnih incidentih v naslednjem poglavju. Iz odgovorov, ki jih je na zastavljena vprašanja
podal intervjuvanec, lahko razberemo, da se je izboljšalo tudi zavedanje uporabnikov glede
varne uporabe IKT tehnologije. Izvajanje akta o informacijskem varovanju vpliva na pojave
kršitev in incidentov, ki jih je manj, s tem so mišljeni zloraba opreme, zloraba interneta,
kršitev zakonodaje, nepooblaščena uporaba ter nepravilna uporaba, vse to posledično tudi
zaradi nadzora in možnosti odkrivanja vzrokov oziroma preiskave ter uvedbe sankcij, ki
sledijo. So tudi izjemne situacije, v katerih se kršitev tolerira ob takojšnjem obveščanju
pooblaščenih oseb. Pomembno pri tem je, da ne prihaja do kršitev zasebnosti. Posledično je
prišlo do izboljšanja delovnega procesa ter s tem tudi večje produktivnosti pri carinskih
delavcih, stabilnosti delovanja ter neprekinjenega poslovanja.
56
4.2.3
Analiza poročil IKT skrbnikov
Za zaščito pred zlonamerno programsko kodo, virusi in neželenimi aplikacijami je na vseh
delovnih postajah in strežnikih nameščena protivirusna zaščita. Za spremljanje delovanja
delovnih postaj in strežnikov ter obveščanje o stanju zaščite pred zlonamerno programsko
kodo CURS uporablja sistem »SWEEPALERT«, ki beleži vse pojave opredeljenih varnostnih
incidentov. Sistem beleži vse programe, ki so opredeljeni kot neželena aplikacija, dostope do
strani ki vsebujejo zlonamerno programsko kodo, viruse, trojanske konje ter druge kršitve, ki
so opredeljene tudi v aktu IVP. Iz podatkov o beleženih varnostnih incidentih za leta 2008,
2009 in 2010 lahko povzamemo, da se je število le-teh po implementaciji akta o
informacijskem varovanju IVP CURS na Carinskem uradu Brežice močno zmanjšalo, kar je
razvidno tudi iz grafa št. 4.1.
Graf 4.1: Varnostni incidenti
VARNOSTNI INCIDENTI
6000
5000
4000
3000
2000
5020
1000
1591
0
2008
114
2009
2010
Vir: Lastni prikaz (2012)
Iz analize mesečnih poročil informatike o nedelovanju sistemov, aplikacij, primerov okvar
opreme ter motenj delovanja omrežja na Carinskem uradu Brežice za leto 2008, 2009, 2010
ter 2011 lahko vidimo, da se je učinkovitost delovanja opreme, aplikacij kakor tudi mrežnih
povezav zelo izboljšala, saj podatki kažejo na večjo učinkovitost delovanja za več kot 50 %
primerjalno za leto 2008 ter leto 2011, kar je razvidno tudi iz grafa št. 4.2.
57
Graf 4.2: Varnostni incidenti in okvare 2008 – 2011
VARNOSTNI INCIDENTI – OKVARE
180
160
140
120
100
80
60
40
20
0
DELOVNE
POSTAJE
STREŽNIKI
MREŽNE
POVEZAVE
2008
2009
2010
OSTALA
OPREMA
APLIKACIJE
2011
Vir: Lastni prikaz (2012)
4.2.4
Analiza revizijskih poročil
Rezultat analize notranjerevizijskega poročila kaže, da ni bilo ugotovljenih večjih
nepravilnosti po vseh področjih, ki jih opredeljuje akt o informacijskem varovanju IVP
CURS. Potrdili so delovanje vključenih varnostnih kontrol ter izvajanje akta IVP v vseh
segmentih. Revizorji informacijskih sistemov oziroma informacijske varnosti so podali nekaj
manjših pripomb glede alarmiranja ob pregrevanju v sistemskih prostorih, kar je bilo
zabeleženo tudi v revizijskem poročilu. Odziv vodstva na opozorila revizorjev je bil zelo
pozitiven, saj je takoj stekel projekt dograditve sistema za alarmiranje. V tem segmentu se
tako pokaže smisel izvajanja revizij informacijskih sistemov, saj se na zaznana tveganja lahko
pravočasno odzovemo in preprečimo morebitne okvare ter posledično izpade delovnega
procesa, kar je za carinski urad ključno, saj posamezne izpostave poslujejo neprekinjeno,
24/7/365. Poudariti pa je potrebno, da notranjerevizijska služba ni preverjala samega akta IVP
glede na ustreznost vgrajenih standardov glede na novejše tehnologije, ampak le s ciljem
ugotavljanja dejanskega stanja pri izvajanju varnostne politike.
58
4.3
Kritični pregled uspešnosti
Pri analiziranju uspešnosti in učinkovitosti IKT na primeru Carinskega urada Brežice so
upoštevani pridobljeni podatki iz internih evidenc oddelka za centralno pomoč uporabnikom,
ter evidenc lokalnih informatikov, kakor tudi rezultati notranjerevizijskih poročil. Neprestani
nadzor in s tem merjenje učinkovitosti delovanja sistemov in aplikacij pa je na Carinski
upravi RS vršen iz centralne lokacije Help Desk, kar nadalje omogoča tudi poenostavljeno
obveščanje vseh notranjih in zunanjih uporabnikov ob izpadih ali nedostopnosti. Ob enem se
izvaja tudi merjenje učinkovitosti delovanja IKT tehnologije in sistemov z dnevnimi,
tedenskimi, mesečnimi in letnimi statističnimi poročili, ki jih izvaja Help Desk. Merjenje
učinkovitosti IKT oziroma informacijskega sistema se izvaja s pomočjo orodja, aplikacije za
merjenje odzivnosti informacijskega sistema. Prav tako Help-desk izvaja meritve
učinkovitosti delovanja strojne opreme – procesorjev preko spletne aplikacije.
Iz meritvenih poročil (ne)uspešnosti delovanja informacijskega sistema SICIS, ki ga je Help
Desk objavil v internem poročilu za leto 2010, je moč razbrati, da je bil informacijski sistem
SICIS izredno nestabilen, kar se je odražalo v številnih izpadih delovanja. Iz poročila CURS-a
za leto 2010 je razvidno, da je bilo zabeleženih 355 ur nedelovanja oziroma motenega
delovanja informacijskega sistema. (CURS, 2010).
