Človeški dejavnik je ključni element pri zagotavljanju informacijske varnosti. Še tako dobro napisana pravila in različni uvedeni varnostni ukrepi nam ne pomagajo, če jih ljudje ne izvajajo. Človek lahko naredi tudi veliko napak, namernih ali nenamernih. Zato zaposlujte zaupanja vredne in ustrezno usposobljene ljudi, potem pa te stalno izobražujte in s tem ustrezno varnostno ozaveščajte. Jasno določite njihove odgovornosti in pooblastila pa tudi pravice. To je skladno tudi z zahtevami ZVDAGA, ki izrazito poudarja, da mora biti zagotavljanje informacijske varnosti integralni del notranje organizacije. Glede na to morate za opravljanje nalog, povezanih z zajemom in e-hrambe gradiva, imeti ustrezno kadrovsko strukturo in jasno določene odgovornosti, vloge oz. pooblastila ter potrebno strokovno usposobljenost.15 S tem v povezavi morate v notranjih pravilih za zajem in e-hrambo:
Navedene sestavne dele procesa upravljanja človeških virov je mogoče uresničevati vedno le in samo v okvirih, ki jih omogoča veljavna delovnopravna in druga zakonodaja. Kot izhaja iz 7. člena Zakona o delovnih razmerjih16, sta pri sklepanju in prenehanju pogodbe o zaposlitvi in v času trajanja delovnega razmerja delodajalec in delavec dolžna upoštevati določbe tega zakona in drugih zakonov, ratificirane in objavljene mednarodne pogodbe, druge predpise, kolektivne pogodbe in splošne akte delodajalca. Če delavec sklene delovno razmerje v organizaciji javnega sektorja17, se za urejanje njegovih pravic in obveznosti kot specialni zakon uporablja tudi Zakon o javnih uslužbencih18.
Delovna razmerja v Republiki Sloveniji ureja cela vrsta kolektivnih pogodb, sklenjenih med delavci in delodajalci različnih strok, ki so po svoji naravi lahko splošne, sektorske ali panožne. Bistvo kolektivnih pogodb je v podrobnejšem urejanju pravic in obveznosti med delavci in delodajalci, ki jih sicer že določa zakon. Med njimi naj na tem mestu omenimo le dve splošni kolektivni pogodbi, in sicer Splošno kolektivno pogodbo za gospodarske dejavnosti19 in Kolektivno pogodbo za javni sektor20. Prva izmed njih velja za vse delodajalce, ki opravljajo pridobitno dejavnost (gospodarska dejavnost), druga velja za javni sektor.
Delavčeve pravice in obveznosti urejajo tudi različni splošni akti, ki jih sprejme delodajalec in ki se nanašajo na povsem različna področja. Primer splošnega akta je npr. akt o sistemizaciji, disciplinski pravilnik ali pravilnik, ki ureja delo na domu.
Poleg veljavne delovnopravne zakonodaje pa imajo na zagotavljanje varnosti podatkov preko zaposlenih vpliv tudi nekateri drugi predpisi, med katerimi pomembno mesto zavzema Zakon o varstvu osebnih podatkov21.
Pomemben vidik zagotavljanja varnosti je tudi preverjanje novih sodelavcev, ki pa je v praksi zaradi določil Zakona o varstvu osebnih podatkov večinoma zelo oteženo. Podatki, ki so za javni sektor ali gospodarsko družbo, ki zaposluje novega delavca, relevantnega pomena in način njihovega pridobivanja brez soglasja zaposlenega utegnejo izredno hitro biti nedovoljen poseg v njegovo osebnostno sfero. Posameznik ima namreč pravico, da ostane skrito vse, kar spada v njegovo osebno in družinsko življenje in za kar ne želi, da se odkrije, ali ima interes za to, da se ne odkrije. Izjeme so seveda podane, kadar organizaciji javnega sektorja ali gospodarski družbi daje pravico do pridobitve določenih osebnih podatkov zakon ali pa so podatki pridobljeni s pisnim privoljenjem posameznika.
