obvladovanje informacijske varnosti v osnovni šoli iv ... · ker je informacijska varnost povezana...

UNIVERZA V MARIBORU

FAKULTETA ZA ELEKTROTEHNIKO,

RAČUNALNIŠTVO IN INFORMATIKO

Daniel Ficko

Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi

kontrolnega okvirja COBIT

Diplomsko delo

Maribor, avgust 2016

i

Obvladovanje informacijske varnosti v Osnovni šoli IV Murska Sobota ob vpeljavi kontrolnega okvirja COBIT

Diplomsko delo

Študent: Daniel Ficko

Študijski program: Visokošolski študijski program

Računalništvo in informatika

Smer: Informatika

Mentor: viš. pred. mag. BOŠTJAN KEŽMAH, dipl. gos. inž. elektroteh.

Lektor: Leon Banko

iii

ZAHVALA

Zahvaljujem se mentorju viš. pred. mag. Boštjanu

Kežmahu, ki mi je bil s svojo potrpežljivostjo,

strokovnostjo in pravilnimi usmeritvami v veliko

pomoč pri izdelavi diplomskega dela.

Posebna zahvala gre moji družini, ki so mi vedno

stali ob strani in me vzpodbujali na moji študijski

poti.

iv


Ključne besede: informacijska varnost, obvladovanje informatike, COBIT, zrelostni model,

standardi

UDK: 004.056.3:373.3(043.2)

Povzetek

Podjetja in organizacije se dnevno srečujejo z informacijsko tehnologijo, ki zahteva vedno

večjo stopnjo informacijske varnosti. Za dosego ustrezne stopnje informacijske varnosti in

upravljanja informacijske tehnologije je najpomembnejša močna povezava med poslovnim

vodstvom in vodstvom informatike ob ustrezno določenih ciljih in izvajanju tekočih

procesov. Pri izvajanju ciljev in procesov je priporočljivo upoštevati navodila mednarodnih

standardov družine ISO/IEC 27000.

Za dosego ustrezne informacijske varnosti in upravljanja informacijske tehnologije lahko

organizacija uporablja tudi druge standarde ali priporočila, ki jih predpisuje COBIT. Za

organizacije je ključnega pomena strateško načrtovanje informatike, zato nekatere za

doseganje tako poslovnih kot tudi informacijskih ciljev s pridom uporabljajo ogrodje COBIT.

Z uporabo ogrodja COBIT skozi zrelostni model merimo in vrednotimo procese, ki nam

služijo kot merilo pri umeščanju podjetja v ustrezno informacijsko raven.

Uvodni del diplomskega dela vsebuje splošne informacije o informacijski varnosti in

pomenu varnosti nasploh. Sledita mu opis standarda ISO/IEC in pregled družine

standardov ISO/IEC 27000. Osrednji del zajema pregled ogrodja COBIT in njegove

metodologije ter njegovo umestitev v osnovno šolo z namenom določitve zrelostne

stopnje in – ob ugotovljenih tveganjih in priporočilih za nadaljnje delo – izboljšanja

informacijske varnosti v šoli.

v

The evaluation of information security in Osnovna šola IV Murska Sobota with the introduction of control framework COBIT

Key words: information security, IT governance, COBIT, maturity model, standards

UDK: 004.056.3:373.3(043.2)

Abstract

Companies and organizations are daily confronted with information technology, which

always requires a higher level of information security. In order to achieve an appropriate

level of information security and information technology governance, is the most important

a strong relationship between business leadership and IT executives by properly defined

objectives and implementation of current processes. By implementing the objectives and

processes, it is advisable to consider guidance of international standards family ISO/IEC

27000.

In order to achieve the appropriate information security and IT governance, organization

may also apply to other standards or recommendations, prescribed by COBIT. For

organizations is crucial the strategic planning of information tehnology, so some

advantageously used COBIT framework, that serves them to achieve business and IT

objectives. With use of framework COBIT through maturity model we measure and

evaluate the processes, which serves as a criterion in positioning the company to

appropriate information level.

The introductory part of the diploma contains general information about the importance of

information security and security in general. Followed by a description of the ISO/IEC and

review of ISO/IEC 27000 family standards. The central part includes an overview of

framework COBIT and its methodologies as well placement of framework COBIT in an

elementary school with a view to determining the maturity level and having identified risks

and recommendations for further work to improve information security in the school.

vi

KAZALO

1 UVOD .............................................................................................................. 1

1.1 Opredelitev problema ................................................................................ 1

1.2 Namen in cilji diplomskega dela ................................................................ 2

1.3 Metode dela .............................................................................................. 2

1.4 Predpostavke in omejitve .......................................................................... 3

2 INFORMACIJSKA VARNOST ........................................................................ 4

2.1 Pomen informacijske varnosti ................................................................... 4

2.2 Osnovni principi ......................................................................................... 6

2.3 Informacijska varnostna politika ................................................................ 8

3 STANDARD ISO NA PODROČJU INFORMACIJSKE VARNOSTI ................ 9

3.1 ISO in IEC ................................................................................................. 9

3.2 ISO/IEC Standardi 27000 ........................................................................ 10

3.3 Splošni uvod v ISO/IEC 27001 ................................................................ 11

3.3.1 Delovanje standarda ISO/IEC 27001 ................................................ 12

3.3.2 Revizije ISO 27001 iz leta 2005 in 2013 ........................................... 14

3.3.3 Cikel nenehnega izboljševanja (DEMINGOV CIKEL) ....................... 16

3.4 ISO/IEC 27002:2005 ............................................................................... 18

3.5 Povezani standardi informacijske varnosti in drugi standardi .................. 18

4 CobiT ............................................................................................................. 20

4.1 Uvod v COBIT .......................................................................................... 20

4.2 Organizacija COBIT .................................................................................. 25

4.2.1 Osredotočenost na poslovanje ......................................................... 25

4.2.2 Usmerjenost na procese ................................................................... 27

4.2.2.1 Na podlagi kontrol ...................................................................... 30

4.2.2.2 Na podlagi meritev ..................................................................... 30

5 OCENA ZRELOSTNE STOPNJE V OSNOVNI ŠOLI IV ............................... 33

5.1 Predstavitev zavoda ................................................................................ 33

5.2 Predstavitev informacijskega sistema Osnovne šole IV Murska Sobota. 34

vii

5.3 Osnovne informacije o aplikativni programski opremi ............................. 35

5.4 Ocena učinkovitosti izbranih informacijskih procesov ............................. 36

5.4.1 PO1 – Opredelite strateški načrt za IT .............................................. 37

5.4.2 AI5 – Zagotovite vire IT ..................................................................... 42

5.4.3 DS5 – Zagotovite varnost sistemov .................................................. 44

5.4.4 DS11 – Upravljajte podatke .............................................................. 49

6 ZAKLJUČEK ................................................................................................. 55

7 LITERATURA IN VIRI ................................................................................... 57

viii

KAZALO SLIK

Slika 2.1: Shematični prikaz CIA-triade [6] ............................................................. 6

Slika 3.1: Pregled družine standarda ISO/IEC 27000 [24] .................................... 11

Slika 3.2: Število izdanih certifikatov ISO/IEC 27001 po celem svetu [28] ........... 11

Slika 3.3: Temeljna filozofija standarda ISO/IEC 27001 [27] ................................ 12

Slika 3.4: Upravljanje informacijske varnosti v podjetju [26] ................................. 13

Slika 3.5: Razvoj standarda ISO/IEC 27001 [15] .................................................. 14

Slika 3.6: Demingov cikel nenehnega izboljševanja (PDCA) [18] ......................... 17

Slika 4.1: Razvoj ogrodja COBIT [12] .................................................................... 21

Slika 4.2: Področja upravljanja informatike [13] .................................................... 22

Slika 4.3: Diagram produktov, zasnovanih na temeljih COBIT [13] ....................... 23

Slika 4.4: Medsebojne povezave komponent COBIT [13] ...................................... 24

Slika 4.5: Osnovno načelo COBIT [13] .................................................................. 25

Slika 4.6: Medsebojna povezava štirih domen COBIT [13] .................................... 27

Slika 4.7: Grafična predstavitev zrelostnih modelov [13] ...................................... 31

Slika 5.1: Zgradba omrežja OŠ IV MS .................................................................. 34

KAZALO TABEL

Tabela 4.1: Informacijski kriteriji COBIT 4.1 [13] .................................................... 26

Tabela 4.2: Procesi COBIT 4.1 [13] ....................................................................... 28

Tabela 4.3: Procesne in aplikativne COBIT kontrole [13] ...................................... 30

Tabela 4.4: Splošni zrelostni model [13] ............................................................... 32

ix

UPORABLJENE KRATICE

IKT – informacijsko-komunikacijska tehnologija

ROID – računalnikar, organizator informacijske dejavnosti

COBIT – Control Objectives for Information and related Technology

IT – Information Technology

ISACA – Information System Audit and Control Association

DOS – Denial of service

ISO – International Organization for Standardization

BSI – British Standards Institution

IEC – International Electrotechnical Commission

ITU – International Telecommunication Union

ISMS – Information security management system

SUVI – Sistem upravljanja varovanja informacij

OŠ IV MS – Osnovna šola IV Murska Sobota

IS – Information system

ITAF – Information Technology Assurance Framework

BMIS – Business Model for Information Security

CMM – Capability Maturity Model

ITIL – Information Technology Infrastructure Library

CMS – Content Management System

VLAN – Virtual Local Area Network

LAN – Local Area Network

ARNES – Akademska in raziskovalna mreža Slovenije

AD – Active Directory

DHCP – Dynamic Host Configuration Protocol

PHP – Hypertext Preprocessor

IIS – Internet Information Server

MIZŠ – Ministrstvo za izobraževanje, znanost in šport

CD – Compact Disc

DVD – Digital Versatile Disc

PGP – Pretty Good Privacy

WSUS – Windows Server Update Services

USB – Universal Serial Bus

DBA – Database Administrator

x

RAID – Redundant array of independent disks

EES – Enrollment for Education Solutions

AAI – Authentication and Authorization Infrastructure

SIO – Slovensko izobraževalno omrežje

IDM – Identity Management

SOX – Sarbanes-Oxley Act


1

1 UVOD

1.1 Opredelitev problema

Informacijsko-komunikacijska tehnologija (IKT) je dandanes nepogrešljiv dejavnik v

šolstvu.

Poučevanje in oblike komunikacije se s prihodom novih tehnologij iz leta v leto

spreminjajo oziroma dopolnjujejo. Vedno večja je potreba po novih tehnologijah, ki so

podpora zaposlenim pri njihovem vsakdanjem delu in dodana vrednost učenčevega

izobraževanja.

Ni več zaposlenega ali učenca na šoli, ki ne bi dnevno uporabljal vsaj ene od elektronskih

naprav, ki mu omogoča ažurno komunikacijo in dostop do informacij v določenem

trenutku. Z večanjem uporabe IKT, strojne opreme in storitev, ki nam jih tovrstne naprave

omogočajo, se povečuje tudi povpraševanje po različnih oblikah varovanja.

Ker je informacijska varnost povezana tudi s stroški podjetja, si osnovne šole kot

neprofitne organizacije težko privoščijo optimalne rešitve informacijske varnosti. Po

manjših šolah, kot je naša, je informacijska varnost prepuščena iznajdljivosti

računalnikarja-organizatorja informacijske dejavnosti (ROID).

V zadnjem desetletju je v šolstvu prišlo do velike spremembe v IKT, ponudba je vedno

večja, želje uporabnikov pa tudi. Sistemizacija delovnega mesta ROID se v zadnjih dveh

desetletjih ni spremenila.

Posledično je obvladovanje informacijske varnosti oteženo, saj je ta zaradi časovnega

okvira ROID-ja, ki ga ima na razpolago za tovrstno dejavnost, nesistematična in brez

procesnega izvajanja. Zaradi tega lahko hitro pride do izgube oz. zlorabe informacij.


2

1.2 Namen in cilji diplomskega dela

V diplomski nalogi želimo prikazati, kako v sodelovanju z vodstvom izboljšati informacijsko

varnost na osnovni šoli ob finančnih virih, ki so na razpolago, hkrati pa obdržati varovanje

podatkov in opreme na nivoju, potrebnem za šolstvo.

Osredotočili bi se na celotno organizacijo, tako administrativni kot pedagoški del, kjer se

nahajajo podatki zaupne narave, kot so: osebne mape učencev, pogodbe zaposlenih,

razni dokumenti, potrdila, domenski in spletni strežnik, omrežna infrastruktura, digitalna

potrdila za dostop do vladnih aplikacij, gesla, aktivni imenik itd.

Z vpeljavo kontrolnega okvirja COBIT v javni zavod bomo izdelali oceno zrelostne stopnje

izbranih informacijskih procesov, s katero želimo določiti trenutno stanje informacijske

varnosti v zavodu in jo v bodoče izboljšati.

Cilji:

podati splošne smernice o informacijski varnosti,

preučiti okvir za nadzor in upravljanje COBIT,

osnovna predstavitev ISO standarda in predstavitev ISO/IEC Standarda 27002,

vpeljava okvirja COBIT v javni zavod, kot je Osnovna šola IV Murska Sobota,

identificirati tveganja,

postaviti oceno zrelostne stopnje,

izboljšati informacijsko varnost v zavodu.

1.3 Metode dela

V diplomski nalogi bomo uporabili opisno oz. deskriptivno metodo, podkrepljeno s študijo

različne domače in tuje literature. V analitičnem delu bomo uporabili metodo študije

primera, na podlagi katere bomo z uporabo okvirja za nadzor in upravljanje COBIT pridobili

oceno zrelostne stopnje zavoda.


3

1.4 Predpostavke in omejitve

Zaradi zelo širokega področja, ki ga zajema informacijska varnost, se bomo v nalogi

omejili zgolj na področja in rešitve, ki so blizu organizacijam, kot je naša. Pri analizi

obstoječega stanja v našem zavodu bomo poskušali ob vpeljavi kontrolnega okvirja

COBIT, lastnega znanja, poznavanja in izkušenj izboljšati informacijsko varnost v šoli.


4

2 INFORMACIJSKA VARNOST

Varovanje informacij je dandanes za podjetja in organizacije eno najbolj pomembnih

poslovnih vprašanj. Vedno večja je zaskrbljenost posameznika po varovanju občutljivih

osebnih podatkov, poslovnih podatkov, verodostojnosti, celovitosti poslovnih podatkov itn.

Zaradi slednjega je zahteva po uveljavitvi vedno novih zakonov in predpisov, ki bodo

zagotavljali, da bodo podjetja ustrezno obravnavala varovanje lastnih podatkov in

podatkov, ki so jim zaupani v upravljanje, nujna [3].

Javne institucije in privatna podjetja kopičijo velike količine zaupnih informacij o svojih

zaposlenih, strankah, proizvodih, raziskavah in finančnem položaju. Večina teh informacij

je zbrana, obdelana in shranjena na računalnikih in prenesena preko različnih medijev na

druge računalnike. Varovanje zaupnih podatkov je tako poslovna kot v mnogih primerih

tudi etična in pravna zahteva. Za posameznika je opazen vpliv informacijske varnosti na

zasebnost, ki pa se v različnih kulturah obravnava različno [2].

V zadnjih letih postaja področje informacijske varnosti vedno bolj pomembno. Podjetja in

organizacije se zavedajo, da je celovitost in zaupnost informacij, s katerimi poslujejo,

ključnega pomena. Z namenom ohranitve in nadaljnjega razvoja poslovanja je potreba po

zaščiti informacij neizbežna [5].

2.1 Pomen informacijske varnosti

Varnost je proces varovanja pred poškodbo ali namerno škodo. Varnost tudi določa

ukrepe, ki jih proces uvede.

Informacija je sredstvo, ključno za delovanje organizacije, ki mora biti primerno zaščitena

v vseh povezanih poslovnih okoljih.

Informacija je lahko tiskana, zapisana na papir, v elektronski obliki, poslana po navadni in

elektronski pošti, prikazana na video posnetkih, predvajana po zvočnem posnetku ali

predstavljena med pogovorom. Če je informacija zaupne narave, jo ne glede na obliko

moramo zaščititi [4].


5

Za varovanje informacij in informacijskih sistemov se je uveljavil izraz informacijska

varnost (angl. Information security) [6].

Informacijska varnost pomeni varstvo podatkov in informacijskih sistemov pred

nezakonitim dostopom, uporabo, razkritjem, ločitvijo, spremembo ali uničenjem [2].

