informacije - konferenca infosek...
TRANSCRIPT
Občutljivost (kritičnost) informacije pomeni stopnjo pomembnostidoločene informacije, ki ji njen lastnik pripiše tolikšen pomen, da seodloči, da jo bo ustrezno zaščitil.
Določitev občutljivosti informacij je tesno povezana z
z analizo poslovnih vplivov (BIA),
s klasifikacijo informacijskih sredstev po občutljivosti ,
z analizo tveganj (ranljivosti informacijskih sredstev) in
z upravljanjem varnostnih incidentov v organizaciji.
Analiza poslovnih
vplivov (BIA)
Klasifikacija IS po
občutljivosti
Analiza tveganj
Upravljanje z varnostnimi
incidenti
KLASIFIKACIJA INFORMACIJ PO OBČUTLJIVOSTI OZ. KRITIČNOSTI
Oceniti posamezne skupine informacij v organizaciji z vidikapomembnosti njihovega vpliva na nemoteno in uspešno poslovanjeorganizacije (občutljivost informacij) in
posamezne vrste oz. skupine informacij zaščititi sorazmerno znjihovo pomembnostjo (občutljivostjo za organizacijo ).
Določitev jasnih kriterijev za presojo informacij in njihovovrednotenje .
Združitev občutljivih Informacijskih sredstev v skupine, kiomogočajo presojo po kriterijih.
Klasifikacija izhaja iz lastnosti in značilnosti poslovne dejavnostidoločene organizacije (trgovina, proizvodnja, državni organ,…).
Rezultati z ostalimi analizami in klasifikacijami informacij somedsebojno primerljivi in logični.
Klasifikacija je enostavna in jo je lahko posodabljati ter vzdrževati.
ARSKTRP smo pri določitvi smernic za klasifikacijo informacij izpostavili
predvsem občutljivost informacij:
glede na opravljanje osnovne poslovne in zakonodajne funkcije agencije –
pravilna obdelava, točnost in pravočasnosti izplačil za ukrepe SKUPNE
KMETIJSKE POLITIKE SKUPNOSTI
glede na finančne posledice za državni proračun v primeru izrečenih
finančnih korekcij (vračil v EU proračun) zaradi nepravilnih, netočnih
in zamujenih izplačil
glede na možnost zlorab s popravljanjem podatkov za posamezne
upravičence in s tem posledično nepravilnih in netočnih izplačil ter
izrečene finančne korekcije s strani Komisije
Določijo se smernice za oblikovanje modela klasifikacije informacij, in sicer se določi:
1. Informacijska sredstva, iz katerih izhajajo potencialno občutljiveinformacije, po skupinah
2. Klasifikacijske razrede
3. Kriterije za ocenjevanje z opisom
4. Ocene po posamičnih razredih
5. Končne ocene za občutljivosti informacij
Katera so tista IS, iz katerih izhajajo oz. bi lahko izhajale občutljiveinformacije ?
Kakšen je vpliv nerazpoložljivosti informacij zaradi prekinitveposlovnih procesov na pravočasnost izplačil upravičencem?
Ali obstaja možnost, da se trenutno nedostopne informacije ustreznonadomestijo iz drugih informacijskih virov ?
Kakšen je vpliv zlonamernega popravljanja ali uničenja informacij vvlogah in zahtevkih na točnost in pravočasnost izplačil upravičencem?
Ali je vsebina oz. oblika informacije določena z zakonodajo ?
Ali kakršna koli zloraba informacije, njeno popravljanje ali uničenjepomeni kršitve nacionalne in/ali EU zakonodaje ?
Ali zaradi zlorabe, popravljanja ali uničenje informacije nastanejofinančne posledice ?
Ali oz. kako lahko nasprotnik zlorabi razkrite zaupne informacij zato,da vzpostavi kontrolo nad informacijskimi sredstvi, kar muposledično lahko omogoči popravljanje podatkov, ohromitevizvajanja storitev in povzroči drugo škodo poslovanju organizaciji,njenim sredstvom in udeležencem v poslovnih procesih ?
Vsaka klasifikacija informacij se začne s klasifikacijo IS po skupinahglede občutljivosti in kritičnosti
Identifikacija IS je osnova za :
oceno potrebnih zaščitnih ukrepov za IS,
oceno tveganja,
definiranje načrta neprekinjenega poslovanja,
kontrole dostopa do IS
Izbrana IS oz. viri s potencialnimi občutljivimi informacijami v ARSKTRP:
Namenska programska oprema
Fizična sredstva
Človeški viri
Dokumenti
Podatki o IS, ki jih je treba določiti:
vrsta informacijskega sredstva
lokacija informacijskega sredstva
lastnik podatkov informacijskega sredstva
skrbnik podatkov informacijskega sredstva
oblika (format) podatkov/informacij
Glede na navedeno so bili v agenciji določeni naslednji klasifikacijski razredi:
1. Razpoložljivost – nemotena obdelava zahtevkov in izplačil
2. Celovitost - točni in popolni podatki in s tem izplačila
3. Zaupnost – preprečevanje popravljanja/ potvarjanja podatkov in
4. Določenost informacije v zakonodaji– spoštovanje EU in nacionalnih uredb pri obdelavi in izplačilih
Ocenjevanje pomembnosti kriterija „Celovitost“ informacij
0 Ni relevantno
1 Nepopolne/netočne informacije se lahko nadomestijo iz drugih IS (dokumenti, registri,…); nifinančnih posledic, izvedba poslovnih procesov ni bistveno ovirana.
