Eden izmed pomembnejših elementov varovanja gradiva pred njegovo izgubo, nepooblaščenimi spremembami ali nepooblaščenim razkritjem, s tem pa tudi zagotavljanja načel varne e-hrambe, je učinkovito obvladovanje dostopov do informacijskega sistema za zajem in e-hrambo ter do gradiv, shranjenih v tem sistemu. To pa dosežemo tako, da pooblastila in dostopne pravice za uporabo informacijskih sistemov dodeljujemo v omejenem obsegu, ki je nujno potreben za izvajanje delovnih nalog.54 Politika omejevanja dostopa, ki se izvaja npr. z dodeljevanjem enoličnih uporabniških imen in pripadajočih gesel ter dodelitvijo pooblastil, temelji tudi na določbah Zakona o varstvu osebnih podatkov55, katerega namen je preprečevanje nezakonitih in neupravičenih posegov v zasebnost posameznika pri obdelavi osebnih podatkov, varovanju in njihovi uporabi. Pri dodelitvi prevelikih pooblastil se namreč lahko bistveno poveča tudi možnost zlorabe osebnih podatkov. Celovita zaščita osebnih podatkov obsega na eni strani varstvo osebnih podatkov – to pomeni pravno varstvo informacijske zasebnosti posameznika, na drugi strani pa zavarovanje osebnih podatkov, kjer govorimo o opremi in prostorih, kjer oprema stoji, ter o zbranih podatkih, postopkih njihove obdelave in komunikacijskih sredstvih in poteh. Na splošno pa velja, da zavarovanje podatkov pomeni sklop postopkov in ukrepov, s katerimi se preprečuje slučajno (nenamerno) ali namerno nepooblaščeno uničevanje, sprememba ali izguba ter obdelava podatkov. Za zmanjšanje tega tveganja je treba predvideti vsaj naslednje ukrepe:
Vse zgoraj navedene postopke in ukrepe predpišite v svojih aktih in zagotovite tudi njihovo izvajanje.
Koristno: Pri dodeljevanju dostopnih pravic upoštevajte pravilo minimalne pravice in potrebne informacije (need-to-know).
Zaposlenim po pravilu minimalne pravice zagotovite dostop do podatkov in informacij do take mere, da jim je omogočeno izvajanje njihovih delovnih nalog oz. obveznosti. Hkrati preverite, ali zaposleni informacije, do katerih dostopajo, tudi dejansko potrebujejo na podlagi utemeljenega razloga. Ključno vlogo pri tem imajo »lastniki« informacij, ki morajo informacije že ob njihovem nastanku ustrezno klasificirati in s tem tudi določiti njihovo dostopnost.56 Pri dodeljevanju dostopnih pravic do informacijskih sistemov in informacij je smiselno, če je le mogoče glede na velikost organizacije, upoštevati tudi pravilo razdelitve (ločevanja) nalog tako, da posameznik nima takšnih pooblastil, da bi lahko neopaženo kompromitiral ali zlorabil informacije oz. gradiva, do katerih ima dostop. Izvedbo nekega procesa torej porazdelite med različne osebe ali pa uporabite princip »kontrole dveh oseb«, kar pomeni, da posameznika preverjata delo drug drugega. To pomeni, da ena oseba sicer lahko izvede celotni proces, vendar druga oseba potem ta proces preveri in potrdi.
Koristno: Naloga vodstva je, da opredeli, kateri procesi v organizaciji so poslovno kritični in je za njihovo izvajanje treba naloge razdeliti med različne osebe (ločevanje nalog)57.
Po »principu dvojne kontrole« oz. »principu štirih oči« pa morata določeno aktivnost izvajati sočasno dve osebi. Primer takšnega principa je vstop v neki prostor, kjer ena oseba ne more vstopiti samostojno brez druge osebe, saj morata npr. v 30 sekundah vnesti vsaka svoje geslo, da se potem odprejo vrata.