Informacijska varnost je (Peltier, 2001):

»proces varovanja vrednih informacijskih sredstev pred neavtoriziranim

dostopom, uporabo, razkritjem, motnjami, spremembo in uničenjem«

[6].

Različni standardi uporabljajo podobne definicije za informacijsko varnost.

ISO/IEC 27002 (2005) definira informacijsko varnost kot:

»ohranjanje zaupnosti, celovitosti in razpoložljivosti informacij. Poleg

tega tudi ohranjanje drugih lastnosti, kot so verodostojnost,

odgovornost, neovrgljivost in zanesljivost« [6].

ISACA podaja naslednjo definicijo informacijske varnosti, in sicer je to:

»zagotavljanje, da imajo samo pooblaščeni uporabniki (zaupnost)

dostop do točnih in popolnih podatkov (celovitost), kadar je to potrebno

(razpoložljivost)« [10].

Izraz informacijska varnost pogosto pomeni tudi računalniška varnost (angl. computer

security, IT security). Ko začnemo razmišljati o računalniški varnosti, se moramo zavedati,

da nobena varnost ni absolutna. Za večjo varnost smo uvedli različna pravila, standarde,

postopke itd., ki so ovira kibernetičnim zlonamernežem pri njihovem delu, saj jim otežijo

dostop do varovanih informacij. Hkrati te ovire omejujejo uporabnike, ki do teh informacij


6

dostopajo zakonito. Da bi varovanje informacij bilo zadovoljivo, je treba najti ravnotežje

med varnostjo in produktivnostjo. Z večanjem ovir si bodo tudi upravičeni uporabniki

informacij poiskali pot okrog teh ovir, ki jih bo pripeljala do njihovega cilja, na čim lažji

način [7].

2.2 Osnovni principi

Osnovni principi informacijske varnosti so zaupnost, neokrnjenost in razpoložljivost –

poznano kot CIA-triada (ang. confidentiality, integrity and availability) [5].

Slika 2.1: Shematični prikaz CIA-triade [6]

Da bi se izognili zmedi poimenovanja modela CIA, ki lahko pomeni tudi Centralna

obveščevalna agencija, se ponekod model označuje kot AIC-triada [8].

Ta tri ključna načela bi morala biti vodilo vsakega informacijskega sistema. Uporabljamo

jih pri vseh spektrih varnostne analize, vse od dostopa do želenega sistema,

uporabnikove zgodovine interneta kakor tudi pri zaščiti zaupnih podatkov, ki se pretakajo

preko interneta. Kršitev katerega koli od teh treh načel ima lahko resne posledice za vse

vpletene deležnike [1].


7

Zaupnost

Zaupnost preprečuje nepooblaščeno razkritje občutljivih informacij. Je sposobnost, ki

zagotovi, da se izvrši potrebna stopnja tajnosti in da so informacije prikrite pred

nepooblaščenim dostopom. Ko gre za varnost, je zaupnost morda najbolj očiten vidik

triade CIA in hkrati najpogosteje napaden vidik.

Kriptografija in šifrirne metode zagotavljajo zaupnost prenesenih podatkov z enega

računalnika na drugega. Na primer: ko uporabnik izvede bančno transakcijo, želi zaščititi

zasebnost podatkov o računu, kot sta geslo in številka kreditne kartice. Pri prenosu

občutljivih podatkov preko skupnega medija nam kriptografija zagotavlja varen prenos od

oddajnika do prejemnika [14].

Celovitost

V informacijski varnosti celovitost pomeni, da podatki ne smejo biti ustvarjeni, spremenjeni

ali uničeni brez pooblastila. Preprečuje neavtorizirano spremembo podatkov, sistemov in

informacij, s čimer zagotavlja natančnost sistemov in informacij. Če so naši podatki

celoviti, smo lahko prepričani v nespremenjeno in natančno predstavitev prvotnih

informacij. Najpogostejša oblika varnostnega napada je »man-in-the-middle«. Pri tej obliki

napada vsiljivec med prenosom spremeni prestrežene podatke [14].

Razpoložljivost

Razpoložljivost je preprečevanje izgube dostopa do virov in informacij z zagotovitvijo, da

so podatki pripravljeni na uporabo, ko je to potrebno.

Zagotavljanje razpoložljivosti se nanaša na vse glavne dele informacijskega sistema:

sistemska oprema, programska oprema, podatki/informacije in ljudje [18].

Nujno moramo zagotoviti, da so zahtevane informacije pooblaščenim uporabnikom

dostopne ves čas.

Zavrnitev storitve DoS (Denial of service) je ena izmed več vrst varnostnih napadov, ki

poskuša s pogostimi motnjami storitev onemogočiti dostop ustreznega uporabnika.

Zavrnitev storitve je nasprotje razpoložljivosti [14].

Informacijska varnost poleg osnovnih principov zaupanja, celovitosti in razpoložljivosti

upošteva tudi druge principe varnosti.


8

Alternativni model za klasično CIA-triado je leta 2002 predlagal g. Donn Parker in ga

poimenoval kot model šestih pomembnih elementov informacije. Ta model poleg osnovnih

principov informacijske varnosti vsebuje še uporabnost, verodostojnost in posest [1].

2.3 Informacijska varnostna politika

Izvajanje varnostne politike je ključni dejavnik, ki pomembno vpliva na poslovanje podjetja

ali organizacije. Pomembno je, da se njene priprave lotimo natančno in organizirano z

upoštevanjem različnih področnih standardov, še posebej družine ISO 27000 (opisana je

v naslednjem poglavju).

Ko razmišljamo o informacijski varnosti, moramo imeti v mislih tudi tri osnovne dele

informacijskega sistema: strojno in programsko opremo ter komunikacijo. Varnostna

politika je dokument o tem, kaj pomeni varnost za podjetje ali organizacijo in kaj za njun

informacijski sistem. Obravnava zelo široko področje, ki zajema zahteve in omejitve glede

vedenja oseb oziroma uporabnikov kakor tudi zahteve o strojnih in programskih

mehanizmih, kot so vrata, ključi, kriptografska strojna in programska oprema, elektronski

certifikati, varnostna gesla itd. Mehanizmi, ki so predpisani z varnostno politiko, morajo biti

dovolj močni, da zagotovijo zahtevano stopnjo varnosti.

Varnostna politika informacijskega sistema je v prvi vrsti namenjena nam samim,

organizaciji ali podjetju. Pomaga nam, da varujemo in ustrezno hranimo podatke pred

razkritjem ter zagotavljamo visoko stopnjo njihove celovitosti in razpoložljivosti.

Zmotno je mišljenje, da je varnostna politika informacijskega sistema le skupek pravil, ki

jih za izbrani del informacijskega sistema ali storitev pripravimo z namenom pridobitve

certifikata skladnosti ISO 27001:2013, s katerim se lahko pohvalimo pred odjemalci naših

izdelkov ali storitev ali pred strankami [19].


9

3 STANDARD ISO NA PODROČJU INFORMACIJSKE VARNOSTI

Leta 2000 je International Organisation for Standardisation (ISO) objavila standard

ISO/IEC (International Electrotechnical Commission) 17799:2000, "Kodeks za vodenje

varovanja informacij".

Standard ISO 17799 je bil razvit na osnovi standarda BS7799 organizacije British

Standards Institution (BSI).

Cilj standarda ISO 17799 je omogočiti podjetjem zmanjšanje tistih IT-groženj, ki izhajajo iz

fizičnih okvar, zlorab in industrijskega vohunjenja. Kot navaja ISO, je namen standarda

ISO 17799

»zagotoviti skupno osnovo za razvoj standardov za varovanje

organizacij in učinkovito prakso vodenja varnosti in za zagotovitev

zaupanja v medorganizacijsko poslovanje« [6].

Leta 2002 je bila izdana revizija BS 7799 (drugi del). Namen BS 7799-2 je bil uskladitev z

drugimi standardi, ki pokrivajo sisteme vodenja. Postavil je specifikacije za vodenje

informacijske varnosti in priporočila za vzpostavitev učinkovitega SUVI [6].

3.1 ISO in IEC

Mednarodna organizacija za standarde (ISO) je združenje s centralnim sekretariatom v

Ženevi, ki ga pri razvoju svetovnih standardov zastopa več kot 150 držav. Dandanes je

objavljenih več kot 16.000 standardov, po katerih se današnje organizacije certificirajo.

ISO je največji svetovni razvijalec standardov.

ISO 15443: »Informacijska tehnologija – Varnostne tehnike – Okvir za

zagotavljanje IT-varnosti«.


10

ISO-1779: »Informacijska tehnologija – Varnostne tehnike – Kode za izvajanje

informacijskih varnostnih ukrepov«.

ISO-27001: »Informacijska tehnologija – Varnostne tehnike – Sistemi za

zagotavljanje informacijske varnosti«

Slednji standard je še posebej zanimiv specialistom za informacijsko varnost [9].

Med najbolj znane standarde spadata družina ISO 9000 s ciljem upravljanja kvalitete

podjetja in družina ISO 14000, ki deluje na področju ravnanja z okoljem. ISO tesno

sodeluje z različnimi partnerji.

Na področju informacijsko-telekomunikacijske tehnologije so to še posebej Mednarodna

komisija za elektrotehniko (IEC), Mednarodni standardizacijski organ za elektrotehniko s

sedežem v Ženevi, sestavljen iz več kot 50 držav članic, ki so članice v obliki

nacionalnega komiteja, kot tudi mednarodnega telekomunikacijskega združenja (ITU),

specializirane agencije Združenih narodov z več kot 190 državami članicami za

standardizacijo in razvoj telekomunikacij [20].

3.2 ISO/IEC Standardi 27000

Družina standardov ISO 27000, ki jo prikazuje Slika 3.1, je pomembna predvsem zaradi

svoje splošnosti in uporabnosti na različnih področjih informatike. Gradi na starejših

standardih, še posebej na ISO 17799 in na britanskem BS 7799 standardu, ki mu dodaja

kopico posodobitev, temelječih na dobrih in uveljavljenih praksah.

Z vidika varovanja IT, ISO in IEC delujeta v okviru združenih skupin tako imenovanega

»Joint Technical Commitee 1 – Subcommittee 27«.

Ta skupina obsega več kot 30 članov in pod imenom ISO/IEC 2700x razvija vrsto

standardov s področja informacijske varnosti.

Medtem ko ISO/IEC 27000 pojasnjuje osnovne pojme standarda, oblikuje ISO/IEC 27001

osrednji del iste družine standarda, ki služi kot osnova za certificiranje. Ta osrednji del

zajema le del standarda, ki ga dopolnjujejo drugi standardi. Pri tem pride še posebej v

ospredje standard ISO/IEC 27002, ki deluje na področju nadzornih ciljev in ukrepov [19].


11

Slika 3.1: Pregled družine standarda ISO/IEC 27000 [24]

3.3 Splošni uvod v ISO/IEC 27001

ISO 27001 je mednarodni standard, objavljen s strani Mednarodne organizacije za

standardizacijo (ISO), in opisuje, kako upravljati z informacijsko varnostjo v podjetju oz.

organizaciji. Najnovejša različica tega standarda je bila objavljena leta 2013, njen popolni

naziv pa se glasi ISO/IEC 27001:2013. Prva revizija standarda je bila objavljena leta

2005, razvita pa je bila na temeljih britanskega standarda BS 7799-2.

Slika 3.2: Število izdanih certifikatov ISO/IEC 27001 po celem svetu [28]


12

ISO 27001 standard lahko implementiramo v poljubno organizacijo, profitno ali neprofitno,

privatno ali javno, malo ali veliko. Napisali so ga najboljši svetovni strokovnjaki s področja

informacijske varnosti in prepisuje metodologijo za vzpostavitev upravljanja informacijske

varnosti v organizaciji. Zraven tega omogoča organizacijam pridobivanje certifikata, kar

pomeni, da neodvisno certifikacijsko telo da potrdilo o tem, da je organizacija

implementirala informacijsko varnost skladno z ISO 27001 standardom.

ISO 27001 je postal največkrat uporabljan standard informacijske varnosti v svetu, po

katerem so se certificirala mnoga podjetja. Slika 3.2 prikazuje skupno število izdanih

certifikatov ISO/IEC 27001 po celem svetu [28].

3.3.1 Delovanje standarda ISO/IEC 27001

ISO/IEC 27001 je osredotočen na zaščito integritete, celovitosti in dostopnosti podatkov v

organizaciji. Temu zadostimo s prepoznavanjem potencialnih groženj, ki se lahko pripetijo

podatkom (podamo tako imenovano oceno tveganj), in definiramo vse potrebno za

preprečitev tovrstnih groženj (način ali obravnava tveganj).

Temeljna filozofija standarda ISO 27001 je zasnovana na upravljanju tveganj, njihovemu

prepoznavanju in obravnavi, kot prikazuje Slika 3.3.

Slika 3.3: Temeljna filozofija standarda ISO/IEC 27001 [27]

Varnostni ukrepi, ki jih izvajamo, so običajno v obliki usmeritev, postopkov ter tehnične

narave (npr.: strojna in programska oprema). V večini primerov podjetja že imajo celotno

strojno in programsko opremo, ampak jo uporabljajo na nevaren način. S tega vidika se

ISO 27001 okvir

Ocena in obravnava tveganj

Izvajanje varnostnih ukrepov


13

večina uporabe standarda ISO/IEC 27001 odraža v vzpostavitvi organizacijskih predpisov,

ki so potrebni za doseganje želene varnosti.

V primeru, da takšna uporaba zahteva upravljanje številnih politik, postopkov, oseb,

sredstev itd., nam ISO opisuje način, kako povezati vse potrebne elemente v sistem

upravljanja informacijske varnosti (ISMS).

Upravljanje informacijske varnosti se ne odraža le v IT-varnosti (požarni zidovi, zaščita

pred zlonamernimi programi, virusi itd.), temveč na upravljanju procesov, pravni zaščiti,

upravljanju osebja, fizični zaščiti in podobnem [27].

Kje v podjetju vključiti upravljanje informacijske varnosti?

Dejstvo je, da je informacijska varnost del celotnega upravljanja tveganj v podjetju, ki

pokriva področja računalniške varnosti, vodenja neprekinjenega poslovanja in upravljanja

informacijskih tehnologij [26].

Slika 3.4: Upravljanje informacijske varnosti v podjetju [26]

Upravljanje tveganj

Računalniška varnost

Neprekinjeno poslovanje

Informacijska varnost

Informacijska tehnologija


14

3.3.2 Revizije ISO 27001 iz leta 2005 in 2013

Kot smo prej omenili, je bil ISO 27001 prvič objavljen leta 2005 in dopolnjen leta 2013.

Trenutno je veljavna različica ISO/IEC 27001:2013.

Najpomembnejše spremembe različice 2013 se nanašajo na strukturo glavnega dela

standarda, interesnih skupin, ciljev, spremljanja in merjenja. Nekatere zahteve, kot so

preventivni ukrepi in zahteva po dokumentiranju posebnih postopkov, so bile v različici

2013 odstranjene.

Vse te spremembe standarda kot celote pravzaprav niso veliko spremenile. Njegova

osnovna filozofija še vedno temelji na oceni in upravljanju tveganj, hkrati pa na isti način

ohranja področja oblikovanja, izvajanja, pregleda in izboljšav. Nova različica je lažja za

branje in razumevanje in jo je veliko lažje integrirati z drugimi standardi upravljanja, kot so

ISO 9001, ISO 22301 itd. [27].

Slika 3.5: Razvoj standarda ISO/IEC 27001 [15]

ISO/IEC 27001:2005 standard temelji na seznamu 133 kontrol, predstavljenih v 11

poglavjih, ki jih morajo organizacije izpolnjevati. Opisuje proces upravljanja tveganj in

njegove aktivnosti, s katerimi zagotavljamo informacijsko varnost. Ne določa, ne predlaga,

ne imenuje kakršne koli metode za analizo tveganj. Določa pa strukturirane, sistematične

in natančno določene procese (od analize do izdelave načrtov upravljanja).

Poglavja, ki jih zajema, so:

varnostna politika,


15

organizacija varovanja informacij,

upravljanje sredstev,

varovanje človeških virov,

fizična zaščita in zaščita okolja,

upravljanje s komunikacijami in produkcijo,

nadzor dostopa,

nakup, razvoj in vzdrževanje informacijskih sistemov,

ravnanje z incidenti pri varovanju informacij,

upravljanje neprekinjenega poslovanja,

združljivost.