Vzroke za tako stanje je moč delno prepisati programski kodi, saj meritve učinkovitosti na
strojni opremi niso pokazale pomanjkljivosti. Pri analiziranju sistemov za merjenje
učinkovitosti IKT na Carinski upravi lahko ugotovimo, da kljub vzpostavljenim centrom
Help-desk služba nima izdelanih natančnih meritvenih metrik, po katerih bi bilo možno
vrednotiti samo uspešnost IKT tehnologije. Tako je možno podati le okvirno oceno (ne)
učinkovitosti glede na strateški plan delovanja, ki stremi k neprekinjenemu poslovanju.
Vrednotenje neučinkovitosti glede na stroškovni vidik je zelo kompleksno, saj izpad sistema
pomeni zastoj v verigi podjetja–izvozniki–deklaranti–uvozniki–podjetja oziroma dobavitelji, s
katerimi CURS posluje oziroma jih servisira, tako že manjši izpad lahko povzroči večjo
gospodarsko škodo.
Interne evidence IKT skrbnikov – informatikov opreme povzemajo segmente neprekinjenega
poslovanja IKT opreme in varnostnih sistemov notranje organizacijskih enot CURS-a. Gre za
beleženje okvar IKT opreme po lokacijah in s tem analiziranje učinkovitosti delovanja. Tudi
na tem nivoju merjenja služba nima izdelanih natančnih meritvenih metrik, po katerih bi bilo
vrednotenje učinkovitosti oziroma uspešnosti moč podati natančneje.
59
Z vzpostavitvijo akta o varovanju podatkov in informacij IVP sta se informacijska varnost in
posledično učinkovitost IKT tehnologije nedvomno izboljšala. Po implementaciji v letu 2008
se je predvsem zmanjšalo število varnostnih incidentov, kar je prispevalo k brezhibnosti
izvajanja delovnih procesov.
CURS preko akta IVP zagotavlja zaščito svojih informacijskih virov in sredstev ter ob enem
preverja učinkovitost delovanja IKT tehnologije. Prav na tak način ob obdobnih pregledih
revizorji ocenjujejo učinkovitost delovanja vseh segmentov uporabe IKT tehnologije in
sistemov. Notranje revidiranje lahko definiramo kot neodvisno in nepristransko mnenje,
svetovanje vodstvu z namenom povečevanja učinkovitosti in izboljšanja delovanja
organizacije. Cilj IT revizije v obravnavanem primeru Carinske uprave RS oziroma
Carinskega urada, Brežice, na katerem je bila izvedena, je bil ugotoviti dejansko stanje pri
izvajanju IVP, izmeriti morebitna odstopanja, izpostaviti določena tveganja, ki se pojavljajo,
in podati priporočila za odpravo pomanjkljivosti.
Kot rezultat meritve učinkovitosti delovanja IKT ter uspešnosti pri zagotavljanju
informacijske varnosti je izdano notranjerevizijsko poročilo, ki natančno oceni vsa področja
ter predlaga tudi rešitve za odpravo morebitnih pomanjkljivosti. CURS izvaja revizijo IT-ja
po carinskih uradih obdobno, in sicer predvidoma enkrat letno. Na obravnavanem primeru
Carinske uprave RS povzemam revizijsko poročilo, ki ga je izvedla CURS v Carinskem uradu
Brežice. Sam postopek izvedene notranje revizije na primeru Carinskega urada Brežice je
obsegal več segmentov, in sicer izvedbo intervjujev kot kvantitativne metode merjenja,
inšpekcijskih ogledov uporabljenih strojnih in programskih komponent ter kontrolo
prednastavljenih slik delovnih postaj v CU z orodjem, imenovanim Zen Works. Revizijski
pregled je obsegal ogled opreme v vseh pomembnejših prostorih s sistemsko in vozliščno
opremo in sistemske prostore po lokacijah notranje organizacijskih enot. Glede na rezultate
izvedene notranjerevizije lahko povzamemo, da se je v delovnem okolju zadeva izkazala kot
zelo pozitivna. Vse ključne kontrole na tveganih segmentih so vzpostavljene in delujejo.
4.4
Predlog izboljšav
Področje informacijske varnosti je ob hitrem razvoju tehnologije potrebno nenehno spremljati
in sprejemati ustrezne ukrepe, da je neželenih situacij čim manj. Akt IVP CURS iz leta 2008
bi bilo potrebno prilagoditi na novejše standarde, ki vključujejo smernice in ogrodja ter
primere dobrih praks. Tu gre tudi za uporabo ogrodja COBIT ter smernic uporabljenih dobrih
praks ITIL-a, katere bi bilo smiselno uporabiti pri posodobljeni verziji akta IVP, saj bi na tak
60
način vzpostavili pogoje, kjer bi ob ustrezno postavljenih meritvenih metrikah ter kontrolah
prispevali k uspešnosti in učinkovitosti IKT. Prav tako bi bilo potrebno izdelati meritvene
metrike za vso IKT opremo, saj se le na tak način lahko vrednoti sama uspešnost oziroma
učinkovitost njenega delovanja. ISO/IEC 27002 standard vključuje novosti in predvideva
razširjena nadzorstva za upravljanje virov, opredeljuje uporabo zunanjih storitev in zunanjega
izvajanja s poudarkom na varni uporabi teh možnosti. Vključuje tudi uvajanje novejših
tehnologij brezžičnega omrežja ter mobilnih omrežij. Revidirana verzija opredeljuje postopke
s tveganji in obvladovanje novih groženj ter smernice za obvladovanje varnostnih incidentov,
tako bi z vgraditvijo v IVP stopnjo informacijske varnosti povečali. S prihodom standarda
ISO 27001, ki vsebuje nabor procesov, povezanih z obvladovanjem tveganj, revizija in
certifikacija po starem standardu BS 7799-2:2002 nista več mogoča, ampak se za to uporablja
standard ISO 27001. Med predlagane standarde, ki jih je smiselno uporabiti v aktu IVP, je
standard ISO 27004, ki je bil objavljen v decembru 2009 in daje navodila za razvoj in uporabo
ukrepov merjenja za oceno učinkovitosti izvajanja informacijske varnosti, sistema upravljanja
in nadzora. Vpeljava sistema bo pripomogla k izboljšanju procesov in delovanja organizacije
v smislu učinkovitosti ter zadovoljstva zaposlenih in strank. Tudi novi standard ISO 27003, ki
je bil objavljen leta 2010, pokriva področje obvladovanja tveganj uporabe informacijskega
sistema, vsebuje podrobne smernice za upravljanje tveganj in njihov vpliv na poslovanje,
poslovne procese in ostale poslovne rizike, zato bi ga bilo tudi smiselno uporabiti. Poleg
omenjenih so še zelo uporabni ISO/IEC 27032:2012 – kibernetska varnost, ohranjanje
zaupnosti, celovitosti in razpoložljivosti ter ISO/IEC 27035 – Informacijska tehnologija –
varnostno upravljanje incidentov.