Za dostop do posameznih delov informacijskega sistema in samih podatkov je treba predhodno zagotoviti, da se bo vsak uporabnik lahko v sistemu identificiral s pomočjo osebnega enoličnega uporabniškega imena ali s pomočjo druge identifikacijske oznake. Pravilnost oz. resničnost identifikacije uporabnik izkaže s postopkom avtentifikacije58.
Koristno: Zagotovite, da bo vsak uporabnik dobil svoje uporabniško ime in geslo. V organizaciji naj velja prepoved uporabe skupinskih identifikacijskih oznak oz. pravilo, da si istega uporabniškega imena in pripadajočega gesla ne sme deliti več uporabnikov.
Z dodelitvijo enoličnih imen uporabniških imen in pripadajočih gesel ter prepovedjo njihovega posojanja drugim boste zagotovili, da bo vedno mogoče ugotoviti, kdo je v določenem času dostopal do informacijskega sistema oz. podatkov in jih uporabljal. Bodite pozorni tudi na to, da uporabniška imena ali druge identifikacijske oznake ne bodo razkrivale uporabnikove vloge v informacijskem sistemu oz. njegovih posebnih pravic, kot je npr. uporaba oblike uporabniškega imena DBAdmin.
Omenili smo že, da so največja grožnja informacijskemu sistemu in podatkom ravno zaposleni v organizaciji, ki lahko namerno, predvsem pa nenamerno povzročijo napake in s tem ogrozijo varnost vaših podatkov. Tveganje sicer lahko zmanjšate z vpeljavo varnostnih politik in procedur, ne morete pa z njimi odpraviti vseh napak uporabnikov ali upraviteljev. Eden izmed problemov, predvsem v organizacijah z več zaposlenimi in zunanjimi izvajalci, ki potrebujejo dostope do različnih delov informacijskega sistema organizacije, je tudi uprav- ljanje uporabniških identitet in njihovih dostopnih pravic, saj so ti postopki v večini primerov vodeni ročno ali zgolj delno avtomatizirani (običajno se o naročilu o kreiranju novega uporabniškega imena s pripadajočim geslom za dostop do določenega informacijskega sredstva dogovori po telefonu ali elektronski pošti, včasih tudi na papirju). Takšen način pa je seveda podvržen različnim človeškim napakam in posledično so lahko napačno dodeljene dostopne pravice, prav tako se pojavlja neažurno stanje uporabniških imen in na njih vezanih dostopnih pravic (npr. neažurno brisanje nepotrebnih identitet).
Koristno: Vpeljite avtomatizirano upravljanje in spremljanje življenjskega cikla identitet s pomočjo programske opreme za te namene.
S pomočjo programske opreme za upravljanje identitet lahko zahtevo za dodelitev, odstranitev, spremembo uporabniške identitete izdelate v elektronski obliki in posredujete odgovorni osebi, ki prav tako po elektronski poti realizira dobljeni zahtevek (npr. z eno potezo uporabniku odvzamete dostopne pravice do vseh informacijskih virov, izdelate natančen spisek vseh uporabnikov in njim dodeljenih dostopnih pravic). S temi programi lahko izvedete tudi postopke avtentifikacije uporabnikov, ko se prijavljajo v različne dele informacijskega sistema oz. želijo dostopati do podatkov organizacije. Istočasno pa je poskrbljeno za vodenje revizijske sledi (beleženje vseh aktivnosti), izdelovanje statistik in alarmiranje ob zlonamernih posegih. Sistemi za upravljanje identitet omogočajo nadzor uporabnikov s centralnega mesta z uporabo avtomatiziranih in vnaprej pripravljenih postopkov in pravil.
Koristno: V organizaciji poleg dodelitve enolične enoličnega uporabniškega imena in pripadajočega gesla sprejmite navodila za upravljanje gesel, ki naj vsebujejo najmanj pravila o:
splošni uporabi gesel,
upravljanju gesel na nivoju uporabnika (delovne postaje, prenosni računalniki) – predpisana dolžina in sestava gesla, periodična menjava gesla itd.,
strežniških sistemih in administrativnih geslih,
načinu deponiranja ključnih gesel in opis postopka pridobitve gesla v nepredvidenih situacijah.