Veljavna delovnopravna zakonodaja zahteva za sklenitev delovnega razmerja izpolnjevanje splošnih pogojev, vezanih na starost in splošno zdravstveno zmožnost delavca. Poleg splošnih pogojev se z zakonom in splošnimi akti lahko določijo tudi posebni pogoji, ki jih mora izpolnjevati delavec, ki želi skleniti delovno razmerje za določeno delovno mesto, in ki se nanašajo tako na izobrazbo, znanja kot na druge okoliščine.
Tako mora oseba, ki se želi zaposliti v organizaciji javne uprave, poleg splošnih pogojev izpolnjevati pogoje državljanstva Republike Slovenije, biti mora polnoletna, ne sme biti obsojena za kaznivo dejanje, ki je po zakonu ovira za sklenitev delovnega razmerja v državnem organu, imeti mora predpisano izobrazbo in izpolnjevati druge posebne pogoje, določene v sistemizaciji delovnih mest. ZVDAGA pa v 39. členu naprej določa, da morajo uslužbenci, ki delajo z dokumentarnim gradivom, imeti najmanj srednjo izobrazbo in opravljen preizkus strokovne usposobljenosti pri pristojnem arhivu. Podobno, vendar strožje so predpisani tudi posebni pogoji za uslužbence, ki delajo z dokumentarnim gradivom pri ponudnikih storitev, povezanih z zajemom in e-hrambo gradiva.22
Pomembni kazalci zanesljivosti osebe so npr. tudi pogoji, ki se nanašajo na finančno stanje oziroma splošno premoženjsko stanje in s tem izpostavljenost izsiljevanju, podatki o nekaznovanosti (za primer zaposlitve v gospodarski družbi) in podobno. Vendar je treba upoštevati, da Zakon o bančništvu23 izrecno določa dolžnost banke, da mora kot zaupne varovati vse podatke, dejstva in okoliščine, za katere je izvedela v zvezi z opravljanjem storitev za stranko in pri poslovanju s posamezno stranko. Izjema velja le v primerih, kadar stranka izrecno pristane, da se sporočijo posamezni zaupni podatki, kadar so podatki potrebni za ugotavljanje dejstev v kazenskih postopkih in predložitev teh podatkov pisno zahteva oziroma naloži pristojno sodišče, v primerih, določenih z zakonom o preprečevanju pranja denarja, če so ti podatki potrebni za odločitev o pravnih razmerjih med banko in stranko v sodnem sporu, če so podatki potrebni v zapuščinskem postopku. Dejstvo torej je, da niti javni sektor niti gospodarska družba teh podatkov brez privolitve komitenta (bodočega zaposlenega) ne more pridobiti.
V skladu z določili Kazenskega zakonika24 je mogoče pridobiti podatke iz kazenske evidence za neizbrisane obsodbe. Podatke lahko na obrazloženo zahtevo pridobijo državni organi, pravne osebe in zasebni delodajalci, vendar le, če še trajajo pravne posledice obsodbe ali varnostni ukrepi ali pa če imajo upravičen, na zakonu utemeljen interes.
Pomemben dejavnik zagotavljanja varnosti je tudi preverjanje življenjepisa in podatkov v prošnji, vključno z izpolnjevanjem zahtev glede izobrazbe in izkušenj (posebni pogoji za zaposlitev). Kandidat zahteve dokazuje z ustreznimi javnimi listinami (če obstajajo) ali zasebnimi listinami. Kandidata za novo zaposlitev morate predhodno seznaniti z možnostjo in pridobiti njegovo pisno privolitev, da se bodo lahko ti podatki tudi preverili.
Z notranjimi pravili vpeljite nekatere kontrolne ukrepe25, s katerimi boste zmanjšali tveganja človeške napake, kraje, prevare ali napačne uporabe naprav, in sicer:
PRIMER 1: Vzorčne določbe glede sistemizacije delovnih mest
V opis nalog posameznega delovnega mesta npr. uvrstite:
Delavec je odgovoren za varovanje in zagotavljanje ustrezne stopnje zaupnosti podatkov ter delovanja informacijskega sistema v organizaciji v skladu z veljavnimi postopki in priporočili v zvezi z informacijsko varnostjo.