Glede na ugotovitve analize, kako CURS preko Help Desk-a spremlja delovanje Carinskega
informacijskega sistema, bi bilo smiselno vpeljati več nivojsko meritveno strukturo, kjer bi bil
prvi nivo merjenje učinkovitosti delovanja posamezne IKT opreme ter drugi nivo merjenje
učinkovitosti programske opreme, kajti oboje je ključno za uspešno delovanje sistema. Kot
strojna oprema so mišljeni predvsem strežniki in delovne postaje, kot drugo pa programska
koda, za katero brezhibnost katere je odgovoren pogodbeni zunanji izvajalec. Cilj vpeljave
metrik je večja transparentnost pri ugotavljanju učinkovitosti delovanja celotnega
informacijskega sistema, saj se ob nedelovanju sistema oziroma izpadih lažje predvidi vzrok,
ali gre za strojno ali programsko opremo. Pri strojni opremi (strežnikih) bi tako z vpeljavo
meritvenih metrik (kazalnikov) bolj natančno ovrednotili učinkovitost delovanja strežnikov.
Obremenjenost procesorjev strežnikov se izvaja preko aplikacije, kjer se spremlja le trenutna
obremenjenost. Z definirano metriko obremenjenosti procesorjev pa bi povečane obremenitve
61
sistemsko beležili – odstopanje od dovoljenega/na časovno enoto, kar bi bilo zajeto v dnevnih
oziroma mesečnih poročilih ter predmet nadaljnjih analiz učinkovitosti delovanja. Prav tako
bi za vso IKT opremo po organizacijskih enotah, kjer za opremo odgovarjajo IKT skrbniki,
izdelali metrike, po katerih bi vrednotili uspešnost oziroma učinkovitost delovanja posamezne
opreme. Z vpeljano metriko – kazalnikom bi merili število okvar na opremi v določenem
časovnem obdobju, nakar bi obdobna poročila analizirali, pri čemer bi prišli do rezultata, cilja
izmerjene učinkovitosti ter tako lažje predvideli morebitno zamenjavo opreme ki ne
zadovoljuje normativov učinkovitega delovanja. Glede na specifičnost opreme, bi za primer
računalnikov – delovnih postaj vpeljali kazalnike, s katerim bi merili učinkovitost delovanja.
Pri vsakem zastoju oziroma okvari bi ustvarili zapis o vrsti in težavnosti okvare (glede na
sanacijo), vzroku okvare (neznan, nepooblaščen poseg, poškodba ...), garancijsko ali po
garancijsko dobo ipd. Zabeleženi podatki bi bili predmeti nadaljnjih analiz, ovrednotene
rezultate pa bi po izdelanem modelu glede opremo nadalje klasificirali. Help Desk bi po
vzpostavljeni evidenci, ki bi lahko bila tudi dograjena obstoječa aplikacija ali nova, vršil
centralni pregled nad (ne)učinkovito IKT opreme, kar bi prispevalo tudi k učinkovitejšemu
razporejanju ter pri nabavi opreme.
Za merjenje učinkovitosti – odzivnosti skrbnikov IKT opreme oziroma IT-ja bi v primeru
okvare računalnika (delovne postaje) beležili tudi čas nedelovanja oziroma čas do ponovne
vzpostavitve
delovanja
oziroma
menjave
okvarjene
opreme
po
formuli:
čas
nedelovanja/obdobje (dan, mesec ...), zapisi oziroma zajeti podatki pa bi bili predmeti
nadaljnjih analiz učinkovitosti delovanja, ki bi jih Help Desk glede na strateški plan
neprekinjenega poslovanja upošteval v poročilu.
V smislu revizije informacijskih sistemov pa je revizijsko poročilo potrditev vodstvu kakor
tudi odgovornim IKT skrbnikom, da je za informacijsko varnost dobro poskrbljeno in da IT v
lokalnem okolju deluje dobro, saj na podlagi podanega poročila večjih pomanjkljivosti ni bilo
zaznanih. Revizorji so podali tudi manjše pripombe in priporočila, kar je vodstvo akceptiralo
v celoti in pristopilo k takojšnjemu reševanju. Za zagotavljanje učinkovitega nadzora nad
delovanjem strežniške in komunikacijske opreme se je vodstvo zavezalo, da na predlog
revizorjev v vseh sistemskih sobah dogradi sistem za alarmiranje s toplotnimi senzorji za
zaznavo preobremenitev oziroma pregrevanja. Iz primera lahko razberemo, da so revizije
informacijskih sistemov zelo dobrodošle, saj s tem pridobijo tako vodstvo kakor tudi
odgovorni za IT v organizaciji ter posledično prispevajo k še bolj učinkoviti varnosti in
uspešnosti delovanja IT in organizacije.