Ker s slabim in neustreznim obvladovanjem dostopa do posameznih delov informacijskega sistema omogočimo dostop do podatkov nepooblaščenim, ti pa jih lahko namerno ali nenamerno spreminjajo, brišejo itd., je priporočljivo razmisliti o internih standardih oz. pravilih za obvladovanje dostopa. Vzpostavite formalni postopek59 upravljanja dostopnih pravic do sistemov za zajem in hrambo gradiva ter odgovornosti glede na delovne naloge, pri tem pa posebno pozornost namenite občutljivim in zaupnim podatkom skladno z veljavnimi predpisi60 (npr. Zakon o varstvu osebnih podatkov, Zakon o tajnih podatkih). Postopek naj vključuje dodeljevanje dostopnih pravic ter njihovo odvzemanje in vodenje evidence. Jasno opredelite, kdo ima dostop do določenih zaupnih podatkov in katere informacijske varnostne zahteve so potrebne za posamezne informacijske rešitve v vaši organizaciji.
Pomembno: Vzpostavite formalno predpisana pravila in postopek ter odgovorno osebo za dodelitev, spreminjanje oziroma odvzem dostopnih pravic za uporabo ali obravnavanje informacijskih virov, dodeljenih zaposlenemu oz. drugemu upravičenemu uporabniku.61
Učinkovito, uspešno in varno dodeljevanje pravic za dostop do posameznih informacijskih sistemov in informacij boste dosegli, če boste jasno opredelili:
Koristno: Vsaka dostopna pravica uporabniku ali skupini uporabnikov se lahko dodeli na podlagi zahtevka, zato priporočamo, da v organizaciji oblikujete poseben obrazec – zahtevek za dodelitev uporabniških dostopnih pravic.
Zahtevek za dodelitev uporabniških dostopnih pravic naj vsebuje:
Zahtevek uporabite, ko zaposlujete nove sodelavce in tudi pri menjavi delovnih mest oz. kadar nekemu uporabniku dodelite nove delovne naloge ali nova pooblastila ali ko zaposleni prekinja delovno razmerje.
Zaposlitev novega sodelavca
Vsak zaposleni mora ob sklenitvi delovnega razmerja dobiti pravice za dostop in uporabo informacijskih sistemov (storitev) in podatkov, ki jih bo potreboval za opravljanje svojih delovnih nalog. Za začetek izvedbe postopka je odgovorna kadrovska služba, za predlog potrebnih pristopnih pravic (zahtevek) pa neposredni vodja novozaposlenega. Proces dodeljevanja pravic mora predvideti preverjanje, ali je zahteva v skladu s principi »minimalnih pravic« in »potrebne informacije«. Predpostavljena oseba novozaposlenega mora vložiti zahtevek za dodelitev dostopnih pravic, »lastnik« informacijske rešitve oz. informacije pa predlagani dostop odobri.
Menjava delovnega mesta
Ko zaposleni zamenja delovno mesto, se lahko s tem spremenijo tudi njegove dostopne pravice. Morda mu je treba najprej odvzeti predhodne pravice in nato dodeliti nove. Za začetek postopka je odgovorna kadrovska služba, za določitev potrebnih novih pristopnih pravic pa novi nadrejeni.
Dodelitev nove delovne naloge ali novih pooblastil
Če zaposleni dobi novo nalogo, morda potrebuje tudi nove dostope oz. pooblastila do informacij. V tem primeru postopek za dodelitev pravic za dostop s pisnim zahtevkom sproži nadrejeni, tj. redni ali projektni vodja, ki tudi določi, katere pristopne pravice so potrebne.
Prekinitev delovnega razmerja
Kadar zaposleni prekinja delovno razmerje, je še posebno pomembno, da odgovorne osebe v trajanju odpovednega roka poskrbijo, da ima oseba, ki odhaja, dostop le do tistih informacij, ki so nujne za osnovno opravljanje dela in primopredajo poslov.