Učinkovit sistem upravljanja informacijske varnosti predpostavlja sistematično upravljanje

informacijskih tveganj, ki mora biti skladno s potrebami, usmeritvami in okoljem, v katerem

organizacija deluje. Navsezadnje mora biti upravljanje informacijskih tveganj v skladu z

upravljanjem vseh tveganj, s katerimi se organizacija srečuje. Varnostne usmeritve se

nanašajo na pravočasno in učinkovito upravljanje tveganj na področjih in v času, ko je to

potrebno. Gre za proces, ki ga je treba vzpostaviti in ga po vzpostavitvi stalno izvajati in

dopolnjevati.

Nova verzija standarda ISO/IEC 27001 je bila izdana novembra 2013 »Sistemi

upravljanja informacijske varnosti – Zahteve«.

Mednarodni standard ISO/IEC 27001:2013 je pripravil pododbor združenega

tehničnega odbora Mednarodne organizacije za standardizacijo in Mednarodne

elektrotehniške komisije ISO/IEC JTC 1/SC 27 Varnostne tehnike v informacijski

tehnologiji.

Struktura nove verzije standarda je skladna s strukturo, ki jo je predpisal ISO Tehnični

odbor, in hkrati enaka strukturi, ki je predvidena za vse standarde vodenja. S

skladnostjo vseh standardov bodo organizacije lažje integrirale različne sisteme

vodenja, kot so sistem vodenja kakovosti, ravnanja z okoljem, vodenja varnosti in

zdravja pri delu).

Za razliko od ISO 27001:2005, ki je zajemal 11 poglavij, nov standard sedaj zajema

10 poglavij:

področje uporabe,

zveza s standardi,

izrazi in definicije,

okvir organizacije,


16

voditeljstvo,

načrtovanje,

podpora,

delovanje,

vrednotenje,

izboljševanje.

Uvedene so vsebinske spremembe na tehničnem področju kot tudi na področju

upravljanja sistema. Standard v večji meri zajema vsa aktualna področja

informacijskih tehnologij in je osredotočen na oceno in odpravo tveganj z namenom,

da se zadosti potrebam organizacije [21].

Osrednja tema ISO/IEC 27001 je razumevanje informacijske varnosti kot načrtovanega,

planiranega, uvedenega, kontroliranega in nenehno izboljšujočega se procesa. V ta

namen standard uporablja model »Plan, Do, Check, Act«, znan tudi pod imenom PDCA-

model ali Demingov model [20].

3.3.3 Cikel nenehnega izboljševanja (DEMINGOV CIKEL)

K upravljanju varovanja informacij moramo pristopiti procesno. Upravljanje je proces, ki

informacije na vhodu preko procesnega dela pretvarja v izhode.

Proces varovanja informacij popišemo z znanim krogom PDCA (Plan, Do, Check, Act), ki

zagotavlja nenehno nadzorovanje in izboljševanje procesa varovanja informacij.

S procesnim pristopom se srečamo že pri vzpostavitvi sistema upravljanja varovanja

informacij in analizi tveganj. Najprej popišemo informacijske vire, ki jih nato umestimo

znotraj procesov. Pri samem umeščanju moramo popisati in določiti ustrezne procese, ki

vsebujejo opredeljene informacijske vire.

Za oblikovanje procesov velikokrat izhajamo iz organizacijske sheme organizacije, kar pa

ni vedno najboljši način. V nekaterih primerih je bolj smotrno oblikovati procese glede na

vsebino in izvajanje posameznih funkcij znotraj organizacije. Po opredelitvi procesov

sledijo popis, razvrščanje in umeščanje informacijskih virov v procese.


17

Sledi ocenjevanje tveganj, kjer ovrednotimo vire, določimo ranljivosti in grožnje ter

opredelimo velikosti posameznih tveganj. Nadalje ta tveganja tudi obravnavamo. Cilj je

zmanjšanje nesprejemljivih tveganj na raven, določeno s kriterijem sprejemljivosti.

Glavna naloga je zmanjšanje nesprejemljivih tveganj, kar lahko dosežemo z izbiro

ustreznih nadzorstev oziroma z zavarovanjem tveganj pri zavarovalnici ali s prenosom

tveganj na drugo osebo. Sledi izdelava načrta obravnave tveganj. Ta predstavlja formalni

načrt za uvajanje ukrepov za zmanjševanje tveganj. V načrtu opredelimo odgovornosti za

obravnavo tveganj, prioritete, cene ukrepov, potrebne tehnologije, potrebno delo za

vpeljavo in izobraževanje ter terminski rok izvedbe.

Rezultati obravnave tveganj zgolj opredeljujejo, katera nadzorstva potrebujemo, v načrtu

obravnave pa podrobneje opredelimo in ovrednotimo izbrano možnost obravnave

tveganja. Natančno ugotavljamo, kako tveganja zmanjšati in koliko finančnih sredstev bo

potrebnih za zmanjševanje tveganj. Če cena za odpravo tveganj presega finančne

zmožnosti organizacije ali podjetja, nastane potreba po ponovnem potrjevanju upravljanja.

Obravnava tveganj, ki je bila na prvi pogled najprimernejša, tako ni najustreznejša,

moramo jo izboljšati ali spremeniti, zato se vrnemo na točko tovrstne obravnave. V tem

primeru uporabimo krog izboljševanja (PDCA) za doseganje pričakovanih ciljev

upravljanja in postopek ponavljamo, dokler ne dosežemo ustrezne ravni tveganja [25].

Slika 3.6: Demingov cikel nenehnega izboljševanja (PDCA) [18]

Vpeljava

in izvajanje

Vzpostavitev

Vzdrževanje

in izboljševanje

Spremljanje

in nadzor

Planiraj

Uvedi

Kontroliraj

Korigiraj P

D

C

A


18

3.4 ISO/IEC 27002:2005

Zgodba o nastanku

Britanski standard BS 7799-1 je v letu 2000 služil kot osnova za tedaj na novo nastali

standard ISO/IEC 17799. V vmesnem času je bil ta isti ISO standard predelan in v juliju

2005 tudi objavljen. Da bi se uporabljala enotna poimenovanja standardov, je bil standard

v juliju 2007 preimenovan v ISO/IEC 27002:2005. Vsebinsko se standard ISO/IEC

17799:2005 v ničemer ne razlikuje od standarda ISO/IEC 27002:2005. V tem diplomskem

delu smo za opis tega standarda uporabili okrajšavo (ISO/IEC 27002 ali ISO 27002).

Vsebina

Pri vpeljavi standarda je poudarek na področju informacijske varnosti. Treba je omeniti, da

se informacije ne pojavljajo le v elektronski obliki, ampak so podane tudi v obliki ročno

napisanih zapiskov ali pogovorov.

Poleg tega je na začetku ponovno poudarjena pomembnost ocene tveganj, ki nam služi

kot izhodišče pri izbiri kontrol.

Glavni del standarda ISO/IEC 27002 je sestavljen iz 11 poglavij, tako imenovanih

"klavzul", s skupno 39 varnostnih kategorij.

Za vsako vrsto tveganja je podan kontrolni cilj, v katerem se določi, kaj želimo sploh

doseči. Poleg tega je v vsakem primeru – v obliki ukrepov – opredeljena ena ali več

kontrol, ki prispevajo k doseganju kontrolnega cilja. V celoti standard vključuje 133 kontrol,

od katerih vsaka vsebuje nadaljnja navodila in pomoč.

ISO/IEC 27002 standard je posredno povezan s SOX (angl.: Sarbanes-Oxley Act), ki med

drugim v uvodu in poglavju »Pritožbe« zahteva, da se opredelijo pravne zahteve, ki služijo

kot izhodišče pri sprejemanju potrebnih ukrepov [20].

3.5 Povezani standardi informacijske varnosti in drugi standardi

ISO/IEC 27002 podaja smernice za izvajanje varnostnih ukrepov, navedenih v ISO 27001.

ISO 27001 specificira 114 varnostnih ukrepov, ki se lahko uporabijo za zmanjševanje


19

varnostnih tveganj. Pri tem je ISO 27002 lahko zelo koristen, saj navaja podrobnosti o

tem, kako implementirati te ukrepe.

ISO 27004 podaja smernice za merjenje informacijske varnosti in se dobro usklajuje z ISO

27001, saj pojasnjuje, kako ugotoviti, ali je sistem za upravljanje informacijske varnosti

dosegel svoje cilje.

ISO 27005 podaja smernice za upravljanje tveganj informacijske varnosti. To je zelo

dober dodatek k ISO 27001, saj daje napotke o tem, kako izvesti oceno tveganja in

obravnavanje tveganja, kar je verjetno najbolj zahtevna faza izvajanja. ISO 27005 izhaja

iz britanskega standarda BS 7799-3.

ISO 22301 podaja smernice za sisteme vodenja neprekinjenega poslovanja in se zelo

dobro usklajuje z ISO 27001, saj poglavje A.17 iz ISO 27001 zahteva implementiranje

neprekinjenega poslovanja, vendar ne tako podrobno kot ISO 22301 [26].

ISO 9001 podaja smernice za sisteme vodenja kakovosti. Če tudi vodenje kakovosti in

vodenje informacijske varnosti na prvi pogled nimata dosti skupnega, je dejstvo, da je

okrog 25 % smernic standarda ISO 27001 in ISO 9001 enakih: kontrola dokumentov,

notranje revizije, pregled upravljanja, korektivni ukrepi, postavljanje ciljev in upravljanje

odgovornosti. Za podjetja, ki že izvajajo ISO 9001, bosta uvedba in prehod na ISO 27001

veliko lažja [27].


20

4 COBIT

4.1 Uvod v COBIT

Za razvoj COBIT-a skrbi ISACA®, ki je bila ustanovljena leta 1969 in ima danes več kot

115.000 članov v 180 državah. Je zaupanja vreden vir znanja, standardov, mreženja in

priložnosti za razvoj kariere za strokovnjake revidiranja, dajanja zagotovil, varnosti,

tveganj, zasebnosti in upravljanja informacijskih sistemov (IS). Vodjem poslovanja in IT

pomaga ustvarjati zaupanje v informacije in informacijske sisteme in korist od njih. ISACA

ponuja Cybersecurity NexusTM, celovit skupek virov za strokovnjake za varnost na

internetu, in poslovni okvir COBIT®, ki podjetjem pomaga pri upravljanju in ravnanju s

svojimi informacijami in tehnologijo. Združenje ima več kot 200 odsekov po vsem svetu

[10].

COBIT do sedaj šteje pet glavnih različic. Prva različica COBIT-a je bila izdana leta 1996.

Leta 1998 je sledila druga različica, ki dodaja področje "Kontrol". S tretjo različico – leta

2000 – je bilo dodano še področje "Smernice za vodenje". Prva spletna različica je bila na

voljo leta 2003. V decembru leta 2005 je bila izdana četrta različica, ki jo je v mesecu

maju leta 2007 nadgradila različica 4.1.

Trenutno aktualna različica je COBIT 5, ki je bila izdana leta 2012. Ta različica združuje in

vključuje COBIT 4.1, Val IT 2.0 in Risk IT okvir, obenem pa črpa precej iz poslovnega

modela informacijske varnosti (BMIS – Business Model For Information Security) in (ITAF

– IT Assurance Framework). Potek razvoja ogrodja COBIT je grafično opredeljen na Sliki

4.1 [3].

COBIT je osnovan na ustaljenih okvirjih, kot so CMM, ISO 9000, ITIL ter ISO 27002, in na

mnogih dobrih praksah, ki jih povezuje s poslovnimi potrebami.

Čeprav je usmerjen k procesom, COBIT ne vključuje definicije procesov in njihovih

korakov. Je okvir za nadzor in upravljanje in ne procesni okvir. Osredotoča se na

vprašanje, kaj mora organizacija doseči, in ne, kako to izvesti [30].


21

COBIT pomaga s stališča upravljanja storitev definirati, kaj je treba storiti, in ne, kako to

storiti.

Slika 4.1: Razvoj ogrodja COBIT [12]

COBIT 4.1 je uradno znan kot kontrolni cilj za informacijsko in sorodno tehnologijo (Control

Objectives For Information and Related Technologies), ki razvršča IT v štiri področja:

Načrtujte in organizirajte (PO),

Nabavite in vpeljite (AI),

Izvajajte in podpirajte (DS),

Spremljajte in vrednotite (ME).

COBIT podpira poslovno kakor tudi IT-vodstvo ter upravljavce pri opredeljevanju in

doseganju poslovnih ciljev in sorodnih ciljev IT z namenom, da poskrbi za celosten model

vodenja, upravljanja, nadzora in zagotavljanja IT. Je popoln, mednarodno priznan okvir

procesov IT, ki opisuje procese IT in z njimi povezane nadzorne cilje, smernice upravljanja

(dejavnosti, zadolžitve, odgovornosti in merila učinkovitosti) ter zrelostne modele. COBIT

podpira vodstvo podjetja pri razvoju, uvedbi neprestanega izboljševanja ter nadzoru

dobrih praks, povezanih z IT [10].


22

Ciljna področja upravljanja IT

Ciljna področja IT, prikazana na Sliki 4.2, sestavlja pet med seboj povezanih področij, ki

opisujejo teme, ki jih mora izvršno vodstvo obravnavati za vodenje IT znotraj podjetij.

Slika 4.2: Področja upravljanja informatike [13]

Strateška uskladitev zagotavlja, da se poslovni in IT-načrti povezujejo, in

zagotavlja, da se usklajuje delovanje IT z delovanjem podjetja. Za doseganje

dolgoročnih uspehov organizacije je ključnega pomena razumevanje poslovnih

ciljev organizacije in vzpostavitev strateške usklajenosti med informatiko in

poslovanjem celotne organizacije [13, 16].

Ustvarjanje vrednosti obravnava uresničevanje predloga za povečanje vrednosti

skozi celoten cikel dobave in zagotavljanje obljubljenih koristi IT glede na

strategijo, pri čemer se osredotoči na optimiziranje stroškov in dokazovanje

resnične vrednosti IT. Opredeljuje, kako organizirati in upravljati informatiko, da

postane sredstvo ustvarjanja nove vrednosti in ne samo strošek.

Upravljanje virov obravnava optimalne investicije in uspešno upravlja kritične vire

IT (poslovni procesi, kadri, aplikacije, poslovni podatki, infrastruktura). Omogoča

jasno preglednost in kontrolo nad svojimi viri, boljše načrtovanje, iskanje,

dodeljevanje in prerazporejanje potrebnih virov ter njihovo optimizacijo [13].

Upravljanje tveganja zahteva, da se vodstvo zaveda morebitnih tveganj in da

jasno razume ravni tveganj za podjetje, ki so lahko spremenljiva. Opredeli, kdo je

zadolžen za upravljanje tveganj v organizaciji. Organizacije so lahko izpostavljene


23

različnim tveganjem uporabe informatike v poslovanju (poslovno tveganje,

tveganje, povezano s poročanjem, tveganje brezprekinitvenega poslovanja itd.).

Merjenje izvedbe je bistveno za upravljanje IT. Je področje, namenjeno

uresničevanju strategije, zaključevanju projektov, uporabi virov, izvedbi procesov

in dobavi storitev, ki z uporabo sistema uravnoteženih kazalnikov strategijo

prevajajo v dejanja za doseganje ciljev.

COBIT ponuja generični procesni model, ki predstavlja vse procese, potrebne v funkcijah

IT, in s tem zagotavlja skupen referenčni model, ki je razumljiv vodjem IT kakor tudi

poslovnim vodjem. Z namenom, da bi dosegli uspešno upravljanje, produkcijski vodje na

zahtevo izvršnih direktorjev vpeljejo kontrole za vse procese IT znotraj določenega

kontrolnega okvirja. Okvir zagotavlja jasno povezavo med zahtevanimi upravljanji IT,

procesi IT in kontrolami IT, saj so COBIT-ovi kontrolni cilji IT organizirani glede na procese

IT. COBIT je splošno sprejet okvir za notranjo kontrolo IT [13].