PRIMER 2: Določbe v zaposlitveni pogodbi ali pogodbi o delu:
V zaposlitveno pogodbo oz. pogodbo o delu npr. lahko uvrstite tudi naslednje zapise:
Delavec je dolžan izvajati vse varnostne in zaščitne ukrepe, ki so predpisani z obvezujočimi akti delodajalca.
Delavca vežejo določbe pogodbe o zaposlitvi in obvezujočih aktov delodajalca glede varnosti in zaščite oseb, premoženja in podatkov tudi po prenehanju delovnega razmerja. Delavec izrecno soglaša, da je kakršno koli kršenje določb aktov iz prejšnjega odstavka lažja ali težja kršitev delovnega razmerja.
Delodajalec je dolžan delavca seznaniti z vsemi svojimi obvezujočimi akti, delavec pa se je z njimi dolžan seznaniti, razčistiti morebitna vprašanja, se usposobiti za izvajanje določb teh aktov in se ravnati v skladu z njimi ves čas trajanja delovnega razmerja.
Izbrani kandidati za sklenitev novega delovnega razmerja v organizaciji in že zaposleni v organizaciji (v rednem delovnem razmerju, pogodbeno, preko študentskega servisa ….) naj kot del osnovnih pogojev zaposlitve podpišejo Izjavo o varovanju informacij26 in ta naj bo del zaposlitvene pogodbe. Z izjavo zaposleni istočasno potrjuje, da je seznanjen z varnostno politiko organizacije. Podpisana mora biti pred izdanim dovoljenjem za dostop do informacij. Odvisno od zakonskih pogojev se lahko zahteva podpis nekaterih dodatnih dokumentov o zaupnosti (npr. delovni kodeks). Podpis vseh dokumentov o zaupnosti mora biti evidentiran v kadrovskem sistemu.
Pomemben dejavnik zagotavljanja varnosti in pravilno izvajanje delovnih nalog je tudi skrb za stalno izobraževanje in usposabljanje zaposlenih27. Delavec ima namreč v skladu z veljavno zakonodajo pravico, da se izobražuje v interesu delodajalca, delodajalec pa ima pravico, da delavca napoti na izobraževanje. V tem primeru se je delavec izobraževanja dolžan udeležiti. Pomen izobraževanja je predvsem v dejstvu, da če bo delodajalec delavca zgolj zavezal k določenemu ravnanju, hkrati pa mu ne bo tudi omogočil, da bi se o določenem ravnanju tudi usposobil, ni mogoče pričakovati, da bo delavec tako, kot je zavezan, tudi ravnal.
Izobraževanje pa ni pomembno zgolj za novozaposlene, temveč tudi ob spremembah v varnostnih postopkih ali obveznostih zaposlenega (sprememba internih aktov, statusne spremembe) in tudi za osebe, ki so do nastopa novega delovnega mesta že opravljale podobna dela, a zanje ni rečeno, da ta dela in spremljajoče obveznosti tudi obvladujejo.
Zato naj npr. kadrovska služba v sodelovanju s službo za informatiko stalno načrtuje, izvaja in spremlja izobraževanje in usposabljanje v zvezi z informacijsko varnostjo za posamezne skupine zaposlenih glede na njihove zadolžitve. Izobraževanje in usposabljanje glede informacijske varnosti mora biti obveznost vseh zaposlenih ali pogodbenih sodelavcev.
Za splošne uporabnike naj bodo programi izobraževanja in usposabljanja glede informacijske varnosti splošni, za informatike in zadolžene za informacijsko varnost pa bolj poglobljeni. Strokovna izpopolnjevanja se dosegajo zlasti na različnih delavnicah, tečajih, seminarjih, kongresih ter na drugih izobraževalnih dogodkih, ki se lahko izvajajo interno ali eksterno.