Dostop za zunanje uporabnike
Za dodeljevanje pravic za začasno zaposlene, pogodbene delavce in preostale osebe, ki niso redno zaposlene in morajo zaradi poslovnih interesov imeti dostop do posameznih informacijskih sistemov in informacij, sta odgovorna vodja notranje organizacijske enote in lastnik informacij, do katerih bo imela zunanja oseba dostop. Zunanja prijava je lahko dodeljena samo po »principu minimalnih zahtev za delo«. Lastnik procesa se mora prepričati, da obstajajo utemeljeni razlogi za dodelitev dostopa do sistema, kot so npr.:
Dostop za zunanjega uporabnika zahteva vodja notranje organizacijske enote, ki koordinira delo zunanjega izvajalca. Enako velja tudi ob povečanju ali zmanjšanju pravic oz. takrat, ko dostopne pravice zunanjemu izvajalcu niso več potrebne. Dostop do posameznega sistema odobrava lastnik informacijske storitve oz. informacij. Preden se zunanji osebi dodelijo dostopne pravice, naj podpiše izjavo o varovanju informacij73 glede zaščite podatkov, zaupnosti in preostalih varnostnih ukrepov za zaščito in varovanje podatkov in informacij organizacije. Podpisano izjavo shranite v kadrovski službi.
Pooblaščeni skrbnik mora voditi evidenco upravljanja dostopnih pravic, v katero so vključeni:
Dokumentiranje pravil za obvladovanje dostopa
Vsak lastnik informacijske rešitve oz. informacije naj opredeli, dokumentira in vzdržuje jasna pravila dostopa, s katerimi določa pravice dostopa posamezniku ali skupini uporabnikov in predpiše:
Koristno: Vzpostavite standardne uporabniške profile za enake vrste dela, ki naj zajemajo nivo občutljivosti informacije in način njihove izmenjave.
Oprema brez prisotnosti uporabnika
Dostop do opreme brez prisotnosti odgovornega uporabnika lahko povzroči krajo ali namerno poškodovanje, nepooblaščen dostop do informacijskega sistema ali informacij, zato naj uporabnik, kadar ni prisoten:
Vsiljena pot
Informacijski sistem zgradite tako, da bo mogoče obvladovati pot od delovne postaje do uporabniške storitve, do katere ima uporabnik dovoljenje. Informacijski sistem naj vključuje kontrole, ki takšno pot omejujejo, in vsiljuje takšno pot, ki preprečuje »postopanje« uporabnikov po sistemu. Natančno določite, kakšne so dovoljene (ali optimalne) povezave, ki omogočajo dostop do posameznih uporabniških rešitev. Omogočeno naj bo samodejno povezovanje vrat do določenih uporabniških sistemov ali varnostnih prehodov (usmerjanje omrežnega prometa npr. glede na izvor, cilj in vrsto prometa). Uporabniške rešitve pa naj posameznim uporabnikom omejujejo možnost izbora ali podizbora. Operacijski sistemi naj bodo nameščeni tako, da je uporabnikom v največji možni meri preprečena uporaba orodij, ki omogočajo dostop do informacijskih virov na način, ki presega običajno uporabo informacijske storitve.
Mobilne rešitve (prenosni računalniki, telefonija) in delo na daljavo
Oddaljeni uporabniki delovnih postaj (npr. osebje na službeni poti, delo na daljavo) morajo neposredno komunicirati z organizacijo, da bi lahko sprejeli ali poslali določene podatke. Mnogo uporabnikov se priključi na svoje sisteme v javnih (in nevarovanih) omrežjih ter tako omogočajo drugim nepooblaščen dostop do uporabniških rešitev za poslovanje. Priključitev v javno telekomunikacijsko omrežje, ki ni varovano, je treba zavarovati z avtentifikacijo (overitvijo) računalnika. Uporaba uporabniškega imena in gesla kot sredstev za avtentifikacijo uporabnika pri dostopu do informa- cijskega sistema organizacije morda ne zagotavlja zadostne varnosti dostopa, zato lahko avtentifikacijo dostopa oddaljenih uporabnikov (remote users) izvajamo tudi s pomočjo drugih tehnik, kot npr.:
Koristno: Razmislite o uporabi digitalnih potrdil na gostiteljski delovni postaji in na oddaljeni delovni postaji z namenom overitve delovne postaje. Izvedite postavitev povezave s povratnim klicem in tako zagotovite, da lokacija delovne postaje ustreza zapisom dostopne kontrole. Razmislite tudi o implementaciji virtualnega zasebnega omrežja (Virtual Private Network) v kombinaciji z drugimi tehnologijami, kot so npr. požarni zidovi, šifriranje ipd.