Slika 4.3: Diagram produktov, zasnovanih na temeljih COBIT [13]

Slika 4.3 prikazuje, kako so COBIT-ovi produkti razporejeni na tri ravni in zasnovani za

podporo naslednjim udeležencem v upravljanju informacijskih sistemov:


24

upravi in visokemu vodstvu – namenjena je vodstvu organizacije in upravi, ki

sprejemata odgovornosti do upravljanja IT, ki jih imata,

vodenju poslovanja in vodstvu IT – opisuje, kako in kaj meriti in kako izboljšati

vodenje IT,

strokovnjakom za upravljanje in zagotavljanje jamstev (revizorji, presojevalci),

nadzora in varnosti.

Publikacije, ki jih udeleženci uporabljajo pri upravljanju informacijskih sistemov:

obveščanje uprave o upravljanju IT, 2. Izdaja,

smernice za vodstvo/zrelostni modeli,

okviri: vsebuje opis okvira, razporejen v štiri COBIT domene IT in 34 procesov IT;

zajeta so vsa pomembnejša COBIT navodila s prilogami in referencami,

kontrolni cilji,

vodič za vpeljavo upravljanja IT: uporaba COBIT in 2. izdaje Val IT,

COBIT kontrolne prakse: smernice za doseganje kontrolnih ciljev za uspešno

upravljanje IT, 2. Izdaja,

vodič za zagotavljanje jamstev v IT: uporaba COBIT.

Slika 4.4: Medsebojne povezave komponent COBIT [13]


25

Slika 4.4 ponazarja povezavo COBIT komponent, ki nudijo podporo za potrebe upravljanja,

vodenja ter kontrole in zagotavljanja jamstev.

Z vpeljavo COBIT-a v organizacijo kot okvira za upravljanje IT organizaciji omogočimo

boljšo uskladitev na podlagi poslovne usmeritve, vpogled v delovanje IT na ravni

razumevanja vodstva, jasno lastništvo in zadolžitve na podlagi procesne usmeritve,

enoten jezik medsebojnega razumevanja vseh udeležencev in splošno sprejemljivost pri

tretjih strankah in regulatorjih [13].

4.2 Organizacija COBIT

4.2.1 Osredotočenost na poslovanje

Glavna tema COBIT-a je osredotočenost na poslovanje. COBIT je namenjen izvajalcem

storitev IT, uporabnikom, revizorjem in presojevalcem ter zagotavlja obsežna navodila

vodstvu in lastnikom poslovnih procesov.

Temelji na načelu, prikazanem na Sliki 4.5, ki pravi, da mora podjetje za zagotovitev

informacij, ki jih potrebuje za uresničitev svojih ciljev, vlagati, upravljati in nadzorovati vire

IT z uporabo strukturiranega sklopa procesov, da zagotovi storitve, ki dajejo te

informacije.

Slika 4.5: Osnovno načelo COBIT [13]


26

Medtem ko informacijski kriteriji (uspešnost, učinkovitost, zaupnost, celovitost,

razpoložljivost, skladnost in zanesljivost), predstavljeni v Tabeli 4.1, predstavljajo splošno

metodo za opredelitev poslovnih zahtev, nam predstavitev poslovnih in IT-ciljev zagotavlja

poslovno in natančnejšo podlago za vzpostavitev poslovnih zahtev in razvojnih metrik, na

osnovi katerih merimo uspešnost glede na predstavljene poslovne cilje in cilje IT.

Podjetja uporabljajo IT zato, da jim omogoča uresničitev svojih poslovnih idej, ki so nato

predstavljene kot poslovni cilji za IT [13].

COBIT 4.1 opredeljuje štiri kategorije virov, ki jih podjetja uporabljajo, da v svoje

poslovanje umestijo informacije, ki so potrebne za izvajanje procesov. Ti viri so:

aplikacije,

informacije,

infrastruktura,

ljudje.

Tabela 4.1: Informacijski kriteriji COBIT 4.1 [13]

Informacijski kriterij Opis kriterija

uspešnost Pravočasna zagotovitev, pravilnost, skladnost in uporabnost informacij, ki so pomembne za poslovni proces.

učinkovitost Zagotavljanje informacij z uporabo virov, ki je najbolj produktivna in varčna.

zaupnost Varovanje občutljivih informacij pred nepooblaščenim razkritjem

celovitost Informacije so popolne in pravilne in v skladu s poslovno vrednostjo in pričakovanji.

razpoložljivost Informacije so vedno dostopne, ko se potrebujejo v poslovnih procesih.

skladnost Informacije so usklajene z zakoni, predpisi in pogodbenimi dogovori za posamezni poslovni proces.

zanesljivost Zagotavljanje ustreznih informacij za vodstvo, da bo podjetje vodeno odgovorno.


27

4.2.2 Usmerjenost na procese

Kot smo že omenili, COBIT opredeljuje dejavnosti IT v okviru splošnega procesnega

modela znotraj štirih domen. Medsebojno povezavo domen nam prikazuje Slika 4.6. Te

domene so:

načrtujte in organizirajte (PO, ang. Plan and Organize),

nabavite in vpeljite (AI, ang. Acquire and Implement),

izvajajte in podpirajte (DS, ang. Delivery and Support),

spremljajte in vrednotite (ME, ang. Monitor and Evaluate).

Slika 4.6: Medsebojna povezava štirih domen COBIT [13]

Podjetja in organizacije stremijo k dobremu upravljanju. Za doseganje tega COBIT-ov okvir

podjetjem zagotavlja referenčni procesni model in skupen jezik za vse dele podjetja, ki

uporabljajo, pregledujejo in upravljajo IT. Obenem COBIT zagotavlja okvir za merjenje in

spremljanje delovanja IT, komunikacijo s ponudniki storitev in združevanje najboljših praks

upravljanja. Podjetja morajo pri svojih poslovnih ciljih upoštevati tveganja v zvezi z IT in

poiskati pravo razmerje tveganj in koristi, ki so po zadolžitvah razporejene v štiri omenjene

domene [13]. V Tabeli 4.2 je opredeljenih vseh 34 procesov, razporejenih v 4 domene.

Načrtujte in organizirajte (PO)

Ta domena zajema strategijo in taktike ter se nanaša na prepoznavanje načina, kako

lahko IT najbolje prispeva k uresničevanju poslovnih ciljev. Realizacijo strateške vizije je


28

treba načrtovati, sporočati in upravljati za različne perspektive. Podjetje mora imeti

ustrezno organizacijo ter tehnološko infrastrukturo [13].

Vprašanja, ki jih domena obravnava v zvezi z upravljanjem:

Ali sta IT in poslovna strategija usklajeni?

Ali podjetje optimalno uporablja svoje vire?

Ali vsi v organizaciji razumejo cilje IT?

Ali podjetje razume tveganja IT in jih upravlja?

Ali kakovost sistemov IT ustreza poslovnim potrebam?

Tabela 4.2: Procesi COBIT 4.1 [13]

Načrtujte in organizirajte (PO) Izvajajte in podpirajte (DS)

PO1 Opredelite strateški načrt za IT DS1 Opredelite in upravljajte ravni storitve

PO2 Opredelite informacijsko infrastrukturo DS2 Upravljajte storitve tretje stranke

PO3 Določite tehnološko usmeritev DS3 Upravljajte delovanje in zmogljivost

PO4 Opredelite procese, organizacijo in razmerja IT DS4 Zagotovite neprekinjeno storitev

PO5 Upravljajte investicije v IT DS5 Zagotovite varnost sistemov

PO6 Sporočajte cilje in usmeritve vodstva DS6 Ugotovite in porazdelite stroške

PO7 Upravljajte človeške vire v sektorju IT DS7 Izobrazite in usposobite uporabnike

PO8 Upravljajte kakovost DS8 Pomoč uporabnikom in obvladovanje incidentov

PO9 Ocenjujte in obvladujte tveganja v IT DS9 Upravljajte konfiguracijo

PO10 Upravljajte projekte DS10 Upravljajte probleme

Nabavite in vpeljite (AI) DS11 Upravljajte podatke

AI1 Določite avtomatizirane rešitve DS12 Upravljajte fizično okolje

AI2 Nabavite in vzdržujte aplikacijske programe DS13 Upravljajte delovanje

AI3 Nabavite in vzdržujte tehnološko infrastrukturo Spremljajte in vrednotite (ME)

AI4 Omogočite delovanje in uporabo ME1 Spremljajte in vrednotite delovanje IT

AI5 Zagotovite vire IT ME2 Spremljajte in vrednotite notranje kontrole

AI6 Upravljajte spremembe ME3 Zagotovite skladnost z zunanjimi zahtevami

AI7 Namestite in potrdite rešitve in spremembe ME4 Zagotovite upravljanje IT

Nabavite in vpeljite (AI)

Za uresničitev strategije IT je treba poiskati rešitve IT, jih razviti ali nabaviti ter jih vpeljati

in vključiti v poslovni proces. Razen tega ta domena zajema tudi spremembe in


29

vzdrževanje obstoječih sistemov kot zagotovitev, da rešitve še naprej izpolnjujejo

poslovne cilje [13].


Ali novi projekti zagotavljajo rešitve, ki izpolnjujejo poslovne potrebe?

Ali so novi projekti izvedeni pravočasno in v okviru proračuna?

Ali novi sistemi delujejo ustrezno, ko so vpeljani?

Ali vpeljane spremembe ne bodo negativno vplivale na sedanje poslovanje?

Izvajajte in podpirajte (DS)

Ta domena zajema dejansko izvajanje zahtevanih storitev in vključuje izvajanje storitev,

upravljanje varnosti in neprekinjenega poslovanja, podporo storitvam za uporabnike,

upravljanje podatkov in produkcijskih zmogljivosti [13].


Ali se storitve IT izvajajo v skladu s poslovnimi prednostnimi nalogami?

Ali so stroški IT optimizirani?

Ali lahko zaposleni sisteme IT uporabljajo produktivno in varno?

Ali je pri varovanju informacij ustrezno poskrbljeno za zaupnost, celovitost in

razpoložljivost?

Spremljajte in vrednotite (ME)

Pri vseh procesih IT je treba redno ocenjevati, ali ti zagotavljajo kakovost in skladnost s

kontrolnimi zahtevami. Ta domena obravnava vodenje delovanja, spremljanje notranje

kontrole, regulativno skladnost in upravljanje [13].


Ali se delovanje IT meri, da se problemi odkrijejo, preden je prepozno?

Ali vodstvo zagotavlja uspešne in učinkovite notranje kontrole?

Ali je zmožnost IT mogoče povezati s poslovnimi cilji?

Ali so za varnost informacij zagotovljene kontrole zaupnosti, celovitosti in

razpoložljivosti?


30

4.2.2.1 Na podlagi kontrol

Vodstvo nadzira vse procese IT in za izvajanje teh potrebuje kontrolne cilje IT, ki

zagotavljajo popoln nadzor zahtev na visoki ravni. Ti kontrolni cilji so:

izjave o ukrepih vodstva za povečanje vrednosti ali zmanjšanje tveganja,

sestavljeni iz politik, postopkov, praks in organizacijske strukture,

oblikovani tako, da zagotovijo uspešno doseganje poslovnih ciljev in preprečijo ter

popravijo dogodke, ki niso zaželeni.

Odgovornost vodstva je, da sprejme odločitve v zvezi s kontrolnimi cilji, predstavljenimi v

Tabeli 4.3, na način, da izbere tiste, ki so primerni za uporabo v podjetju in jih vpelje v

podjetje ter ob tem sprejme tveganja, če vpelje neprimerne.

Sistem notranjih kontrol podjetja vpliva na IT na treh ravneh. Na ravni izvršnega vodstva,

na ravni poslovnega procesa in na ravni IT za podporo poslovnim procesom.

Zadolžitev glede aplikacijskih kontrol je porazdeljena med poslovni del podjetja in IT.

Poslovni del je odgovoren za ustrezno opredelitev funkcionalnih in kontrolnih zahtev kakor

tudi uporabo avtomatiziranih storitev, IT pa za avtomatizacijo in vpeljavo poslovnih,

funkcionalnih in kontrolnih ciljev in vzpostavitev kontrol za vzdrževanje celovitosti

aplikacijskih kontrol, ki so predstavljene v Tabeli 4.3.

Tabela 4.3: Procesne in aplikativne COBIT kontrole [13]

Procesne kontrole COBIT-a (angl. Proces Control ) (PC)

Aplikativne kontrole COBIT-a (angl. Applications Control) (AC)

PC1 Cilji procesa AC1 Priprava in odobritev izvornih podatkov

PC2 Lastništvo procesa AC2 Zbiranje in vnos izvornih podatkov

PC3 Ponovljivost procesa AC3 Preverjanje pravilnosti, popolnosti in verodostojnosti

PC4 Vloge in zadolžitve AC4 Veljavnost in celovitost obdelave

PC5 Politika, načrti in postopki AC5 Pregled in uskladitev rezultatov ter odprava napak

PC6 Izboljšanje zmogljivosti procesa AC6 Overjanje in celovitost transakcije

4.2.2.2 Na podlagi meritev

Osnovna potreba vsake organizacije je poznavanje lastnega IT-sistema in sposobnosti,

da se odloči, kakšno raven upravljanja in kontrole mora za svoje sisteme zagotoviti.


31

Za sprejetje pravilne odločitve je dobro, da se vodstvo vpraša, kako globoko v upravljanje

in kontrole naj poseže, da bodo koristi upravičevale stroške.

Vsako podjetje zase težko pridobi objektiven pogled v lastno raven zmogljivosti. Podjetja

se vedno sprašujejo, kaj meriti in na kakšen način.

Podjetja morajo meriti, v kateri ravni upravljanja se trenutno nahajajo in katere izboljšave

so potrebne. Ob tem morajo vpeljati orodja za upravljanje in nadzor napredka.

Zrelostni modeli

Vedno več zahtev glede zagotavljanja uspešnosti upravljanja IT je do vodstev javnih in

zasebnih podjetij. Da bi se tem zahtevam zadostilo, sami poslovni primeri zahtevajo

izboljšave in doseganje ustrezne ravni upravljanja in nadzora nad informacijsko

infrastrukturo.

Z relativnim merilom stanja podjetja, načinom za učinkovito določitev nadaljnje usmeritve

in orodjem za merjenje napredovanja cilja bi lastnik procesa ob uporabi ogrodja COBIT

moral biti sposoben spremljati napredovanje glede doseganja kontrolnih ciljev.

Modeliranje zrelosti za upravljanje in kontrolo nad IT-procesi temelji na metodi

vrednotenja organizacije. Tako lahko organizacijo ustrezno razvrščamo na lestvici zrelosti

od ocene neobstoječe (0) do optimizirano (5). COBIT-ova lestvica zrelosti je prilagojena

naravi COBIT-ovih procesov upravljanja IT, ki je zelo podobna CMM (ang. Capability

Maturity Model). Za vsakega od 34 COBIT-ovih procesov je na podlagi te splošne lestvice

podan specifičen model. Podjetja v osnovi zanima izvor nastalih problemov in njihova

odprava ter način določitve prednostnih nalog za izboljšanje, ne pa ocenitev ravni

ujemanja s kontrolnimi cilji.

Slika 4.7: Grafična predstavitev zrelostnih modelov [13]


32

Z uporabo zrelostnih modelov lahko vodstvo ugotovi, kakšna je dejanska zmogljivost

podjetja, primerja trenutno stanje v industriji proti konkurenci, kakšen vpliv in dobro ime

ima podjetje na trgu in kakšno rast mora doseči, da uresniči začrtane cilje.

Za lažjo uporabo rezultatov v povzetkih za poslovodstvo COBIT navaja metodo za grafično

predstavitev, ki jo prikazuje Slika 4.7 in katere priprava je zasnovana na splošnem

zrelostnem modelu, opisanem v Tabeli 4.4.

Prednost zrelostnega modela se kaže v njegovi enostavnosti po upravljanju. Vodstvo

lahko na preprost način uvrsti izbrani proces IT na lestvico in oceni, kaj je potrebno za

izboljšanje delovanja. Ocenjuje se od 0 do 5, odvisno od stopnje razvoja procesa iz

neobstoječe zmožnosti do optimizirane zmožnosti.

Tabela 4.4: Splošni zrelostni model [13]

Ocena

zrelostne stopnje Opis zrelostne stopnje

0 Neobstoječe Procesi niso prepoznani, podjetje se ne zaveda obstoja zadev, ki

bi jih moralo obravnavati.

1 Začetno/Ad Hoc

Podjetje se zaveda obstoja zadev, ki bi jih moralo obravnavati,

vendar ni standardiziranih procesov obravnave, temveč le ad

hoc pristopi, za vsak posamezni primer.