62
5
ZAKLJUČEK
V času hitrega razvoja informacijske tehnologije je težko slediti vsem zahtevam po varovanju
informacij in sistemov. Informacijsko okolje postaja zapleteno in nevarno, širi se reprodukcija
škodljivih zlonamernih programov, ki pa postajajo čedalje bolj nevarni. Uporaba varnostnih
orodij je tako neobhodna in nujno potrebna. Skoraj vsakodnevno je moč zaslediti številne
zlorabe varnostnih mehanizmov. Kljub razpoložljivi opremi za varovanje so nepridipravi
vedno korak dlje. Vsako blago oziroma predmeti, informacije in podobno izgubljajo vrednost
ali pa je sploh nimajo, če je skrb za varnost malomarna. Avtorji strokovnih člankov
ugotavljajo, da se sicer tehnologija za zaščito in varnost kar uspešno kosa z zlonamernimi
poskusi vdorov in kraje informacij, da pa prednostni problem zlorab postaja človeški faktor.
Tako se priporoča implementacija informacijskih varnostnih politik v vsa podjetja in
organizacije, pri čemer je pomembno, da ta dokument pokriva celotno področje poslovanja.
Priprava celovite informacijske varnostne politike in njena uveljavitev tako pripomoreta k
varovanju poslovnih procesov in informacij v organizaciji ter olajšata delo zaposlenih.
Pripomore tudi k boljši informiranosti zaposlenih z varnostnimi pravili organizacije v kateri
delajo. Kot odgovor na ciljno razmišljanje v prvem delu naloge lahko podamo, da je uvedba
akta o informacijskem varovanju, to je IVP pomembno vplivala na izboljšanje delovnega
procesa na Carinskem uradu Brežice. Po določilih IVP se je z uvedbo določenih omejitev
uporabnikom IKT opreme zmanjšalo število varnostnih incidentov, okvar delovnih postaj ter
zastojev delovnega procesa.Za izboljšanje informacijske varnosti je poleg napisane varnostne
politike zelo pomembno tudi njeno izvajanje in spremljanje njene učinkovitosti. Pod izvajanje
smatramo tudi sankcioniranje kršitev varnostne politike, saj tako dosežemo večjo
učinkovitost.
Z implementacijo informacijske varnostne politike v organizaciji se aktivnosti ne zaključijo.
Pomembno je, da varnostno politiko prilagajamo trenutnim razmeram. Prav tako je potrebno
spremljati posamezne procese oziroma njihovo skladnost z varnostno politiko.
Merjenje uspešnosti in učinkovitosti IKT v organizacijah in podjetjih je možno izvajati na
različne načine ter s pomočjo ustrezne IKT tehnologije. Pri formalnem merjenju gre za
uporabo kvantitativnih tehnik, vključujoč uporabljene meritvene metrike vrednotenja
uspešnosti oziroma učinkovitosti delovanja posameznega IKT sklopa, kar omogoča dokaj
natančne rezultate. Pri neformalnem merjenju uspešnosti oziroma učinkovitosti IKT pa so
uporabljeni viri raznih evidenc in poročil, ki se v nadaljnjih analizah obdelajo in podajo kot
končno poročilo učinkovitosti oziroma uspešnosti. CURS merjenje uspešnosti in učinkovitosti
svojih IKT sistemov izvaja s pomočjo IKT tehnologije za posamezne sklope opreme, kjer se
zahteva neprekinjeno delovanje in je formalno odstopanje beleženo s pomočjo aplikacijskih
63
orodij ter podano v poročilu oddelka Help Desk, to je tudi kontaktna enotna vstopna točka za
podporo zunanjim in notranjim uporabnikom.
Pri analiziranju sistemov merjenja uspešnosti IKT na CURS lahko ugotovimo, da ni
definiranih meritvenih metrik, po katerih bi lahko kategorizirali uspešnost oziroma
učinkovitost na formalni ravni. Pri sistemih oziroma IKT tehnologiji, kjer se zahteva
neprekinjeno poslovanje v skladu strategije in poslanstva CURS-a, je odstopanje od
zahtevanega 100-odstotnega neprekinjenega delovanja enostavno izmeriti, pri čemer čas (ure)
nedelovanja vrednotimo glede na sistem 24/7/365. Kot je bilo podano v prejšnjem poglavju, je
bil Carinski informacijski sistem v letu 2010 zelo nestabilen, saj je bil povprečno nedejaven
skoraj uro na dan, kar lahko ocenjujemo kot zelo kritično. Učinkovitost delovanja IKT CURS
meri tudi preko evidenc informatikov, ki so predmet nadaljnjih analiz ter vrednotene v
poročilu uspešnosti in učinkovitosti CURS-a. Glede na nedefinirane meritvene metrike
podporne IKT opreme pa podani rezultati niso natančni, ampak predstavljajo le okvirno oceno
uspešnosti oziroma učinkovitosti. Za uspešnost delovanja IKT na CURS so odgovorni IKT ter
poslovni skrbniki sistemov in aplikacij, ki pa morajo med seboj sodelovati. Odgovornost se
zahteva tudi od pogodbenih zunanjih izvajalcev, po organizacijskih enotah CURS-a pa so za
učinkovito delovanje IKT odgovorni IKT skrbniki opreme. Določbe IVP opredeljujejo naloge
in odgovornosti vseh, ki se srečujejo z IKT opremo. Pri analizi uvedbe akta IVP na CURS se
je pokazalo, da se je posredno izboljšala tudi učinkovitost in uspešnost IKT, saj se je
zmanjšalo število izpadov zaradi nedelovanja opreme kakor tudi število varnostnih
incidentov, z izjemo delovanja CIS-a. Novejši ISO standardi družine 27000, kot so ISO/IEC
27001, ISO/IEC 27002, ISO 27003, ISO 27004, ter standard ISO/IEC 27035, po katerem je
opredeljeno varnostno upravljanje incidentov, so standardi, ki skupaj s smernicami ogrodja
COBIT ter priporočil dobrih praks ITIL-a zagotavljajo učinkovito informacijsko varnost, če
so ustrezno vgrajeni v aktu o informacijskem varovanju – IVP. Predlagane izboljšave z
vpeljavo meritvenih metrik učinkovitosti delovanja programske in strojne opreme bodo
prispevale k še učinkovitejšemu oziroma uspešnejšemu delovanju IKT, saj bo na tak način
omogočena tudi preventiva. Revizijska poročila, ki se obdobno izvajajo pa doprinesejo, da
odgovorni za IKT kakor tudi vodstvo pridobijo vpogled v izmerjeno stanje IKT tehnologije
oziroma IT-ja ter z ukrepi prispevajo k še učinkovitejši informacijski varnosti.