Koristno: Usposabljanje in strokovno izpopolnjevanje zaposlenih naj bosta obvezni in predpisani. V organizaciji uvedite sistem letnega načrtovanja izobraževalnih programov za posamezne skupine zaposlenih, ki naj vključujejo tudi usposabljanja in strokovna izpopolnjevanja o informacijski varnosti. Organizacijska enota, ki izvaja naloge s kadrovskega področja, naj spremlja udeležbo zaposlenih na teh usposabljanjih. Periodično, vsaj enkrat na leto, naj preveri ustrezno usposobljenost zaposlenih za delo in varovanje informacij (npr. s preskusi znanja ali s pomočjo samoocenjevanja) ter zagotovi morebitna potrebna dodatna usposabljanja.
Zamenjava delovnega mesta v organizaciji28: Dosedanji neposredno nadrejeni premeščenemu delavcu in novi neposredno nadrejeni morata skupaj ugotoviti, ali je potreben prenos uporabniških pravic oziroma ali je treba določene uporabniške pravice (npr. fizične dostope in dostope do informacij) ukiniti. Organizacijska enota, ki izvaja naloge s kadrovskega področja, ob ukinitvi uporabniških pravic poskrbi za dejansko izvedbo tega. V postopku zamenjave delovnega mesta mora dosedanji neposredno nadrejeni tudi poskrbeti, da bodo posamezne naprave in vsi (interni, zaupni, strogo zaupni) dokumenti vrnjeni organizacijski enoti, ki izvaja naloge s kadrovskega področja. Zahteva za vrnitev naprav in dokumentov mora biti pisno potrjena, prav tako mora biti pisno potrjena tudi izročitev.
Sporazumna prekinitev pogodbe o zaposlitvi: Na podlagi vloženega predloga delavca za sklenitev sporazuma o razveljavitvi pogodbe o zaposlitvi mora kadrovska služba v sodelovanju s službo za informatiko preveriti, ali nadaljnji dostop zaposlenega do informacijskega sistema ali njegovega dela oz. do občutljivih podatkov pomeni nesprejemljivo tveganje za organizacijo.
Koristno: V organizaciji sprejmite ustrezne postopke za ovrednotenje tveganj, ki jih povzroči prekinitev pogodbe o zaposlitvi.
Na podlagi te ocene ustrezno zmanjšajte oziroma v celoti odvzemite uporabniške pravice. Organizacijska enota, ki izvaja naloge s kadrovskega področja, določi datum ukinitve dostopov do informacij in fizičnih dostopov ter preostalih uporabniških pravic in tudi poskrbi za dejansko izvedbo tega.
Koristno: Vedno, ko odpoved določi delodajalec, sicer pa odvisno od okoliščin, vzrokov in nezadovoljstva delodajalca, morajo biti uporabniške pravice zaposlenim ukinjene takoj, ko so v postopku prenehanja delovnega razmerja.
V postopku prenehanja delovnega razmerja mora nadrejeni poskrbeti, da bodo posamezne naprave in vsi (interni, zaupni, strogo zaupni) dokumenti vrnjeni organizacijski enoti, ki izvaja naloge s kadrovskega področja. Za naprave je zahtevano potrdilo posamezne odgovorne osebe, prav tako mora biti potrjena izročitev dokumentov.
Koristno: Uporabniške pravice zaposlenih do informacijskega sistema oz. do občutljivih podatkov, ki jim delovno razmerje ne bo prenehalo sporazumno ali ki odhajajo k organizaciji z nasprotujočimi interesi, nemudoma odvzemite. Izvajajte tudi stalen nadzor nad delom tega delavca.
Povezava na ISO 27001: 2005
8.1.2 Zaslišanje
8.1.3 Pogoji in pogodbena določila pri zaposlovanju
8.2.2. Izobraževanje in usposabljanje o informacijski varnosti
8.3 Prekinitev ali zamenjava zaposlitve
8.3.1 Ukrepi ob prekinitvi zaposlitve
8.3.2 Vračilo sredstev
8.3.3 Odvzem dostopnih pravic
Odgovornost za izvedbo: kadrovska služba, pravna služba, služba za informatiko.