2 Ponovljivo, vendar

intuitivno

Podjetje ima razvite procese do stopnje enotne obravnave

postopkov s strani zaposlenih. Postopki so neformalne oblike,

zadolžitve so prepuščene posameznikom, ki znanja obvladujejo,

kar lahko vodi v napake.

3 Opredeljeno

Postopki so standardizirani in zapisani v formalni obliki ter

sporočeni prek usposabljanj. Postopki se morajo upoštevati, so

zgolj formalizacija obstoječih praks in zato nedodelani.

4 Vodeno in merljivo

Vodstvo spremlja in meri skladnost s postopki ter ukrepa, ko

procesi ne delujejo uspešno. Omejeno se uporablja

avtomatizacija orodij. Procesi se ponovljivo izboljšujejo in

zagotavljajo dobro prakso.

5 Optimizirano

Procesi delujejo na ravni dobre prakse in so primerljivi z

zrelostnimi ravnmi drugih podjetij. Orodja za izboljšanje

kakovosti in uspešnosti delujejo avtomatizirano in omogočajo

podjetju, da se hitro prilagodi na nove zahteve.

COBIT-ovi zrelostni modeli so osredotočeni na zrelost, ne pa nujno na obseg pokrivanja in

na globino nadzora. Podjetja v zrelostnem modelu COBIT lahko z lahkoto prepoznajo

opisane ravni in uporabijo opis, ki jim pri izvajanju njihovih procesov najbolj ustreza [13].


33

5 OCENA ZRELOSTNE STOPNJE V OSNOVNI ŠOLI IV

5.1 Predstavitev zavoda

Osnovna šola IV Murska Sobota je javni vzgojno-izobraževalni zavod, ki ga je ustanovila

Občina Murska Sobota.

Izvajajo dva programa:

prilagojeni izobraževalni program,

posebni program vzgoje in izobraževanja.

Šola je namenjena otrokom s posebnimi potrebami. S posebnimi pristopi, oblikami in

metodami dela spodbujajo otrokov razvoj na vseh področjih.

Prizadevajo si upoštevati in zadovoljevati otrokove interese, razvijati učenčeve delovne

navade ter v sodelovanju s starši pripraviti mladostnike za čim uspešnejšo vključitev v

okolje.

Na šoli je trenutno 66 zaposlenih, povprečna izobrazba je na ravni univerzitetne.

Financiranje šole poteka izključno iz sredstev državnega proračuna in proračuna Mestne

občine Murska Sobota ter delno iz sponzorskih sredstev, skladno z zakonom in statutom

[22].

Delo in naloge računalnikarja-organizatorja informacijske dejavnosti (ROID)

Za nemoteno opravljanje različnih dejavnosti IT v šoli skrbi ROID. Dodeljene so mu

različne naloge, kot je nabava informacijske opreme, nameščanje in vzdrževanje

operacijskih sistemov, vzdrževanje komunikacijskih poti, postavitev in upravljanje CMS-

jev, kot so spletne učilnice in spletne strani, konfiguriranje domenskega strežnika, skrb za

izobraževanje zaposlenih, izdelava varnostnih kopij podatkov, ustrezno ravnanje z gesli,

dodeljevanje pravic zaposlenim za dostop do različnih aplikacij in dnevna podpora

zaposlenim pri uporabi IT za namene poučevanja in poslovne namene.


34

5.2 Predstavitev informacijskega sistema Osnovne šole IV Murska

Sobota.

Omrežje je sestavljeno iz dveh navideznih lokalnih omrežij (v nadaljevanju: VLAN), ki

tvorita celotno omrežje oziroma LAN. Informacijski sistem je razdeljen na dva dela:

administrativnega,

pedagoškega.

Za usmerjanje prometa skrbijo usmerjevalnik CISCO Catalyst 2960-CX in pametni stikali

CISCO Catalyst 2950 in CISCO Lynksys SRW224G4. Šola je preko optičnega voda,

pridobljenega s projektom IR OPTIKA, povezana v omrežje ARNES s hitrostjo najmanj

1Gb/s, kot prikazuje Slika 5.1.

Slika 5.1: Zgradba omrežja OŠ IV MS

Osnovna Šola IV Murska Sobota, v nadaljevanju OŠ IV MS, uporablja notranjo domeno

os4ms, ki jo upravljamo z domenskim strežnikom Microsoft Windows Server 2008 R2. Za

strežnike in delovne postaje se uporablja operacijski sistem proizvajalcev Microsoft in

Linux. Strežniški in tiskalniški sistem vsebuje statične IP-naslove. Prav tako statične


35

tovrstne naslove uporabljajo za uporabniške računalnike. Za naprave, ki do spleta

dostopajo preko WIFI-ja, se uporablja dinamično dodeljevanje IP-naslovov (v

nadaljevanju: DHCP). Avtorizacijo prijav v lokalni sistem izvaja Microsoft Active Directory.

Ločijo tri tipe uporabnikov, ki dostopajo do informacij in storitev omrežja:

gostje,

učenci,

zaposleni.

OŠ IV MS ima spletni strežnik, na katerem teče dinamična spletna stran, ki predstavlja

dnevne dogodke in aktivnosti širši javnosti. Za obveščanje zaposlenih se uporablja tako

imenovana e-zbornica, ki je zasnovana v odprtokodnem sistemu za postavitev spletnih

učilnic – MOODLE. OŠ IV MS dostopa do spleta preko vozlišča Akademske in

raziskovalne mreže Slovenije – ARNES, ki obenem skrbi za nastavitve usmerjevalnika

CISCO in požarne pregrade, ki omogočata varnejši dostop do storitev in podatkov

lokalnega omrežja. Za nadzor in upravljanje lokalnega omrežja skrbi računalnikar-

organizator informacijske dejavnosti, v nadaljevanju ROID.

5.3 Osnovne informacije o aplikativni programski opremi

IS OŠ IV MS sestavljajo aplikacije za zajem in izmenjavo podatkov med vodstvom OŠ IV

MS in zaposlenimi na OŠ IV MS ter Ministrstvom za izobraževanje, znanost in šport, v

nadaljevanju MIZŠ.

Informacijski sistem osnovne šole sestavljajo naslednje komponente:

e-zbornica,

e-dnevnik,

e-redovalnica,

spletne učilnice,

spletna stran,

šolska knjižnica,

šolska prehrana,

šolsko računovodstvo.


36

Pedagoški del sestavljajo komponente, ki so neposredno povezane z vzgojno-

izobraževalnim delom, administrativni del pa komponenti šolska prehrana in šolsko

računovodstvo.

Za zajem in izmenjavo podatkov v OŠ IV MS uporabljamo dve aplikaciji. E-zbornica se

uporablja za komunikacijo in obveščanje med zaposlenimi ter za oddajo raznih poročil in

občutljivih podatkov. Zaposleni do podatkov dostopajo preko CMS-ja (sistem za

upravljanje spletnih strani) ter Moodla, ki je gostovan na ARNES-u. Spletna stran šole je

zgrajena v tehnologiji PHP/MySQL. Poganja jo MS Windows Server 2008 R2 z uporabo

aplikacijskega strežnika MS IIS. Spletna stran vsebuje tako javne kot tudi zasebne

podatke. Dostop do zasebnih podatkov je omogočen le avtoriziranim uporabnikom z

ustreznim uporabniškim imenom in geslom. Vodstvo OŠ IV MS je dolžno posredovati

podatke v elektronski obliki z uporabo spletnih aplikacij MIZŠ-ja. Dostop do teh aplikacij

MIZŠ-ja je urejen prek enotne vstopne točke »Portal MIZŠ«. Za dostop je potreben

certifikat, ki vsakemu uporabniku sistema omogoča enkratno avtentikacijo in dostop do

aplikacij, za katere je uporabnik avtoriziran. Ravnatelj lahko s pomočjo aplikacije za

dodeljevanje certifikatov, do katere je avtoriziran, zaposlenim dodeljuje dostope do

aplikacij portala MIZŠ-ja, ki jih potrebujejo. Vsak zaposleni lahko uporablja poljubno

število aplikacij MIZŠ-ja, če je za to avtoriziran.

Za ocenjevanje in beleženje opravljenih ur zaposleni na OŠ IV MS uporabljajo aplikacijo

LOPOLIS, do katere dostopajo z uporabo spletnega vmesnika »https://apl.lopolis.si« ali z

uporabo namizne različice Lopolisa.

Lokalni strežnik je lociran v OŠ IV MS, Trstenjakova 71, Murska Sobota. Strojno opremo,

aplikativno programsko opremo in operacijski sistem vzdržuje in upravlja ROID, zaposlen

na šoli.

5.4 Ocena učinkovitosti izbranih informacijskih procesov

Ocenili smo kakovost delovanja informacijskih procesov, ki neposredno ali posredno

vplivajo na učinkovitost delovanja IS OŠ IV MS. Za ocenjevanje smo uporabili

metodologijo COBIT 4.1, ki vsebuje 34 procesov, organiziranih v 4 domene. Uporabili smo

ocene od 0 do 5:

0 – procesi upravljanja se ne uporabljajo,

1 – procesi so ad hoc in neorganizirani,

2 – procesi sledijo rednemu vzorcu,


37

3 – procesi so dokumentirani in sporočeni,

4 – procesi se spremljajo in merijo,

5 – dobre prakse se uporabljajo in so avtomatizirane.

Z metodologijo COBIT smo se pri našem delu srečali prvič. Med pregledom in študijo

gradiva COBIT 4.1 nam je postalo jasno, da bo treba postoriti še veliko, da bodo naši

informacijski procesi dosegli raven, ki je za varen informacijski sistem potrebna. Pri

pregledu javno objavljene dokumentacije in drugega gradiva smo zasledili dokumente, ki

jih pri svojem delu uporabljajo revizorji Računskega sodišča Republike Slovenije.

Dokumente smo uporabili kot vodilo pri umeščanju šole v primerno zrelostno stopnjo,

vendar ne v celoti, saj se delovanje organizacij, ki jih opisuje revizijsko poročilo, vsebinsko

razlikuje od delovanja osnovnih šol [29].

Za pridobitev ocene smo ocenjevali način in kakovost štirih informacijskih procesov.

Pridobljene odgovore smo nato primerjali z opisi zrelosti, ki jih za posamezni proces

navaja COBIT 4.1, in določili oceno, ki najbolje opisuje stanje ocenjevanega procesa.

5.4.1 PO1 Opredelite strateški načrt za IT

Strateško načrtovanje za IT je ključnega pomena pri zagotavljanju informacijske varnosti.

Uporablja se za upravljanje in vodenje vseh virov, ki jih narekujejo poslovna strategija in

prednostne naloge organizacije. Ocenjevali smo proces PO1 – Opredelite strateški načrt,

ki je del domene Načrtujte in organizirajte. Domena vsebuje smernice in strategije, ki so

kot vodilo za doseganje želenih poslovnih ciljev IT. Funkcija IT in poslovni udeleženci so

odgovorni za zagotavljanje realizacije optimalne vrednosti iz portfeljev projektov in

storitev. Namen strateškega načrta je izboljševanje razumevanja priložnosti in omejitev IT

s strani ključnih udeležencev, ocenjevanje trenutne zmogljivosti, določitev zahteve po

zmogljivostih in človeških virih ter pojasnjevanje ravni potrebnih investicij. Poslovna

strategija in prednostne naloge se morajo odražati v portfeljih, izvajati jih je treba v skladu

s taktičnimi načrti za IT, ki opredeljujejo natančno izražene cilje, akcijske načrte in naloge,

ki jih razumeta in sprejemata tako poslovni kot IT-sektor. Za pridobitev dejanske ocene

procesa PO1 in s tem nadzora nad procesom smo se spraševali, ali proces izpolnjuje

poslovno zahtevo za IT glede ohranjanja ali širjenja poslovne strategije in zahtev

upravljanja, pri čemer morajo ostati koristi, stroški in tveganja pregledni [13, 29].


38

Ugotovitve

Ugotovitve so pokazale, da OŠ IV MS nima sprejetega ustreznega strateškega načrta, kot

ga narekujejo metrike in cilji po COBIT 4.1.

Sodelovanje med poslovnim vodstvom in vodjem informatike obstaja, vendar je

nenačrtovano in po potrebi. Vodstvo se zaveda pomembnosti strateškega načrtovanja IT.

Kljub zavedanju se strateško načrtovanje ne izvaja, razen če vmes poseže sprememba

zakona ali katera druga poslovna zahteva, ki je ključnega pomena za organizacijo.

Vodstvo in ožji tim informatike (ROID in nekaj učiteljev) se po potrebi sestaneta nekajkrat

na leto. Na sestankih se podajo poročila glede osnovnih potreb IT in finančnih sredstev, ki

so jim dodeljena. V skladu s finančnimi zmožnostmi, ki se razlikujejo iz leta v leto, se

nabavi najbolj nujna IT-oprema, potrebna za nemoteno delo. Odločitve se sprejemajo

odvisno od potreb posameznega razreda ali potreb administracije. Odločitve niso

usklajene, saj strateški IT-načrt ne obstaja.

Taktični načrt za IT, ki obsega načrt nabave, je del finančnega načrta OŠ IV MS in ni

samostojni dokument. Taktični načrt ni dovolj podroben, da bi omogočal opredelitev

projektnih načrtov, saj pri njegovem sestavljanju ni sodelovanja med vodstvom in ROID-

jem.

Končna poročila z obdelanimi podatki v pregledni obliki, podana vodstvu, se ne

uporabljajo v tolikšni meri, kot bi se lahko. Strategija zavoda je opredeljena s časovnim

obdobjem mandata ravnatelja, ki je petletno, in je predstavljena na eni od sej učiteljskega

zbora ter sprejeta za celotno organizacijo. Ta ne zajema metrik in ciljev, potrebnih za IT-

strategijo, ki je le dogovor med vodstvom in vodjem informatike (ROID).

Ne obstajata nobeni opredelitvi vizije glede razvoja IT in poslanstva informatike v

prihodnosti.

Sredstva za IT so v večji meri dodeljena po letnem finančnem načrtu in deloma po potrebi.

Kontrolni cilji

PO1.1 Upravljanje vrednosti IT

Sodelovanje ROID-ja z vodstvom deloma obstaja, vendar ni takšno, da bi zagotavljalo, da

portfelj investicij zavoda, ki vsebujejo IT-komponento, zajema programe s trdno podlago.

Investicije, ki se razlikujejo glede zahtevnosti in stopnje svobode pri dodeljevanju


39

sredstev, so neprepoznane in neopredeljene. Tudi ni določenega nekega vrstnega reda

investicij. Investicije se izvajajo po principu: najnujnejše najprej.

Stroški so podani v obliki končnih poročil, ki jih ustrezne službe podajo vodstvu zavoda.

PO1.2 Uskladitev med poslovanjem in IT

Procesi dvosmernega izobraževanja in vzajemnega sodelovanja pri strateškem

načrtovanju doseganja integracije IT niso formalni. Prednostne naloge se izvajajo po

dogovoru z vodstvom, a le po potrebi. Vodstvo se po posvetu z ROID-jem odloči o

izvajanju nekaterih prednostnih nalog.

PO1.3 Ocena trenutne zmožnosti in delovanja

ROID dvakrat letno ocenjuje trenutne zmožnosti, delovanje rešitev in izvajanje storitev IT

v zavodu ter oceno vodstvu preda v obliki polletnega poročila. Poročilo služi kot podlaga

za primerjavo prihodnjih zahtev.

IT daje podporo vodstvu pri doseganju poslovnih ciljev z ustrezno informacijsko in

komunikacijsko opremo in stalnim delovanjem ustrezne programske opreme. IT skrbi za

varovanje podatkov, shranjevanje podatkov, hitrejšo izmenjavo podatkov ter dostopnost

podatkov, ki so pri doseganju poslovnih ciljev s funkcionalnega in stabilnega vidika še

kako potrebni. IT skrbi za neprekinjeno delovanje storitev. Če do prekinitev pride zaradi

zunanjega vpliva, poskrbi za čim hitrejšo vzpostavitev delovanja storitev. Za dostopnost

do podatkov skrbi stabilna komunikacijska oprema, katere skrbnika sta ARNES in

podatkovni strežnik, nameščen v prostorih organizacije.