64
6
LITERATURA IN VIRI
1. ANDOLJŠEK, ŽIGA (2005) Ugotavljanje učinkovitosti in uspešnosti delovanja
javnega sektorja. V Stanka Setnikar - Cankar (ur.): Ekonomika javnega sektorja in
proračunsko financiranje. Ljubljana: Fakulteta za upravo (str. 87–111).
2. ANDOLJŠEK, ŽIGA in SELJAK, JANKO (2005) Merjenje učinkovitosti in
uspešnosti javne uprave – PIPA (The Performance Indicator(s) of the Public
Administration). Ljubljana: GV Izobraževanje.
3. BREZAVŠČEK, ALENKA in MOŠKON, STANE (2009) Smernice za vzpostavitev
sistema za upravljanje informacijske varnosti v organizaciji, Nove tehnologije, novi
izzivi. 28. Mednarodna konferenca o razvoju organizacijskih znanosti, 25.–27. marec
2009, Moderna organizacija, Portorož, 2009, str. 202–209.
4. Carina. si (2009): Glasilo Carinske uprave Republike Slovenije, (02/2009, št. 14)
5. Carinska uprava Republike Slovenije: Brezpapirno poslovanje v carinski službi.
Dostopno prek:
http://www.carina.gov.si/si/novosti/sektor_za_carinske_in_davcne_postopke/brezpapir
no_poslovanje_v_carinski_sluzbi (01.07.2012).
6. Carinska
uprava
Republike
Slovenije:
E-poslovanje.
Dostopno
http://www.carina.gov.si/si/informacije/podjetja/e_carina/e_poslovanje
(01.
prek:
07.
2012).
7. CIGLARIČ, MOJCA (2007) Varno obnašanje uporabnikov v omrežnem okolju. V
Uroš Pinterič in Uroš Svete (ur.): Elektronsko upravljanje in poslovanje v službi
uporabnika. Ljubljana: Fakulteta za družbene vede (177–191).
8. COBIT.
Dostopno prek: http://www.isaca.org/Knowledge- Center/cobit/Pages/Downloads.aspx
(01. 07. 2012).
9. CURS (2008) Slovenska carina v letu 2007. Dostopno prek: http://intraadm.curs.sigov.si/fileadmin/curs.gov.si/pageuploads/Katalog_inf_javn_znac/Dokumen
ti/CURS_letno_porocilo_2007.pdf (01. 07. 2012).
10. CURS (2009) Slovenska carina v letu 2008. Dostopno prek: http://intraadm.curs.sigov.si/fileadmin/curs.gov.si/internet/Publikacije/Letno_porocilo_2008_SL
O.pdf (01.07.2012).
65
11. CURS (2010) Slovenska carina v letu 2009. Dostopno prek: http://intraadm.curs.sigov.si/fileadmin/curs.gov.si/internet/Publikacije/Letno_Porocilo_2009_SL
O.pdf (01. 07. 2012).
12. CURS (2011): Slovenska carina v letu 2010. Dostopno prek: http://intraadm.curs.sigov.si/fileadmin/curs.gov.si/internet/Publikacije/Letno_porocilo_2010__S
LO.pdf (01. 07. 2012).
13. CURS (2012): Slovenska carina v letu 2011. Dostopno prek: http://intraadm.curs.sigov.si/fileadmin/curs.gov.si/internet/Publikacije/Letno_porocilo_2011__S
LO.pdf (01. 07. 2012).
14. CVELBAR, BRANKO (2012) Register tveganj kot nadzorna plošča upravljanja
informacijske
varnosti.
Dostopno
prek:
www.fvv.uni-mb.si/IV-2012-
01/zbornik/Cvelbar.pdf (01. 08. 2012)
15. GROZNIK, ALEŠ in LINDIČ JAKA (2004) Elektronsko poslovanje. Ljubljana:
Ekonomska fakulteta.
16. HAJTNIK, TATJANA (2002) Priporočila za pripravo informacijske varnostne
politike. Ljubljana: Center Vlade RS za informatiko.
17. HÖNE, KARIN in ELOFF, J.H.P. (2002) Information security policy – what do
international standards say?, Computers & Security. 2002, št.:21, str: 402–409.
18. Housing Co.d.o.o. Standardi sistemov za upravljanje varovanja informacij. Dostopno
prek: http://www.housing.si (01. 08. 2012).
19. Housing
Co.d.o.o.
Upravljanje
z
informacijsko
varnostjo.
Dostopno
prek:
http://www.housing.si/sl/ISMS_vpeljava/ (01. 08. 2012).
20. Information security Comunity portal (2012) Latest ISO 27001 and ISO 27002 FAQ.
Dostopno prek: http://www.17799.com/ (01. 08. 2012)
21. ITGI. (2008) IT Governance Global Status Report 2008. IT Governance Institute.
Dostopno prek:
http://www.itgi.org/Template_ITGI7ee9.html?section=News_Releases
22. ITIL. Dostopno prek: http://www.itgovernance.co.uk/itil.aspx#1 (01. 08. 2012).
23. ITIL’s dressed for the corner office. Dostopno prek:
http://blog.lontra.com/weblog/2007/06/index.html (01. 08. 2012).
24. IVPCURS. (2008): Informacijska varnostna politika Carinske uprave Republike
Slovenije. Ljubljana: Carinska uprava RS.
25. JERMAN BLAŽIČ, BORKA (2001) Elektronsko poslovanje na internetu. Ljubljana:
Gospodarski vestnik.
66
26. JURIČ, MATJAŽ in PUŠNIK MAJA (2007) Informatika v medijih II. Zbrano gradivo
za 2. letnik univerzitetnega študija medijskih komunikacij, 2. dop. izd. Maribor:
Fakulteta za elektrotehniko, računalništvo in informatiko, Inštitut za informatiko.
27. KOVAČIČ, ANDREJ, GROZNIK, ALEŠ in RIBIČ, MIROSLAV (2005) Temelji
elektronskega poslovanja. Ljubljana: Ekonomska fakulteta.
28. KRAJNC, BOŠTJAN (2007) Pomen in vloga informacijskih portalov za upravljanje
znanja.