2 Nepopolne/netočne informacije se lahko nadomestijo iz drugih IS (dokumenti, registri,…),potrebni so dodatni napori, možne so finančne in poslovne posledice, ki vplivajo lahko tudi na delodrugega državni organa.
3 Informacije, ki morajo biti zelo zanesljive, sicer so posledice napačni izračuni oz. rezultati iz naslovanjihove uporabe, nastanejo lahko večje finančne posledice, hujše motenje v poslovanju organa terkršitve zakonodaje.
Ocenjevanje pomembnosti kriterija „Določenost informacije vzakonodaji“
0 Informacije, ki niso določene z zakonodajo.
1Informacije, ki jih predvideva zakonodaja, vendar se natančno določijo šele z internimi akti organa.
2Informacije, ki so določene s predpisi EU oz. nacionalnimi predpisi, vendar kršitve nimajoneposrednih finančnih posledic za proračun ali pa so le te manjše.
3Informacije, ki so določene z nacionalnimi in/ali EU predpisi, pri čemer imajo kršitve večje oz.velike finančne posledice na višino izplačil pomoči iz EU in državnega proračuna.
Ocenjevanje pomembnosti „Zaupnost“ informacij za ARSKTRP
0 Javno dostopne informacije
1Informacije, do katerih lahko dostopajo zaposleni brez dodelitve posebnih pravic in dokaterih lahko dostopajo tretje stranke na podlagi posebej dodeljenih pravic.
2Informacije, do katerih dostopajo samo zaposleni na podlagi posebnih dodeljenih pravic.
3Informacije, do katerih lahko dostopajo samo izrecno za to pooblaščeni zaposleni.
Ocenjevanje pomembnosti „Razpoložljivost “ informacij za ARSKTRP
0 Informacije, ki so lahko nedostopne nad 5 dni
1 Informacije, ki naj bi bile dostopne v roku do 5 dni
2 Informacije, ki naj bi bile dostopne v roku od 1 do 3 dni
3 Informacije, ki naj bi bile dostopne v roku 24 ur
Oznake Opis dodeljene oznake
NEOBČUTLJIVE0 do 5
Splošne informacije za zaposlene in/ali tretje stranke
MALO OBČUTLJIVE5,6
Informacije, pomembne za lastnike poslovnih procesov: za definiranje poslovnegaprocesa, izvedbo projektov, reševanje morebitnih problemov v poslovnih procesih, zaupoštevanje zakonodaje .
OBČUTLJIVE7,8,9
Informacije, pomembne za izvršno vodstvo, ki je odgovorno za nemoten potekposlovnih procesov in pravočasno pridobivanje njihovih rezultatov in za racionalnoupravljanje s in finančnimi človeškimi viri.
ZELO OBČUTLJIVE10 in več
Informacije, ki so pomembne za najvišje vodstvo za določanje strateških ciljevposlovanja organa z vidika pristojnosti organa, da je varnostna politika v skladu sposlovnimi potrebami in da je stopnja varovanja informacij v sorazmerju sporabljenimi finančnimi sredstvi.
• Izbran primer je tipičen za državni organ, kjer pogodbe niso poslovnaskrivnost kot so le – te v poslovnih subjektih
Zaporedna štev.
Informacijski sredstvo
LokacijaOcena po
Klasifikacijskih razredih
Lastnik podatko
v
Skrbnik podatkov
Oblika zapisa
informacije
Oznaka občutljivosti informacije
…… Pogodbe iz
naslova javnih naročil
Skupni
direktorij
zaposlenih,
pisarna SSZ
Zaupnost: 1Celovitost: 2
Razpoložljivost: 1 Zakonodaja: 2
Vodja SSZ Vodja SSZ
Dokumenti v pisni in
elektronski obliki
MALOOBČUTLJIVA
VRSTA IS : DOKUMENT
POGODBE IZ NASLOVA JAVNIH NAROČIL
• Zaupnost 1: niso zaupne, objavljene so na skupnem direktoriju ARSKTRP
• Razpoložljivost 1: dostop je omogočen vsem zaposlenim
• Celovitost 2: podatki v pogodbah morajo biti sicer točni oz. pravilni,vendar to ne vpliva na izplačevanje sredstev iz naslova ukrepov SKP,aneksi možni
• Zakonodaja 2: zakonodaja o javnem naročanju
Definicija kriterija „Razpoložljivost informacij “ upošteva:
oceno potrebnega časa za obnovo procesov/ Analiza poslovnih
vplivov
oceno poslovne vrednosti IS /Klasifikacija IS po občutljivosti
oceno oteženost poslovanja / Klasifikacija varnostnih incidentov
ocena posledic izrabe ranljivosti IS/Analiza tveganja
Definicija kriterija „Zaupnost informacij “ upošteva :
dodelitev pravic za dostop do IS /Klasifikacija IS po občutljivosti
oceno ogroženosti informacij v primeru incidenta/ Klasifikacija
varnostnih incidentov
oceno posledic v primeru zlorabe ranljivosti IS/Analiza tveganja
Definicija kriterija „ Celovitost informacij “ upošteva:
oceno posledic v primeru zlorabe ranljivosti IS/Analiza tveganja
oceno ogroženosti informacij v primeru incidenta/ Klasifikacija
varnostnih incidentov
ocena finančne vrednosti informacijskega sredstva/Klasifikacija IS
po občutljivosti
Definicija kriterija „ Določenost informacij z zakonodajo “ upošteva:
ocena finančne vrednosti informacijskega sredstva/Klasifikacija ISpo občutljivosti
Oceno finančnih posledic incidenta / Klasifikacija varnostnihincidentov