Funkcija IT je organizirana tako, da se na potrebe uporabnikov in na odnose z dobavitelji

odziva taktično, vendar nedosledno. Potreba po strukturirani organizaciji in upravljanju je

posredovana vodstvu, vendar so odločitve glede IT-ja še vedno odvisne od znanja ROID-

ja. Organizacija IT neformalno opredeljuje funkcije, ki jih izvaja ROID kot vodja

informatike, in funkcije, ki jih izvajajo uporabniki. Procesi in storitve v IT niso definirani.

Enotni seznam procesov ne obstaja.

PO1.4 Strateški načrt za IT

Strateški načrt ne obstaja, zato tudi sodelovanje z udeleženci ni formalno opredeljeno, cilji

IT pa niso usklajeni s strateškim ciljem podjetja, kar se lahko odraža na nepričakovanih

stroških in tveganjih.

OŠ IV MS sprejema le odzivne in taktične odločitve o finančnem načrtu za IS OŠ IV MS in

nima formalno opredeljenih politik in procesov za investicije in proračun, ki bi pokrivali


40

ključna poslovna vprašanja in vprašanja glede tehnologije. Vodja za informatiko nima

strokovnega znanja in sposobnosti za pripravo proračuna za IT in priporočitev ustreznih

investicij z IT-komponento. S tem ne povezuje elementov proračuna z IT-strategijo, saj ta

ne obstaja. Zato je težko pričakovati, da bodo investicije v IT ustrezno zadovoljevale

dejanske strateške in operativne potrebe OŠ IV MS.

PO1.5 Taktični načrt za IT

Taktični načrt ni opredeljen, saj je del strateškega načrta, ki ne obstaja. Taktični načrt

mora obravnavati investicijske programe z IT-komponento, storitve IT in sredstva IT.

Opisane morajo biti zahteve glede virov in način spremljave in upravljanja uporabe virov in

doseganja koristi. Navedene zahteve v OŠ IV MS niso formalne, zato posledično projektni

načrti v OŠ IV MS niso opredeljeni.

PO1.6 Upravljanje portfelja IT

Upravljanje portfelja investicijskih programov z IT-komponento, ki so potrebni za

doseganje posebnih strateških poslovnih ciljev s prepoznavanjem, opredeljevanjem,

razvrščanjem po prioriteti, izbiranjem, zagonom, vodenjem in nadzorom projektov, je

neformalno in nerazvito.

Ocena zrelostne stopnje

Ugotovitve so pokazale, da OŠ IV MS nima sprejetega ustreznega strateškega načrta,

vendar se zaveda njegove potrebe. Sodelovanje med vodstvom in vodjem informatike

obstaja, vendar je nenačrtovano in po potrebi. Obstajajo le sestanki v obliki aktivov, na

katerih se dogovori strategija za tekoče leto. Ti sestanki se izvajajo na začetku in na

koncu šolskega leta in ne vsebujejo vsebine IT. Zavod nima usklajene celovite strategije,

zato usklajevanje poslovnih zahtev, aplikacij in tehnologij poteka kot odziv na dogodke, ki

jih sprožijo vodstvo in zaposleni na OŠ IV MS. Odločitve so ad hoc, odvisno od potreb

posameznega oddelka ali projekta. Taktični načrt ne obstaja. Kar se tiče nabave, je ta del

finančnega načrta, ki ga sprejme vodstvo, in to brez sodelovanja z ROID. Proces

opredelitve strateškega načrta za IT bi na osnovi podanih ugotovitev ocenili z 1.


41

Tveganje

Pri določanju tveganj so nam bila v pomoč revizijska poročila Računskega sodišča

Republike Slovenije. Poročila navajajo različna tveganja, ki lahko nastanejo ob

neupoštevanju pravil, ki jih navaja metodologija COBIT [29].

Strateški načrt in priprava procesov strateških opredelitev razvoja na področju IT in

strategija IT, ki je OŠ IV MS nima, lahko vodi do nepravilnega razvoja in delovanja

različnih področij IT, nepreglednosti in nerazumevanja stroškov in koristi, ki zajemata

odnos do storitev zunanjih izvajalcev, določanje prioritet, spremljanje realizacije in

časovne opredelitve.

Nedodelane priprave operativnih načrtov IT lahko povzročijo, da vsebina operativnih

načrtov ne zadostuje potrebam za doseganje strateških ciljev OŠ IV MS in strateških ciljev

na področju IT v OŠ IV MS.

Tveganja, ki jim je izpostavljena OŠ IV MS, so naslednja:

nezadostno doseganje strateških usmeritev, poslanstva in vizije OŠ IV MS;

neučinkovito upravljanje investicij;

nenadzorovana poraba sredstev za IT-opremo;

nesistematični nadzor in nestrateška poraba sredstev za IT;

neustrezno ravnanje na področju upravljanja IT, kar privede le do izvajanja

poslovnih procesov in nalog in ne vodi k nobenemu izboljšanju.

Priporočilo

Na podlagi javno dostopne literature s področja, kot ga obravnavamo v diplomskem

delu, in zapisov raznih revizijskih poročil računskega sodišča OŠ IV MS priporočamo,

da vzpostavi kakovosten in v ustreznih notranjih aktih opredeljen proces strateškega

načrtovanja IT, ki bo služil kot zagotovilo k sprejetju potrebnih strateških usmeritev na

področju IT glede njegove vloge, načina dela, prioritet v delovanju in sistematični

opredelitvi ciljev, pri čemer morajo biti koristi, stroški in tveganja transparentni.

Za doseganje kakovostne strategije IT je ključnega pomena zavedanje o

medsebojnem sodelovanju vodstva in ROID. Z ustreznim sodelovanjem obeh strani in

s tem posledično kakovostnejšo strategijo IT bo učinkovitost procesov pričakovano

izboljšana. Kakovostna strategija IT lahko izdatno pripomore k učinkovitosti procesov

ter s tem k boljšemu doseganju strateških ciljev OŠ IV MS.


42

5.4.2 AI5 Zagotovite vire IT

Zagotoviti je treba vire IT, vključno z ljudmi, strojno opremo, programsko opremo in s

storitvami, kar zahteva opredelitev in uveljavitev postopkov nabave, izbiro dobaviteljev,

sklenitev pogodbenih sporazumov in samo nabavo. S tem zagotovimo, da so vsi potrebni

viri IT v organizaciji pravočasni in stroškovno učinkoviti [13].

Ugotovitve

Postopki nabave v OŠ IV MS se ne izvajajo na podlagi vnaprej določenih standardov

nabave, ampak postopke ureja ROID. Glede nabave ima ROID tako rekoč »proste roke«

in popolno zaupanje vodstva.

Strojna in programska oprema je največkrat pridobljena iz javnih razpisov MIZŠ-ja ter iz

lastnih sredstev, pridobljenih v dobrodelnih prireditvah. Pri javnih razpisih strojne,

programske opreme in storitev, so postopki za sklenitev, spreminjanje in prekinitev

pogodb, speljani. Preko postopkov javnega naročanja MIZŠ izbere najugodnejšega

dobavitelja opreme. Po izboru dobavitelja se sklene tripartitna pogodba med MIZŠ, šolo in

dobaviteljem opreme.

V primeru lastne nabave opreme ali storitev šola nima vpeljanih potrebnih postopkov

nabave. Izbiro dobavitelja opreme izvede ROID po lastni presoji, pri čemer med različnimi

ponudbami dobaviteljev izbere najustreznejšo. ROID vodstvu na skupnem sestanku ustno

preda svojo izbiro in utemelji svojo odločitev.

Nabava storitev, kot so e-dnevnik, e-redovalnica, e-arhiviranje, raznih storitev svetovalne

službe, ki jih pri svojem delu zaposleni potrebujejo, se izvaja po opredeljenih in

uveljavljenih postopkih nabave, vendar ti postopki niso formalno zapisani. Pri nabavi teh

storitev vodstvo po posvetu z ROID-jem sestavi ožji tim sodelavcev, ki na podlagi danih

ponudb in predstavitvenih delavnic izberejo tisto, ki je za potrebe njihovega dela

najprimernejša.

Šola uporablja storitve, potrebne za vodenje, in storitve za podporo pri izvajanju učnega

procesa, ki sledijo tehnološkemu napredku in so stroškovno učinkovite. Strojna in

programska oprema, nameščena v šoli, je v nekaterih primerih zastarela in ni v skladu z

opremo, ki je predpisana za poučevanje v razredih. Posledično je njena uporaba delno

učinkovita ali neučinkovita, kar lahko vpliva na proces dela v razredu.


43

Kontrolni cilji

AI5.1 Kontrola nabave

Postopkov in standardov v skladu s splošnim procesom nabave in nabavne strategije, da

se pridobijo infrastruktura, povezana z IT, zmogljivost, strojna oprema, programska

oprema in storitve, ki so potrebne za poslovanje, šola nima razvitih v celoti, razen pri

javnih razpisih, ki so del MIZŠ-ja.

AI5.2 Upravljanje pogodb dobaviteljev

Ne obstajajo nobeni standardizirani postopki za sklenitev, spremljanje in prekinitev

pogodb z dobavitelji, razen pri javnih razpisih, ki jih izvaja MIZŠ. Ker postopki ne

obstajajo, se ne izvajajo tudi finančne, organizacijske, dokumentacijske, zmogljivostne,

varnostne, intelektualno-lastninske in prekinitvene odgovornosti in obveznosti, saj je pri

nabavi opreme in storitev dovolj, če si šola pridobi vsaj tri ponudbe različnih dobaviteljev

opreme ali storitev.

AI5.3 Izbira dobaviteljev

Šola dobavitelje izbere na način, ki je za šolo kvalitetno in stroškovno učinkovit in je v

skladu s pravično, vendar ne formalizirano prakso in načinom, ki zadostuje vsem

opredeljenim zahtevam. Ob primerjavi ponudb različnih dobaviteljev izvedejo optimizacijo

zahtev s podatki.

AI5.4 Nabava virov IT

Šola iz lastnih sredstev nabavlja manjše količine virov IT, za katere v pogodbenih

sporazumih, če ti sploh obstajajo, ne navaja pogodbenih določil o pravicah in obveznostih

glede nabave programske opreme, razvojnih virov, infrastrukture in storitev, razen pri

javnih razpisih, ki so del MIZŠ-ja.


OŠ IV MS se zaveda potrebe po osnovnih politikah in postopkih za nabavo IT-virov.

Politike in postopki so delno združeni s splošnim procesom nabave OŠ IV MS. Z

dobavitelji so redko sklenjeni okvirni in pogodbeni sporazumi, razen če je nabava IT-virov

izvedena iz javnih razpisov MIZŠ-ja. Nabava in zagotavljanje IT-virov potekata v okviru

priprave letnega načrta šole in letnega poročila ROID-ja, ki sta priloga dokumentu

finančne najave za tekoče šolsko leto. Načrt informatizacije za tekoče šolsko leto je


44

pripravljen po okvirni presoji ROID-ja in ne na podlagi IT-strategije, saj ta ne obstaja. Letni

načrti za nabavo IT-virov se ne navezujejo na operativne načrte oziroma na IT-strategijo,

saj te OŠ IV MS nima zapisane v formalni obliki kakor tudi ne poslanstva IT.

Popis in lastništvo sredstev za IT-opremo se izvajata enkrat letno. Opravi ju oseba,

zadolžena za popis IT-opreme v tekočem šolskem letu ter ju primerja s prejetim izpisom

računovodske službe. Proces popisa je pomanjkljiv, saj ni nobene kontrole nad osebo, ki

popis izvaja. Vsa potrdila o prejemu opreme niso zbrana in verificirana. Proces

»Zagotovite vire IT« bi lahko na osnovi podanih ugotovitev ocenili z oceno 2.

Tveganje

Navedena dejstva predstavljajo tveganje pri postopkih nabave IT-opreme, ki so izpeljani

neformalno in na podlagi pridobljenih ponudb dobaviteljev, pri katerih se ne upoštevajo

nobena pogodbena določila o pravicah in obveznostih. Treba bi bilo vzpostaviti

standardizirane postopke za sklenitev, spremljanje in prekinitev pogodb z vsemi

dobavitelji.

Priporočilo

Priporočamo, da se na šoli vzpostavi proces za urejanje in določanje postopkov pri nabavi

IT-virov. Vsako večje naročilo naj vsebuje pogodbo med dobaviteljem in šolo, vsaka

pogodba naj je sestavljena po standardiziranih postopkih za sklenitev, spremljanje in

prekinitev pogodbe. Pogodbe naj sestavi vodstvo ob nasvetih pravne službe in svetovanju

ROID-ja pri določanju tehnoloških specifikacij, ki naj jih storitev ali oprema IT vsebuje.

Pogodbena določila o pravicah in obveznostih pri nabavi je treba dosledno navajati in

izvajati.

5.4.3 DS5 Zagotovite varnost sistemov

Informacije in podatki so neprecenljivi del vsake organizacije. Potreba po njihovem

vzdrževanju in celovitosti ter varovanju sredstev IT je postala nuja. Da bi temu

zadostili v čim večji meri, uporabljamo proces upravljanja varovanja. Ta proces

vključuje vzpostavitev in vzdrževanje vlog in zadolžitev, politik, standardov in


45

postopkov za varovanje IT. Izvajajo se spremljanja varovanja in testiranja, preko

katerih lažje ugotovimo varnostne slabosti ali incidente. Z uspešnim upravljanjem

varovanja smo deležni večje zaščite vseh sredstev IT in s tem posledično

zmanjšujemo vpliv varnostnih ranljivosti in incidentov na celotno poslovanje [13].

Ugotovitve

Po pregledu delovanja ROID-ja in delovanja nekaterih kontrol na področju informacijske

varnosti, ki vplivajo na varnost informacij v OŠ IV MS, ugotavljamo naslednje stanje:

Fizično varovanje ni urejeno v celoti. Vhodna kontrola za vstop v stavbo je

preprosta alarmna naprava, ki je aktivirana v času nedelovanja šole. V delovnem

času za nadzor in varovanje skrbi informator, ki identificira in usmerja zunanje

obiskovalce zavoda. Dostop v šolo je urejen skozi glavna vrata, ostali dostopi so

zunanjim obiskovalcem brez spremstva onemogočeni. OŠ IV MS ne uporablja

videonadzora.

Pravice dostopov do posameznih aplikacij MIZŠ-ja so urejene s certifikati, ki

omogočajo vsakemu uporabniku sistema enkratno avtentikacijo in dostop do vseh

aplikacij, za katere je uporabnik avtoriziran, in dostop do ustreznih podatkov

zavoda, za katerega uporabnik vnaša podatke. Za dodeljevanje pravic dostopov

do posameznih aplikacij MIZŠ-ja je na OŠ IV MS formalno zadolžen ravnatelj.

Dodeljevanje uporabniških računov je urejeno. Uporabniki se dodajajo v aktivni

imenik AD, kjer so razvrščeni v ustrezne skupine dostopa, odvisno od potreb

posameznika.

Varnostni incidenti, ki nastanejo, se odpravljajo po potrebi in časovnih zmožnostih

ROID-ja, ki za odpravo teh ni pogodbeno zadolžen. Ni nobenega informacijskega

sistema, ki bi omogočal prijavo nastalega incidenta, zato je odprava dolgotrajnejša

in ni transparentna.

Komunikacija med zaposlenimi poteka osebno, preko elektronske pošte ali foruma

e-zbornice.

Sistematična ocena tveganj na področju varnosti IS se ne izvaja.

OŠ IV MS nima pogodbeno odgovorne osebe, zadolžene za izvajanje aktivnosti in

nadzora nad informacijsko varnostjo, ki bi poročala neposredno odgovorni osebi OŠ IV

MS in skrbela za politike, standarde in postopke varovanja IT.


46

Kontrolni cilji

DS5.1 Upravljanje varnosti sistemov

Upravljanje varnosti sistemov se upravlja po lastni presoji ROID-ja in se izvaja na nižji

organizacijski ravni.

DS5.2 Načrt varovanja IT

Šola nima formalno zapisanega načrta za varovanje IT. Zaposlenim se v obliki sestankov

predajo navodila glede upravljanja z gesli, varovanja zaupnih podatkov, ustrezne uporabe

službene IT-opreme v organizaciji in izven nje, pridobivanja in uporabe ter obdelave

raznih podatkov, ki so del poslovnih procesov.