Organizacija znanja, letnik 12, zvezek 1. str. 4–8. Maribor: Inštitut
informacijskih znanosti.
29. KRIČEJ, DUŠAN (2002) E-uprava na dlani. Ljubljana: Založba Pasadena.
30. KRSTOV, LJUPČO in ŠINKOVEC URŠA (2007) Relations between business
strategy, business models and e-business applications. V: Aurer, B. (ur.), Bača, M.
(ur.). International Conference on Information and Intelligent Systems. Varaždin:
Faculty of Organization and Informatics.
31. KRSTOV, LJUPČO et al. (2005) Organization knowledge management portal as
internet business model. V: Trajkovska, G. Predizvicite na novata ekonomija. Prilep:
Univerzitet "Sv. Kliment Ohridski": Ekonomski fakultet, str. 164–165.
32. KUMAR, PANKAJ (2010) Data Security 2010: Lessons learned from 2009 and how
to
move your
Internet Retail business
into the
future. Dostopno prek:
http://blog.ignify.com/2009/12/03/data-security-2010-lessons-learned-from-2009-andhow-to-move-your-internet-retail-business-into-the-future/#comments (02. 11. 2011).
33. LEMIČ, JANEZ (2011) ISO/IEC 27001:2005 Sistemi vodenja varovanja informacij.
Dostopno prek:
http://www.siq.si/ocenjevanje_sistemov_vodenja/storitve/sistemi_vodenja_varovanja_
informacij/index.html (6. 8. 2012).
34. LESJAK, BENJAMIN (2004) Vpeljava elektronskega poslovanja med strankami v
sodnem procesu s prototipno rešitvijo. Dostopno prek:
http://www2.arnes.si/~blesja2/raziskave/mag.htm#_Toc64364147 (01. 08. 2012).
35. LESJAK, DUŠAN in SULČIČ, VIKTORIJA (2004) Ekonomika elektronskega
poslovanja. Koper: Fakulteta za management.
36. Ministrstvo za javno upravo (2006) Akcijski načrt e-uprave do leta 2010 AN–
2007/2010.
Dostopno
prek:
http://e-uprava.gov.si/eud/e-uprava/akcijski_nacrt_e-
uprave_2010_1.pdf (6. 8. 2012).
67
37. Ministrstvo za javno upravo (2006) Strategija e-uprave Republike Slovenije za
obdobje 2006 do 2010 (SEP-2010). Dostopno prek: http://e-uprava.gov.si/eud/euprava/sep2010_200406_1.doc (6. 8. 2012).
38. Ministrstvo za javno upravo (2010) Akcijski načrt elektronskega poslovanja javne
uprave od 2010 do 2015 (AN SREP). Dostopno prek:
http://www.mju.gov.si/fileadmin/mju.gov.si/pageuploads/SOJP/PDF/AN-SREP_080410.pdf (6. 8. 2012).
39. Ministrstvo za javno upravo: Overitelj digitalnih potrdil na Ministrstvu za javno
upravo. Dostopno prek: http://www.si-ca.si/index.php (6. 8. 2012).
40. MJU (2008): Akcijski načrt elektronskega poslovanja javne uprave SREP 2010–2015.
Dostopno prek:
http://www.mju.gov.si/fileadmin/mju.gov.si/pageuploads/SOJP/PDF/AN-SREP_080410.pdf (01.08.2012).
41. PEVZNER, BORIS (2007) ITIL v3 – Building a successful IT service delivery
organization brick by brick, with the Service Portfolio as the cornerstone. Dostopno
prek: http://blog.lontra.com/weblog/2007/06/index.html (10.08.2012)
42. PFLEEGER, CHARLES P (2006) Security in Computing, Prentice. Shari Lawrence
Pfleeger Hall PTR, 4. Izdaja.
43. PINTERIČ, UROŠ in GRIVEC, MALČI (2007) Informacijsko komunikacijske
tehnologije v sodobni družbi: multidisciplinarni pogledi. Nova Gorica: Fakulteta za
uporabne družbene študije.
44. PINTERIČ, UROŠ in SVETE, UROŠ (2007) Elektronsko upravljanje in poslovanje v
službi uporabnika. Ljubljana: Fakulteta za družbene vede.
45. PLEVNIK, RONY (2012) S pomočjo najboljših praks do standarda za upravljanje
IT–storitev. Normacom PLUS d.o.o. Dostopno prek:
http://www.normacomplus.si/sl/s-pomocjo-najboljsih-praks-do-standarda-zaupravljanje-it-storitev (2. 8. 2012).
46. PODLOGAR, MATEJA (2002) Model dejavnikov elektronskega poslovanja v procesu
oskrbovanja, Maribor, Fakulteta za organizacijske vede Univerze v Mariboru.
47. POLLARD, CAROL in CATER-STEEL, AILEEN (2009) Justification, Strategies,
and Critical Success Factors in Successful ITIL Implementations in US and Australian
Companies, An Exaplantory Study. Information Systems Management, št. 26, str.
164–175.
68
48. Price Waterhouse Coopers (2010) ISBS-Information Security Breaches Survey 2010.
Dostopno
prek:
http://www.pwc.co.uk/audit-assurance/publications/isbs-survey-
2010.jhtml (03. 07. 2012).
49. ROBIČ, ERIK (2010) IT uporabnike v vašem podjetju obravnavajte kot kupce.
Iteron.si.
Dostopno
prek:
http://www.iteron.si/it-uporabnike-v-vasem-podjetju-
obravnavajte-kot-kupce.html (01.08.2012)
50. Strategija razvoja elektronskega poslovanja ter izmenjave podatkov iz uradnih evidenc
– SREP. Dostopno prek: http://zakonodaja.gov.si/rpsi/r04/predpis_STRA54.html
(01.08.2012)
51. SVETE, UROŠ in PINTERIČ, UROŠ (2008) E-država: upravno-varnostni vidiki.
Nova Gorica: Fakulteta za uporabne družbene študije.
52. ŠTRAKL, MARJAN (2003) Varnostna politika informacijskega sistema. Brdo pri
Kranju: Štirinajsta delavnica o telekomunikacijah –VITEL.