Zelo pomembno je tudi, da uporabnike natančno seznanite s postopki za opravljanje dela z oddaljeno delovno postajo.
Pregled uporabniških pravic dostopa
Vzpostavite tudi formalen postopek pregledovanja uporabniških pravic dostopa, saj boste s tem vzdrževali učinkovit nadzor dostopa do informa- cijskih rešitev in informacij. V ta namen določite odgovornosti in same postopke tega nadzora ter ustrezne ukrepe.
Uporabo fizičnih in elektronskih sredstev ter podatkov za dostop do varovanih območij, informacijske infrastrukture in podatkov oz. gradiva je treba strogo nadzorovati, saj se v praktičnih primerih posedovanje sredstva za dostop izenačuje s pravico do dostopa. Poleg tega da sredstva in podatke za dostop izdajate samo pooblaščenim zaposlenim, nujno vpeljite različne oblike nadzora nad dostopi in uporabo posameznih delov informacijskega sistema in podatkov.
Koristno: Vzpostavite obvezno, periodično spremljanje dostopov do informacijskega sistema in gradiva ter njegovo uporabo in zagotovite skladnost s pravili dostopa. Uporabite prijavne podatkovne baze, opremo za spremljanje v realnem času in programsko opremo za odkrivanje nepooblaščenih dostopov. Vpeljite vodenje revizijskih sledi o posameznih dostopih do informacijskega sistema za zajem in hrambo ter njegovi uporabi in do informacij oz. gradiva.
Vodenje revizijske sledi
UVDAG62 izrecno zahteva tvorbo in hrambo revizijskih sledi, vezanih na upravljanje gradiva v digitalni obliki. Ker so te sledi neposredno vezane na varovanje gradiva po načelih varne hrambe, morajo biti sestavni del postopkov upravljanja gradiva in shranjene skupaj z gradivi. Revizijske sledi morajo biti ustvarjene in shranjene tako, da bo zagotovljena njihova verodostojnost, in sicer za obdobje, ki je enako obdobju hrambe gradiva, na katero se sledi nanašajo. V okviru zagotavljanja informacijske varnosti tvorite in shranjujte zapise revizijskih sledi, vezanih na omejevanje dostopa do shranjenega gradiva oziroma reprodukcije njegove vsebine, do infrastrukture informacijskega sistema za zajem in hrambo gradiv ter do prostorov, v katerih hranite nosilce zapisov gradiv oziroma v katerih so nameščena informacijska sredstva. Pri določanju obsega in roka hrambe revizijskih sledi, vezanih na dostop do gradiva, izhajajte iz določb ZVDAGA in UVDAG ter zakonov, ki urejajo upravljanje posameznih gradiv.
Koristno: Sinhronizirajte računalniške ure in s tem zagotovite popolnost dnevnikov za potrebe revizije. Revizijske sledi naj vsebujejo najmanj uporabniško ime, datum, čas prijave in odjave ter identiteto ali mesto delovne postaje oz. terminala.
Revizijska sled dostopa do informacijskih sistemov in prostorov za zajem in hrambo gradiva v digitalni obliki
Zagotovite tvorjenje in shranjevanje revizijske sledi dostopov do infrastrukture informacijskega sistema za zajem in hrambo gradiva ter do prostorov, v katerih se hranijo nosilci zapisov gradiva oziroma v katerih so nameščeni elementi informacijskega sistema.