DS5.3 Upravljanje identitete

Uporabniki in njihove dejavnosti na sistemih IT so enolično prepoznavni. Učenci, učitelji in

administracija dostopajo do sistemov z lastnim domenskim uporabniškim računom, ki je

odvisno od statusa uporabnika razporejen v ločene skupine. Vsi uporabniki se prijavijo z

uporabniškim imenom in geslom in na podlagi avtentikacije dostopajo do avtoriziranih

podatkov in delov periferije, ki jim je omogočena (npr.: uporaba USB-ključa, pogona

CD/DVD, tiskalnikov itd.). Pravice uporabnikov glede dostopa do sistemov in podatkov

določa ROID, ki obenem skrbi za varnost IT v šoli. Dostopne pravice se opravljajo

centralno preko aktivnega imenika AD-ja.

DS5.4 Upravljanje uporabniškega računa

Šola formalnih postopkov glede uporabnikov, ki se tičejo vzpostavitve, spremembe,

zaprtja ali začasnega odvzema uporabniškega računa, nima. Te storitve za učence

opravlja ROID po potrebi, v primeru zaposlenih se ROID posvetuje z vodstvom. Postopki

za odobritev uporabnikovega dostopa do želenega sistema in podatkov ne obstajajo,

uporabnikom se pravice in dostopi dodelijo po potrebi in v skladu z varnostno politiko OŠ

IV MS. Vodstveni pregledi vseh računov in z njimi povezanih privilegijev se izvajajo vsako

leto pred začetkom šolskega leta.

DS5.5 Testiranje, nadzor in spremljanje varovanja

Testiranje, nadzor in spremljanje vpeljevanja varnosti v OŠ IV MS se ne izvajajo. Ni

periodičnega preverjanja varnosti IT, ki zagotavlja vzdrževanje osnovne ravni varovanja

informacij.


47

DS5.6 Opredelitev varnostnega incidenta

Nikjer ni opredeljenih značilnosti morebitnih varnostnih incidentov, kar otežuje njihovo

odpravo. Procesi za obvladovanje incidentov ne obstajajo. Ko ti nastanejo, jih odpravljajo

ad hoc.

DS5.7 Zaščita varnostne tehnologije

Naloge varovanja IT in zaščita pred nepooblaščenim dostopom ne spadajo v pogodbena

dela in naloge, ki jih izvaja ROID. Kljub temu se naloge izvajajo, saj so temelj varovanja

podatkov in opreme IT. Dokumentacije o varovanju ne obstajajo.

DS5.8 Upravljanje kriptografskih ključev

Šola nima vpeljane politike in postopkov za kreiranje, spreminjanje, preklic, uničenje,

posredovanje in certifikacije kriptografskih ključev, saj le ROID občasno uporablja

kriptografske ključe PGP (Pretty Good Privacy) za namene pošiljanja elektronske pošte.

Za shranjevanje in uporabo certifikatov je na šoli zadolžen ROID, ki skrbi za pravilne

prevzeme in izvoze certifikatov, dodeljenih s strani MIZŠ-ja ali certifikatne agencije

SIGEN-CA. Certifikati se hranijo na dveh ločenih zunanjih medijih (dvd, trdi disk ipd.), ki

so varno shranjeni v prostorih arhiva OŠ IV MS v ognjevzdržni omari.

DS5.9 Preprečevanje in odkrivanje zlonamernih programov in popravljanje

Šola ima na šolskem strežniku vzpostavljen mehanizem za upravljanje varnostnih

popravkov WSUS (Windows Server Update Services), ki za posamezno različico

operacijskega sistema Windows ureja in ponuja potrebne popravke. ROID poskrbi, da so

na vseh računalnikih nameščeni ustrezni operacijski sistemi, zaščiteni s programi za

zaščito pred raznimi virusi, trojanskimi konji, črvi, vohunskimi programi ter nezaželeno

elektronsko pošto.

DS5.10 Omrežna varnost

Za omrežje in njeno delovanje na šoli skrbi ROID, ki z upravljanjem požarnih zidov,

filtriranjem prometa na usmerjevalniku, dodajanjem želenih ali onemogočanjem

nezaželenih spletnih storitev (npr.: Facebook, E-stave, neprimerne vsebine itd.) skrbi za

varnost IT v šoli. Vzpostavljeno je fizično ločevanje omrežja na strojnem nivoju z uporabo

usmerjevalnika CISCO. Omrežji se ločujeta na pedagoško in administrativno. Dostop do

administrativnega omrežja iz pedagoškega omrežja je omogočen le v primeru uporabe

ustreznih filtrov usmerjevalnika, s preverjanjem dostopa ustreznega IP-naslova (Internet

Protocol) računalnika.

http://www.si-ca.si/kripto/kr-pgp.htm


48

DS5.11Izmenjava občutljivih podatkov

Zaposleni na šoli niso dovolj ozaveščeni glede prenašanja občutljivih podatkov iz ene

lokacije na drugo, zato velikokrat za prenos podatkov uporabljajo poti, nevredne zaupanja,

kot so elektronska pošta poljubnega ponudnika, USB-ključ, razne mobilne naprave in

prenosni diski. Pri prenosu teh podatkov se ne uporabljajo kontrole za zagotovitev

verodostojnosti vsebine, dokazila o posredovanju, o prejemu in o neovrgljivosti izvora.


Ne obstajajo pogodbeno dodeljene zadolžitve in odgovornosti za varnost IT, vendar jih

ROID izvaja v sklopu sistemizacije ur, dodeljenih za IKT. Zaposleni so ozaveščeni o

potrebi po varovanju IT-opreme in podatkov, vendar je ta ozaveščenost razdrobljena in

nezadostna. V primeru incidentov obstaja način izmenjave informacij v obliki foruma, ki je

neučinkovit. Storitve tretjih strank, ki jih šola uporablja, kot so e-dnevniki, e-redovalnice,

najava prehrane, e-arhiviranje itd., ki vsebujejo občutljive podatke, izpolnjujejo vse

varnostne potrebe organizacije, odobrene in potrjene s strani MIZŠ-ja. Varnostne politike

niso formalno zapisane, vendar se letno dopolnjujejo. Potreba po izobraževanju

zaposlenih za doseganje višje ravni varovanja IT je nujna. Poročanja o nastalih incidentih

in zaznanih varnostnih luknjah se ne izvajajo in niso dokumentirana. Smernice glede

varnosti in dostopov do občutljivih podatkov se izvajajo na pobudo posameznika.

Usposabljanja glede varnosti se v obliki kratkih predavanj izvajajo le redko. Naloge

varovanja niso natančno opredeljene, kakor tudi ni opredeljeno, katera oseba jih mora

izvajati. Na podlagi podanih ugotovitev bi upravljanje procesa »Zagotovite varnost

sistemov« ocenili z oceno 2.

Tveganje

Brez sistematičnega pristopa k upravljanju z informacijsko varnostjo je OŠ IV MS

izpostavljena tveganjem, kot so:

izguba ugleda;

izguba podatkov;

odliv osebnih podatkov v javnost;

možnost napačnih podatkov.


49

Priporočilo

OŠ IV MS priporočamo, da sistematično uvede ustrezne kontrole logičnega dostopa na

podlagi izdelane ocene tveganj in v skladu s poslovno in IT-strategijo OŠ IV MS, če bo ta

vpeljana.

Priporočamo izdelavo načrta za varovanje IT, ki bo zajemal vse smernice varovanja IT,

potrebne za šolstvo. Določi naj se oseba, ki bo načrt varovanja IT izdelala in ga skupaj z

vodstvom predstavila zaposlenim na eni od sej učiteljskega zbora. OŠ IV MS priporočamo

tudi, da naj redno izvaja nadzor nad dostopi z največjimi pooblastili. Znotraj OŠ IV MS naj

se formalno določi odgovorna oseba, ki bo zadolžena za dodeljevanje pravic dostopov do

sistemov in podatkov, do katerih dostopajo zaposleni na OŠ IV MS. Zaposlenim na šoli

naj se v obliki izobraževanj predstavijo pomembnost varovanja občutljivih podatkov,

lastništvo nad podatki in ustrezne odgovornosti nad njimi.

5.4.4 DS11 Upravljajte podatke

Informacija je osnovno, a ključno sredstvo družbe. Upravljanje podatkov zahteva določitev

zahtev po upravljanju podatkov. Nezadostno upravljanje s podatki lahko pomeni nered in

izgubo podatkov ali nezmožnost lociranja določenega podatka. Pomembno je, da je

upravljanje podatkov pravilno organizirano in arhivirano za enostaven in pregleden dostop

do podatkov, ko je to potrebno. Poleg organizacije in arhiviranja podatkov proces

upravljanja podatkov vključuje tudi vzpostavitev uspešnih postopkov za upravljanje

knjižnice nosilcev podatkov, obnovo podatkov ter ustrezno odstranjevanje nosilcev

podatkov. Uspešno upravljanje podatkov pomaga zagotoviti kakovost, pravočasnost in

razpoložljivost poslovnih podatkov [13].

Upravljanje kakovosti podatkov ni samo naloga oddelka IT, ampak je del poslovnih

procesov, pri katerih naj bi se vsi vpleteni zavedali pomena kakovostnih podatkov za

uporabo pri poslovanju [31].

Ugotovitve

V OŠ IV MS za proces upravljanja podatkov v celoti skrbi ROID. Varnostne politike niso

formalno zapisane in se izvajajo po potrebi. Upravljanje podatkov je v glavnem


50

prepuščeno znanju enega posameznika. Tako se ROID pri izvajanju različnih zadolžitev

upravljanja s podatki znajde v različnih vlogah, kot so backup upravitelj, AD-administrator

in DBA-administrator.

Za varnostno kopiranje celotnih diskov ali posameznih particij diskov ter njihovo obnovo

se uporablja prostodostopna programska rešitev REDO Backup and Recovery, ki

omogoča arhiviranje slike diska ali particije na zunanji medij in njegovo obnovo brez

potrebe predhodne namestitve operacijskega sistema. Namenjena je ponovni vzpostavitvi

operacijskega sistema z vsemi pripadajočimi programi in podatki, ki so za posamezno

delovno okolje potrebni. Za varnostno kopiranje drugih podatkov, pomembnih za vodstvo

in poučevanje, se uporablja Windows Server Backup. Z uporabo programa za arhiviranje

se opravlja tedensko arhiviranje podatkov, ki so shranjeni v mapah, ki so dostopne le

avtoriziranim osebam in v katerih se nahajajo občutljivi podatki in podatki, potrebni za

vsakdanje delo. Te mape se nahajajo na strežniku, ki je zaščiten z geslom, vendar se

zaradi prostorske stiske na zavodu nahaja v računalniški učilnici, kjer je v delovnem času

dostop omogočen vsem zaposlenim in učencem zavoda. V popoldanskem času je

poskrbljeno za fizično zaščito zavoda v obliki samostojne alarmne naprave.

Na istem strežniku je nameščen aktivni direktorij AD, ki omogoča vsakemu zaposlenemu

– kot tudi učencu – prijavo v interno okolje, za katero je avtoriziran. AD uporabnike ločuje

v tri skupine dostopa (administracija, učitelji in učenci), ki omogočajo dostop do različnih

nivojev podatkov, od splošnih pa vse do občutljivih podatkov, odvisno od pravic

posameznika. Strežnik ima štiri ločene diske, ki so združeni v RAID 10, od katerih je en

par zvezan v RAID 0 (t. i. »striping«), drugi par pa v RAID 1 (zrcaljen). Pri okvari

posameznega diska se le-ta nadomesti z novim, enake velikosti.

Spletne učilnice in spletna stran zavoda uporabljajo podatkovno bazo MySQL, ki je pred

neavtoriziranim dostopom do podatkov zaščitena z geslom in uporabniškim imenom.

Skupine uporabnikov so organizirane glede na procese dela in imajo različno široke

dostope do rokovanja s podatki. Vsem zaposlenim je omogočen dostop do tako

imenovanih internih informacij, ki predstavljajo informacije, koristne za vse zaposlene, in

katerih dostopnost ne ogroža poslovnih procesov zavoda (npr. osebne mape učencev).

Za varovanje in arhiviranje podatkovne baze skrbi organizacija ARNES, ki zavodu z

možnostjo gostovanja omogoča uporabo spletnih učilnic (e-zbornica) na lastnih strežnikih.

Podjetje Microsoft zavodu v sklopu pogodbe EES (angl. Enrollment for Education

Solutions) omogoča uporabo oblačne storitve Office 365, ki zaposlenim omogoča hkratno

delo na istem dokumentu. Dostop do dokumenta je omogočen z enotnim uporabniškim


51

imenom in geslom AAI (ang.: authentication and authorisation infrastructure), ki ga ROID

upravlja s pomočjo storitve za upravljanje e-identitet sistema Idm (SIO MDM).

IDM omogoča:

upravljanje preko spletnega vmesnika,

sinhronizacijo izbranega nabora podatkov v AD in OpenLDAP,

organizacijo podatkov glede na potrebe vzgojno-izobraževalnih zavodov,

dostop zunanjih aplikacij do podatkov preko spletnih storitev,

urejanje podatkov o zaposlenih, učencih in starših.

Posebnega usposabljanja ROID-ja na področju upravljanja s podatki v šolstvu ni. ROID

znanje pridobiva s pomočjo razpisanih seminarjev iz kataloga stalnega strokovnega

izpopolnjevanja, seminarjev skupnosti SIO (Slovensko izobraževalno omrežje) in različnih

IT-konferenc ter raznega spletnega in knjižnega gradiva. Velik del znanja predstavljajo

samoiniciativnost in izkušnje ROID-ja, ki ga v obliki seminarjev, delavnic ali individualno

posreduje zaposlenim. Za zaposlene v zavodu so po potrebi ali ob menjavi strojne,

programske in aplikativne IT-opreme organizirane delavnice in predavanja, ki jih odvisno

od situacije izvaja ROID ali zunanji predavatelj.

Podatki, ki se potrebujejo redko, so arhivirani na zunanje medije, kot so zunanji diski ali

DVD-ji, ki se hranijo v prostoru arhiva v ognjevzdržni omari. Arhivirani podatki se

preverjajo enkrat na leto, pri čemer se z navadnim kopiranjem ugotavlja možnost dostopa

do podatka.

Nosilci podatkov za shranjevanje, ki so poškodovani ali jih ne potrebujejo več, se trajno

uničijo.

Kontrolni cilji

DS11.1 Poslovne zahteve za upravljanje podatkov

Vsi podatki, potrebni za upravljanje zavoda in pričakovani za obdelavo, so prejeti pravilno

in pravočasno ter obdelani v celoti. Prav tako se tudi vsi rezultati razdelijo v skladu s

poslovnimi zahtevami. Izvajajo se redne varnostne kopije glede finančnega poslovanja

zavoda, ki so predmet zunanje računovodske službe Skupnosti zavodov Murska Sobota.


52

DS11.2 Dogovori za shranjevanje in hrambo

Postopki za uspešno in učinkovito shranjevanje podatkov, njihovo hrambo in arhiviranje

so neformalno opredeljeni in vpeljani na način, ki izpolnjuje poslovne cilje, varnostno

politiko in zahteve regulative na ravni potreb osnovnega šolstva.

DS11.3 Sistem za upravljanje knjižnice nosilcev podatkov

Postopki za vzdrževanje popisa shranjenih in arhiviranih nosilcev podatkov so vpeljani in

opredeljeni, vendar se ne vodijo klasificirano in niso zapisani v strukturirani formalni obliki,

zato sta ponovna uporaba in iskanje podatkov otežena. Zagotovljena je celovitost in

uporabnost podatkov. Arhivi podatkov se pregledujejo enkrat letno, pri čemer se preveri

ustreznost nosilca podatkov. Ob zastarelosti tehnologije arhiviranja podatkov se le-ta

prilagodi na ustrezno, ki omogoča ponovno obnovitev in arhiviranje podatkov.

DS11.4 Odstranjevanje

Postopki, ki zagotavljajo, da so poslovne zahteve za varstvo občutljivih podatkov in

programske opreme izpolnjene, ko se podatki in strojna oprema odstranijo ali prenesejo,

so delno vpeljani, vendar opredeljeni. Vsi nosilci občutljivih podatkov se pred odpisom in

uničenjem strojne opreme odstranijo in trajno uničijo tako, da obnovitev ali razpoznavnost

podatkov ni več možna. Nosilci se uničijo v šoli in ne v sodelovanju z organizacijami, ki se

ukvarjajo z uničenjem zaupnih podatkov. Pri zamenjavi opreme podatke, namenjene

vsakdanjemu delu, ki niso zaupne narave, pobrišejo iz nosilcev podatkov (trdi diski), ki jih

nato zapolnijo z nepomembnimi podatki v velikosti celotnega nosilca. Trde diske ponovno

uporabijo na mestih, kjer so potrebni. Nosilci podatkov, ki se uporabljajo redko, se hranijo

v ognjevzdržni omari v prostorih arhiva zavoda. Ostali nosilci podatkov, kot so DVD-ji, CD-

ji, diskete, USB-ključki, se fizično uničijo, tako da njihova obnovitev ni več možna. Ni pa

zagotovljeno, da vsi zaposleni na OŠ IV MS, ki upravljajo s podatki zaupne narave, to

počnejo na način, ki je potreben za zagotovitev varovanja občutljivih podatkov.