53. THE ISO/IEC 27000 FAMILY OF INFORMATION SECURITY STANDARDS.
Dostopno prek: http://www.itgovernance.co.uk/iso27000-family.aspx (01.08.2012).
54. TURLE, MARCUS (2009) Data security: Past, present and future. let. 2009, št. 25,
str. 51–58.
55. Uredba o upravnem poslovanju (UUP), Ur. l. RS št. 20/2005, 106/2005, 30/2006,
86/2006, 32/2007, 63/2007, 115/2007 (122/2007 popr.), 31/2008, 35/2009, 58/2010,
101/2010. Dostopno prek:
http://www.uradni-list.si/1/objava.jsp?urlid=200520&stevilka=690 (01. 08. 2012).
56. VOGRINC, JANEZ (2008) Kvalitativno raziskovanje na pedagoškem področju.
Ljubljana: Pedagoška fakulteta.
57. Wikipedija (2012) ISO/IEC 27001. Dostopno prek:
http://en.wikipedia.org/wiki/ISO/IEC_27001 (01. 08. 2012)
58. WINNIFORD, M., CONGER, S., ERICKSON-HARRIS, L. (2009) Confusion in the
Ranks. IT Service Management Practice and Terminology, Information Systems
Management, št. 26, str. 153–163.
59. Zakon o carinski službi ZCS (uradno prečiščeno besedilo) Ur. l. RS 103/2004.
Dostopno prek:
http://zakonodaja.gov.si/rpsi/r06/predpis_ZAKO4186.html (01.08.2012)
60. Zakon o elektronskem poslovanju in elektronskem podpisu (ZEPEP–UPB1)
Ur. l. RS 98/2004, 61/2006.
69
Dostopno prek: http://www.uradni-list.si/1/objava.jsp?urlid=200498&stevilka=4284
(12. 12. 2011).
61. Zakon o varstvu dokumentarnega in arhivskega gradiva ter arhivih (ZVDAGA)
Ur.l. RS 30/2006. Dostopno prek:
http://www.uradni-list.si/1/objava.jsp?urlid=200630&stevilka=1229 (12. 12. 2011).
62. Zakon o varstvu osebnih podatkov (ZVOP-1-UPB1), Ur. l. RS št. 94/2007. Dostopno
prek: http://www.uradni-list.si/1/objava.jsp?urlid=200794&stevilka=4690 (12. 12.
2011).
63. ZALETELJ, TINA (2006) Notranja revizija družb za upravljanje, diplomsko delo.
Ljubljana, Ekonomska fakulteta. Dostopno prek:
http://www.cek.ef.uni-lj.si/u_diplome/zaletelj2190.pdf (22.11.2011).
64. ŽIDANIK, MARJAN et al. (2004) Raziskava o informacijski varnosti RIV 2004.
Dostopno prek:
http://mid.gov.si/mid/mid.nsf/V/K27E5C33FBE14DDD0C1256FF60023AE20/$file/R
IV2004.pdf (01. 08. 2012)
65. ŽURGA, GORDANA (2002) Kakovost državne uprave: Pristopi in rešitve, Fakulteta
za družbene vede, Ljubljana.
70
PRILOGE
Priloga 1: Usmeritvena vprašanja za izvedbo kvalitativne raziskave
Priloga 2: Analiza poročil Informatike CU Brežice
Priloga 3: Intervju z informatikom pred notranjo IT revizijo
Priloga 1: Usmeritvena vprašanja za izvedbo kvalitativne raziskave
1. Kaj si predstavljate pod besedno zvezno informacijska varnost?
2. Kako informacijska varnost vpliva na poslovanje vaše organizacije?
3. Ali se vam zdi, da je v vaši organizaciji dovolj dobro poskrbljeno za informacijsko
varnost?
4. Ali imate v vaši organizaciji dokument oziroma predpis, ki ureja področje informacijskega
varovanja in če ste bili o tem seznanjeni?
5. Kaj menite, so določbe IVP dovolj jasne glede varne uporabe informacijske opreme?
6. Ali po vašem mnenju prihaja do kršitev pri uporabi informacijske opreme v smislu določb
IVP?
7. Okvara informacijske opreme zaradi nepravilne uporabe predstavlja varnostni incident. Ali
pri vas prihaja do takšnih primerov?
8. Ali ste kdaj kršili pravila glede uporabe informacijske opreme?
9. Kakšni so po vašem mnenju razlogi kršitev IVP pri uporabnikih, upravičeni ali morda
neupravičeni?
10.
Ali se vam zdi, da so določila IVP ustrezna, preveč oziroma premalo restrektivna?
11.
Ali štejete uvedbo IVP na Carinski urad Brežice kot prednost ali morda kot oviro pri
izvajanju delovnih procesov?
12.
Kdo izvaja nadzor nad pravilno uporabo informacijske opreme in ali je bil morda že
uveden kakšen disciplinski postopek?
13.
Ali bi na koncu še kaj dodali?
Priloga 2: Analiza poročil Informatike CU Brežice
Tabela 1: Varnostni incidenti in okvare
DELOVNE POSTAJE
STREŽNIKI
MREŽNE POVEZAVE
OSTALA OPREMA
APLIKACIJE
2008
160
25
90
130
87
2009
146
30
85
120
80
Vir: Interne evidence Informatike CU Brežice
2010
95
20
70
85
70
2011 ZMANJŠANJE %
39
-121 - 75,63
13
-12 - 48,00
36
-54 - 60,00
46
-84 - 64,62
44
-43 - 49,43
Priloga 3: Intervju z informatikom pred notranjo IT revizijo
REPUBLIKA
SLOVENIJA
MINISTRSTVO ZA FINANCE
CARINSKA UPRAVA REPUBLIKE SLOVENIJE
GENERALNI CARINSKI URAD
Sektor za informatiko
http://www.carina.gov.si
Šmartinska cesta 55, 1523 Ljubljana
tel. 01/478 38 00, faks 01/478 39 00
[email protected]
Vprašalnik ANKETA IT – CU Brežice
Informatik
1.) Sistem informacijskega varovanja
o Ali so zaposleni v CU BR seznanjeni z IVP?
Zaposleni so seznanjeni z IVP. Seznanitev zaposlenih je bila izvedena s strani GCU – Egon
Milanič, Generalni carinski urad, Sektor za informatiko dne 17. 11. 2009 na lokaciji CU Brežice.