Pri beleženju dostopov do strojne in programske opreme sistema za zajem ali hrambo gradiva vzpostavite sistem shranjevanja revizijskih sledi o vseh postopkih upravljanja identitet in dostopnih pravic uporabnikov infrastrukture. Obseg (kdo, kdaj, do katerega vira) in rok hrambe revizijske sledi morata temeljiti na oceni tveganja in argumentih za določitev roka hrambe revizijskih sledi dostopa do gradiva, ki se hrani na določeni infrastrukturi. Pri beleženju vstopov v prostore, v katerih je shranjeno gradivo oziroma infrastruktura, na kateri se gradivo hrani, sledite določbam ZVOP-1-UPB1, ki urejajo evidentiranje vstopov v prostore organizacije in izstopov iz nje.
Pomembno: Revizijske sledi vstopov morate voditi kot zbirko osebnih podatkov, njene zapise pa lahko hranite največ tri leta63.
Revizijska sled dostopa do gradiva v digitalni obliki
Zagotovite tudi vodenje revizijske sledi o vseh dostopih in posegih v gradivo v digitalni obliki ter s tem omogočite naknadno rekonstrukcijo posameznih dejanj. Pri tem beležite dostope do vsebine gradiva, spremembe vsebine gradiva (podatkov) in vsebino gradiva tako pred njegovo spremembo kot po njej.
Sledljivost dostopa do vsebine gradiva omogoča naknadno ugotavljanje, kdo je vnesel, spremenil ali izbrisal vsebino gradiva in kdaj (t. i. aktivni dostop), poleg tega se beleži, kdo in kdaj je do določene vsebine gradiva zgolj dostopil (vpogled, seznanitev), ne da jo spremenil (t. i. pasivni dostop). Sledljivost sprememb vsebine gradiva omogoča naknadno ugotavljanje, kdo je vnesel, spremenil ali izbrisal vsebino gradiva in kdaj. V tem primeru govorimo o beleženju t. i. aktivnih dostopov do gradiv.
Z beleženjem vsebine gradiva pred njegovo spremembo in po njej vodimo podatke o tem, kdo in kdaj je dostopal do gradiva, ga vnesel, spreminjal ali brisal in, če ga je spreminjal, kakšno je bilo pred spremembo in po njej, oziroma, če ga je izbrisal, kaj je izbrisal.
Pri opredeljevanju zahtevane ravni sledljivosti izhajajte iz tveganj, s katerimi je povezan zajem ali hramba določene vrste gradiva, ki ga obdelujete. Tako npr. ZVOP-1-UPB1 glede obdelave občutljivih osebnih podatkov64 izrecno zahteva beleženje aktivnih in pasivnih dostopov do gradiv.
Postavlja se seveda vprašanje, kako dolgo hranimo revizijske sledi dostopov do gradiva. Če zakoni ali na njihovi podlagi izdani predpisi ne določajo roka hrambe revizijskih sledi, običajno upoštevamo petletni rok hrambe, ki izhaja iz določb Obligacijskega zakonika65, ki urejajo zastaralne roke za odškodninske terjatve za nastalo škodo.
Pomembno: Revizijske sledi hranite tako, da so varovane pred izgubo in okrnitvijo celovitosti. Določite skrbnika revizijskih sledi, osebe, pooblaščene za dostop do zapisov revizijskih sledi, ter način obdelave in uporabe revizijskih sledi.
Povezava na ISO 27001: 2005
11.1.1 Politika dostopnih kontrol
11.2.1 Registracija uporabnikov
11.2.3. Upravljanje uporabniških gesel
11.2.4 Pregled uporabniških dostopnih pravic
11.3.1 Uporaba gesel
11.5.2 Identifikacija in avtentifikacija uporabnikov
11.5.3 Sistem za upravljanje gesel
Odgovornost za izvedbo: služba za informatiko, kadrovska služba, vodje posameznih organizacijskih enot.