DS11.5 Varnostno kopiranje in obnova

Postopki za varnostno kopiranje in obnovo sistemov, aplikacij, podatkov so delno vpeljani

in opredeljeni. Postopki dokumentacije v skladu s poslovnimi zahtevami in načrtom za

neprekinjenost niso opredeljeni in niso vpeljani. Ne obstajajo rezervne lokacije strežniških

kapacitet, ki bi ob izpadu električnega omrežja ali ob okvari strojne opreme omogočale

dostop do nujnih podatkov oziroma podatkov, potrebnih za obveščanje širše javnosti, kot

je spletna stran šole.


53

Za varnostno kopiranje podatkov je zadolžen ROID, ki z ustreznimi orodji izvaja varnostne

kopije v določenih časovnih intervalih. Za obnovo podatkov zadostuje ustni dogovor med

ROID-jem in zaposlenim, ki podatke potrebuje. Ob tem ni nobenega formalnega zapisa,

kdo, kdaj in s katerim namenom je do občutljivih podatkov dostopal. Varnostno kopiranje

in obnova sistemov je urejena s programsko rešitvijo, ki z uporabo lastnega operacijskega

sistema, žive različice DVD-ja, omogoča ponovno vzpostavitev sistema različnih delovnih

postaj in strežnika v doglednem času.

DS11.6 Varnostne zahteve za upravljanje podatkov

Postopki za prepoznavanje in uporabo varnostnih zahtev, ki veljajo za sprejetje, obdelavo,

shranjevanje in ustvarjanje podatkov, so večinoma opredeljeni, tako da so poslovni cilji,

varnostna politika organizacije in zahteve regulatorjev delno izpolnjene. Varnostno

kopiranje ni posebej evidentirano, je le zabeleženo v dnevnikih orodja za izdelavo

varnostnih kopij.


OŠ IV MS se zaveda potrebe po uspešnem upravljanju podatkov. Lastništvo nad podatki

je dodeljeno ROID-ju, ki skrbi za celovitost in varnost podatkov. Varnostne zahteve niso v

celoti dokumentirane, nekatere so le ustno priporočilo zaposlenim. ROID izvaja

upravljanje s podatki, kot je varnostno kopiranje, obnova in odstranjevanje podatkov.

Zadolžitve glede upravljanja podatkov so le ustni dogovor med zaposlenimi, vodstvom in

ROID-jem. Postopki za upravljanje podatkov niso vedno formalizirani znotraj IT,

uporabljajo se nekatera orodja za varnostno kopiranje/obnovo in odstranjevanje opreme.

Metrike na tem področju niso opredeljene. Usposabljanje zaposlenih, ki upravljajo s

podatki, je izvedeno s strani ROID-ja ali s strani zunanjega predavatelja.

Informacijski proces upravljanja s podatki bi ocenili z oceno 2,5.

Tveganje

Brez sistematičnega pristopa k upravljanju z informacijsko varnostjo je OŠ IV MS

izpostavljena tveganjem, kot so:

izguba ugleda;

izguba podatkov;

odliv osebnih podatkov v javnost.


54

Priporočilo

Priporočljivo je uvesti postopke, ki natančno določajo način prenosa občutljivih podatkov

in predpisati medije, s katerimi se ti podatki lahko prenašajo.

Zaradi možnosti odtujitve, spreminjanja ali izbrisa občutljivih podatkov priporočamo

premestitev strežnika iz računalniške učilnice v prostore z omejenim dostopom in boljšim

fizičnim varovanjem.

Priporočljiva je vzpostavitev dnevnika vodenja arhivov, iz katerega bo brez fizičnega

dostopa do arhiva razvidno, katere podatke arhiv vsebuje, in bo možen vpogled v dnevnik

dostopa do arhiviranih podatkov, ki bo vseboval podatke o dostopih, kot so: datum

dostopa do podatka, oseba, ki podatek potrebuje, in namen uporabe podatka. Formalno je

treba določiti osebo, ki bo odgovorna za upravljanje z občutljivimi podatki in z arhivom.

Razpoložljivost podatkov bi se z uporabo dodatnega podatkovnega strežnika v oblaku, ki

bi ob okvari strojne opreme ali izpada električnega omrežja nadomestil glavni strežnik,

povečala.

Omogočijo naj se dodatna izobraževanja glede varnosti IT osebam, ki upravljajo z

občutljivimi podatki.

Trajno brisanje podatkov ali uničenje nosilcev občutljivih podatkov je priporočljivo predati

organizacijam, ki se ukvarjajo z uničenjem tovrstnih medijev ali podatkov.


55

6 ZAKLJUČEK

Informacijska varnost je ob hitrem tehnološkem razvoju nepogrešljiva v vsaki javni ali

zasebni organizaciji, saj so informacije ključno sredstvo pri doseganju njenih ciljev.

Uporaba napredne tehnologije, sodobnih orodij in ustrezne varnosti IT so merila pri

uvrščanju podjetij in organizacij med bolj ali manj uspešne. Za doseganje informacijske

varnosti v organizaciji je zelo pomembna dobra komunikacija med poslovnim vodstvom in

vodstvom IT.

Ob preučevanju kontrolnega okvirja COBIT, ki ponuja najboljše prakse upravljanja s

poudarkom na procesu strateškega načrtovanja informatike, smo poskušali izboljšati

informacijsko raven v osnovni šoli, pri čemer smo z vpeljavo omenjenega ogrodja in na

podlagi pridobljenih ocen izbranih informacijskih procesov poskušali določiti stopnjo

informacijske zrelosti v OŠ IV MS.

Za vsak izbrani proces smo ob ugotovitvah, ki opisujejo trenutno stanje šole na področju

IT, in kontrolnih ciljih podali oceno zrelosti in priporočila za izboljšanje informacijske

varnosti. Izbrali smo štiri informacijske procese, na podlagi katerih smo podali skupno

oceno, ki bi bila natančnejša ob izboru vseh 34 informacijskih procesov, ki jih opisuje

COBIT 4.1.

Sprva so se nam rezultati zdeli zaskrbljujoči, saj je za izbrane informacijske procese

skupna ocena znašala 1,9. S to oceno smo pokazali, da informacijski sistem OŠ IV MS

deluje neučinkovito do delno učinkovito. Po tehtnem premisleku se je odprlo vprašanje, ali

je kontrolni okvir COBIT kot orodje za obvladovanje informacijske varnosti smiselno

vpeljati v osnovno šolo. Osnovne šole se namreč z vidika kadrovanja in financiranja ne

razlikujejo veliko. Kot neprofitne organizacije se izključno financirajo iz javnih sredstev,

pridobljenih iz državnega proračuna. Zahteve procesov, ki jih za uspešno obvladovanje

informacijske varnosti predpisuje COBIT 4.1, so s finančnega in kadrovskega vidika

preveliko breme za osnovne šole, saj jih sistem upravljanja osnovnih šol pri izpolnjevanju

teh zahtev omejuje.

Vsekakor ne moremo mimo dejstva, da je za obvladovanje informacijske varnosti v

osnovni šoli potrebno močno sodelovanje poslovnega vodstva in vodstva IT


56

Za upravljanje IT je na osnovni šoli zadolžen ROID, za katerega je bila sistemizacija dela

– in s tem njegove delovne obveznosti – sprejeta pred dvema desetletjema. Z vsakim

vnosom nove tehnologije v šolo se povečajo tudi zadolžitve ROID-ja, kar vpliva na

njegovo obremenjenost pri izvajanju dnevnih opravil.

Ravnatelj kot vodja šole odgovarja za vse spremembe (finančne kot kadrovske), ki se

izvedejo v šoli. Na OŠ IV MS je ravnatelj predan poslovnemu, kadrovskemu in

pedagoškemu vodenju šole. Ob tem je zelo pomembno, da se informacije, povezane z IT,

vodstvu predstavijo na način, kot ga ta razume. Z dobro skupno komunikacijo in pravo

strategijo razvoja IT bo v prihodnosti obvladovanje informacijske varnosti v OŠ IV MS

zadovoljivo.


57

7 LITERATURA IN VIRI

[1] Wikipedia, Informacijska varnost.

http://sl.wikipedia.org/wiki/Informacijska_varnost

[2] Egan Mark, Mather Tim, [prevajalec: Milan Bedrač], Varnost informacij:

grožnje, izzivi in rešitve: vodnik za podjetja, Ljubljana, 2005.

[3] Igor Bernik, Blaž Markelj, Sodobni aspekti informacijske varnosti: serija:

informacijska varnost, Ljubljana, 2013: Fakulteta za varnostne vede.

http://www.fvv.um.si/knjigarna/eknjige/pdf/Sodobni_aspekti_informacijske_

varnosti.pdf

[4] mag. Boštjan Kežmah, Varnost in zaščita: Učno gradivo, Maribor 2009.

[5] Hausing.

http://www.housing.si/sl/Varnost_info_sistemov/

[6] Rok Bojanc, Doktorska disertacija: Modeli zagotavljanja varnosti v

poslovnih informacijskih sistemih, Ljubljana 2010.

http://www.cek.ef.uni-lj.si/doktor/bojanc.pdf

[7] Oglasna priloga revije Monitor: Informacijska varnost, Januar 2009.

[8] Network World, Chapter 1: Overview of Network Security.

http://www.networkworld.com/article/2274081/lan-wan/chapter-1--

overview-of-network-security.html

[9] SIQ Slovenski institut za kakovost in meroslovje.

http://www.siq.si/ocenjevanje_sistemov_vodenja/aktualno/nova_izdaja_sta

ndarda_iso_27001/index.html

[10] ISACA, gradiva.

http://www.isaca.si/download.php

http://www.isaca.org/COBIT/Documents/COBIT-5-for-Information-Security-

Introduction.pdf

http://sl.wikipedia.org/wiki/Informacijska_varnost

http://www.fvv.um.si/knjigarna/eknjige/pdf/Sodobni_aspekti_informacijske_varnosti.pdf

http://www.fvv.um.si/knjigarna/eknjige/pdf/Sodobni_aspekti_informacijske_varnosti.pdf

http://www.housing.si/sl/Varnost_info_sistemov/

http://www.cek.ef.uni-lj.si/doktor/bojanc.pdf

http://www.networkworld.com/article/2274081/lan-wan/chapter-1--overview-of-network-security.html

http://www.networkworld.com/article/2274081/lan-wan/chapter-1--overview-of-network-security.html

http://www.siq.si/ocenjevanje_sistemov_vodenja/aktualno/nova_izdaja_standarda_iso_27001/index.html


http://www.isaca.si/download.php


58

[11] Wikipedia, ISO/IEC 27002.

http://en.wikipedia.org/wiki/ISO/IEC_27002

[12] COBIT 5 Principles, Separating Governance from Management.

http://jobenoncobit5.blogspot.si/2014_01_01_archive.html

[13] ITGI, COBIT 4.1 Okvir, Kontrolni cilji, Smernice za upravljanje, Zrelostni

modeli.

http://www.isaca.org/Knowledge-Center/cobit/Documents/COBIT-4.1-

Slovenski.pdf?regnum=246270

[14] Whatls, confidentiality, integrity, and availability (CIA triad).

http://whatis.techtarget.com/definition/Confidentiality-integrity-and-

availability-CIA

[15] Srinivasan. Arani, Information Security Management System; LinkedIn

SlideShare, april 2013.

http://www.slideshare.net/aranisri/information-security-management-

system

[16] A. Groznik, A. Kovačič, Skladnost poslovnega strateškega načrta s

strateškim načrtom informatike, v zborniku uporabna informatika, Ljubljana,

2001.

[17] Andrej Funkel, Vpeljava kontrolnega okvirja COBIT v informacijski sistem

podjetja Mikropis Holding, d. o. o.: Diplomska naloga, Maribor, 2011.

https://dk.um.si/Dokument.php?id=24904

[18] Alenka Brezavšček, Stane Moškon, Vzpostavitev sistema za upravljanje

informacijske varnosti v organizaciji: Uporabna informatika, Strokovni

prispevek, 2010.

http://www.dlib.si

[19] dr. Simon Vavpotič, Revija Monitor Pro: Varnost na prvem mestu, januar

2015.

[20] Daniel Russenberger, Einhaltung der anforderungen aus dem

SARBANES-OXLEY ACT MIT HILFE DER STANDARDS ISO/IEC 27001 &

27002: Diplomska naloga, Luzern, 2007.

http://docplayer.org/3614834-Einhaltung-der-anforderungen-aus-dem-

sarbanes-oxley-act-mit-hilfe-der-standards-iso-iec-27001-27002.html

http://en.wikipedia.org/wiki/ISO/IEC_27002

http://www.isaca.org/Knowledge-Center/cobit/Documents/COBIT-4.1-Slovenski.pdf?regnum=246270

http://www.isaca.org/Knowledge-Center/cobit/Documents/COBIT-4.1-Slovenski.pdf?regnum=246270

http://whatis.techtarget.com/definition/Confidentiality-integrity-and-availability-CIA

http://whatis.techtarget.com/definition/Confidentiality-integrity-and-availability-CIA



https://dk.um.si/Dokument.php?id=24904

ttp://docplayer.org/3614834-Einhaltung-der-anforderungen-aus-dem-sarbanes-o

ttp://docplayer.org/3614834-Einhaltung-der-anforderungen-aus-dem-sarbanes-o


59

[21] SIQ Celovite rešitve.

http://www.siq.si/ocenjevanje_sistemov_vodenja/aktualno/nova_izdaja_sta

ndarda_iso_27001/index.html

[22] Osnovna šola IV Murska Sobota.

http://www.os4ms.si

[23] D. Zver, I. Bernik, Uporaba ISO Standardov skozi informacijsko varnostne

politike nadzora dostopa do informacijskega sistema: 13. dnevi

varstvoslovja, Portorož 2012.

http://www.fvv.um.si/DV2012/zbornik/informacijska_varnost/zver_bernik.pd

f

[24] ISO/IEC 27000:2016 Standard.

http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html

[25] Marko Potokar, Ivo Bernik, Vzpostavitev sistema upravljanja varovanja

informacij za projekt e-arhiviranja v skladu z zvdaga in zvop-1: Prispevek

na konferenci Tehnični in vsebinski problemi klasičnega in elektronskega

arhiviranja, Radenci, 2014.

http://www.pokarh-

mb.si/uploaded/datoteke/radenci2014/03_potokar_2014.pdf

[26] Advisera 27001 Academy.

http://advisera.com/27001academy/hr/sto-je-iso-22301/

[27] Advisera 27001 Academy.


[28] ISO Survey.

http://www.iso.org/iso/iso-survey

[29] Računsko sodišče Republike Slovenije, Revizijsko poročilo: Učinkovitost

delovanja informacijskega sistema za vrtce Ministrstva za šolstvo in šport,

Arhiv revizijskih poročil, februar 2011.

http://www.rs-rs.si/rsrs/rsrs.nsf/PorocilaArhiv?

[30] Wikipedia, COBIT.

https://en.wikipedia.org/wiki/COBIT

[31] Maja Ferle, Upravljanje kakovosti podatkov, Revija Monitor Pro, pomlad

2013 (str. 26–28)



http://www.os4ms.si/

http://www.fvv.um.si/DV2012/zbornik/informacijska_varnost/zver_bernik.pdf

http://www.fvv.um.si/DV2012/zbornik/informacijska_varnost/zver_bernik.pdf

http://www.pokarh-mb.si/uploaded/datoteke/radenci2014/03_potokar_2014.pdf

http://www.pokarh-mb.si/uploaded/datoteke/radenci2014/03_potokar_2014.pdf



http://www.iso.org/iso/iso-survey

http://www.rs-rs.si/rsrs/rsrs.nsf/PorocilaArhiv

https://en.wikipedia.org/wiki/COBIT


60


61


62