2.) Upravljanje virov in sredstev
o Kako potekajo nadgradnje programske opreme?
Nadgradnje programske opreme potekajo po navodilih sektorja za informatiko, po potrebi v
sodelovanju zunanjih izvajalcev (Astec). Potrebe po nadgradnjah se posredujejo sektorju
za informatiko, plan nabave za celotni CU pripravita informatika.
o Ali imate spisek aplikativnih skrbnikov v vaši CU?
Imamo.
o Kako informatiki na CU BR zagotavljate, spremljate, oziroma podpirate IT
uporabnike (z informacijsko opremo in programi)?
Informatika uporabnikom nudiva asistenco pri uporabi IT tehnologije. V primeru težav z
dostopi do posameznih aplikacij, ponastavitvah gesel, ob nedelovanju in prekinitvah
nudiva asistenco ter odpravljava napake. V primeru tehničnih okvar okvarjeno opremo
zamenjava ter vzpostaviva delovanje. O vsem vodiva evidenco.
3.) Zagotavljanje varnega okolja (Poglavje 5, IVP)
o Kdo vam dodeljuje posebne dostopne in administrativne pravice?
Dostopne administratorske pravice nam informatikom dodeljuje GCU.
o Ali imate v CU BR opredeljena upravna, davčna ali druga varnostna območja?
Imamo. Na CUBR se srečujemo predvsem s tajnimi podatki stopnje INTERNO, zato je za vse
poslovne prostore carinske službe s sklepom generalnega direktorja vzpostavljeno upravno
območje. Dokumenti z oznako davčne tajnosti se hranijo v zaklenjenih omarah, ki so
označene z oznako DT. Gradivo in dokumenti, katerih narava je višja stopnja zaupnosti, se
hranijo v posebnih železnih omarah ozirom sefih glede na zahtevo hrambo.
o Ali v vaši CU zagotavljate neprekinjeno napajanje in uporabljate podporni
program NetWision za UPS (naprava za neprekinjeno napajanje)?
Neprekinjeno napajanje je zagotovljeno preko UPS sistemov, ter dizelskih agregatov po vseh
lokacijah CU Brežice.
− Katera vrsta naprave za neprekinjeno napajanje je v uporabi
(proizvajalec, model, verzija, tip, vrsta vrat/port)?
Vse UPS naprave in agregate vzdržuje in upravlja upravnik. Informatika skrbiva za
obveščanje upravnika o motnjah delovanja ter izpadih.
• Ali obstoja oz, uporabljate nestandardno HW, SW?
NE.
4) Kako je zagotovljena zaščita pred zlonamerno programsko kodo?
Strežniki, kakor tudi vse delovne postaje imajo nameščen antivirusni program SOPHOS, ki se
samodejno posodablja. Zaščita3 se izvaja tudi s požarnim zidom (HKOM), ki se nahaja v
sistemski sobi skupaj s strežniki.
•
na delovnih postajah nameščena protivirusna programska zaščita – Sophos Endpoint
Security and Control, na prenosnikih tudi ISS Desktop Protector,
•
za spremljanje prisotnosti zlonamerne programske kode sta zadolžena informatika, ki sta o
morebitni ogroženosti obveščena preko poštnega predala [email protected] in v
takem primeru opravita tudi t. i. »čiščenje«,
•
pri zaposlenih, redno izvajan protivirusni pregled prenosnih medijev, ki jih uporabljajo
(uporabniki so seznanjeni, da morajo pred uporabo prenosnih medijev, le-te sami
pregledati s programom Sweep).
o Ali se pri kakšni aplikaciji izvajajo postopki izdelave varnostnih kopij podatkov
DA.
− Če da, pri katerih?
Sistem za prepoznavo registrskih tablic, Aplikacija SPIS, Podatkovni-strežniki po posameznih
lokacijah – varnostne kopije se vršijo preko skupne tračne knjižnice in hranijo na kasetah.
o Kako ravnate z mediji, na katerih so varnostne kopije podatkov?
Letni in mesečni arhivi na kasetah se hranijo na drugi lokaciji v ločenem prostoru v
ognjevarni omari.
o Kako se dodeljujejo dostopne in uporabniške pravice?
Dostopne in uporabniške pravice se uporabnikom dodeljujejo na podlagi odredbe direktorja
oziroma vodje organizacijske enote za posameznega uslužbenca glede na njegovo
razporeditev.
o Ali vodite evidenco izpadov IKT opreme ?
Izpade oziroma okvare IKT opreme evidentiramo in posredujemo v vednost Help Desk-u
v mesečnih poročilih.
o Kako evidentirate morebitne IKT izpade, oziroma okvare, komu poročate o njih
Izpade oziroma okvare IKT opreme evidentiramo v mesečnih poročilih. Če gre za izpad
povezav prekinitev, potem se obvesti skrbnika (Telekom, AStec ...) . V primeru okvar IKT
opreme (delovne postaje, monitorji, strežniki ...itd.) pa o tem obvestimo pooblaščenega
serviserja in HD. Vse okvare opreme ki je poslana na servis je evidentirana v aplikaciji
Lotus Notes.
5.) Obvladovanje dostopov
o Kdo dodeljuje administrativne dostopne in uporabniške pravice?
Po odredbi direktorja na predlog vodje se uporabniku dodeli ustrezen uporabniški profil glede
na delovno mesto, ki ga opravlja.
Dostopne pravice v objekte kakor tudi dostope do uporabniškega profila na delovnih postajah
dodeli informatik oziroma IKT skrbnik. Dostope v informacijski sistem ter aplikacije pa
dodeljuje generalni Carinski urad po posredovanem zahtevku iz carinskega urada.
o Kako je v CU BR zagotovljeno upravljanje z dostopnimi pravicami in gesli ?
Vstopi v objekte so varovani. Vstop je mogoč s kartico. Za posameznega uporabnika glede
na delovno mesto dostope kreira informatik po odobritvi direktorja. Vsi dostopi so beleženi v
sistemu TIME – Space (Špica). Dostopi do informacijskih sistemov in aplikacij so prav tako
preko uporabniškega imena in gesla.