(Microsoft Word - VS_To\232_Davorin_1985_ doc)

Transkripcija

1 Univerza v Mariboru Fakulteta za varnostne vede DIPLOMSKO DELO ZAGOTAVLJANJE NEPREKINJENEGA POSLOVANJA DRŽAVNIH ORGANOV PO KONCEPTU STANDARDOV BS IN ISO/IEC Poudarek na vlogi varnostno nadzornega centra Junij, 2010 Davorin Toš Mentor: doc. dr. Milan Vršec 1

2 KAZALO POVZETEK IV SUMMARY..V 1 UVOD Opredelitev problema Namen in cilji obdelave teme Predpostavka Metode dela Predvideni rezultati Omejitve v obdelavi teme ORIS NEKATERIH POJMOV Državni organ, državna ustanova Hude motne v poslovanju Izredni dogodki Zagotavljanje neprekinjenega poslovanja Poslovanje v kriznih razmerah krizno vodenje Ogroženost informacij in komunikacij Varnostna tveganja Internet, Intranet, Extranet, Infranet Varnostno nadzorni center VNC PREDSTAVITEV STANDARDOV UPRAVLJANJA NEPREKINJENEGA POSLOVANJA BS :2006 in BS :2007 upravljanje neprekinjenega poslovanja in kriznega upravljanja ISO/IEC upravljanje varovanja informacij SIST BS 5979 upravljanje varnostno nadzornega centra SA 8000 upravljanje z družbeno odgovornostjo NAČRTOVANJE NEPREKINJENEGA POSLOVANJA Opredelitev ključnih (prioritetnih) funkcij državnih organov, ki se morajo izvajati tudi v kriznih in izrednih razmerah Notranji in zunanji vplivi na poslovanje državnega organa Ugotavljanje vrzeli v poslovanju Obvladovanje tveganj in sprememb Strategija in cilji neprekinjenega poslovanja Izdelava, testiranje in dograjevanje načrta neprekinjenega poslovanja... primer družbe za upravljanje...24 I

3 4.7 Informiranje in usposabljanje osebja v smeri organizacijske in varnostne kulture ter poslovne etike NAČRTOVANJE POSLOVANJA V KRIZNIH RAZMERAH Definicija kriznih situacij, kriznih razmer in izrednih razmer Definicija, namen in cilj kriznega upravljanja ob nastanku izrednih dogodkov Imenovanje, status, kompetence, vodenje in aktiviranje kriznega štaba Pogoji za delovanje kriznega štaba Vloga centra, službe oddelka ali divizije za informatiko Vloga varnostno nadzornega centra Formiranje rezervne (sekundarne) lokacije za vodenje državnega organa Izdelava in testiranje kriznega načrta Izdelava in testiranje scenarijev za posamezne izredne dogodke DRUŽBENA ODGOVORNOST DRŽAVNIH ORGANOV Odgovornost znotraj državnih organov Odgovornost do medijev in javnosti VLOGA DIREKTORATA ZA e UPRAVO PRI ZAGOTAVLJANJU NEPREKINJENEGA POSLOVANJA DRŽAVNIH ORGANOV Razvoj, organizacijska struktura in naloge Direktorata za e-upravo in upravne procese Strategija razvoja elektronskega poslovanja ter izmenjave podatkov iz uradnih evidenc (SREP) Zakonske podlage SREP Horizontalne funkcije poslovanja javne uprave Skupna centralna infrastruktura Posodabljanje IKT in usposabljanje zaposlenih Upravljanje varovanja informacij po informacijskih standardih Časovni razvoj in zakonodaja Možni pristopi za uporabo standardov informacijske varnosti Zagotavljanje neprekinjenega poslovanja državnih organov po standardih za upravljanje neprekinjenega poslovanja, vključno s kriznim načrtom VLOGA VARNOSTNO NADZORNIH CENTROV V INFORMACIJSKO- KOMUNIKACIJSKEM SISTEMU DRŽAVNIH ORGANOV Lastni ali pogodbeno najeti VNC Klasični VNC ali VNC v skladu s standardom BS Status, vodenje, potrebna kadrovska zasedba, strokovnost, sistem dela, odgovornost in naloge VNC Upravljanje s fizičnim in tehničnim varovanjem Obvladovanje izrednih dogodkov z alarmno-odzivnim sistemom...51 II

4 9 PREVERITEV UVODOMA POSTAVLJENE PREDPOSTAVKE Raziskovanje s pomočjo intervjuja Sorodne analize Preveritev predpostavke ZAKLJUČEK LITERATURA IN VIRI...59 PRILOGE...63 KAZALO SLIK Slika 1: Slabosti in grožnje sistemov informacijske tehnologije (Alpar, 2007)... 8 Slika 2: Model za presojo varnostnega tveganja... 9 Slika 3: PDCA model "Plan-Do-Check-Act" (ISO/IEC 27001:2005) Slika 4: Fazni mehanizmi kriznega upravljanja (Prezelj, 2005) Slika 5: Organizacijska struktura Direktorata za e-upravo in upravne procese Slika 6: Funkcije elektronskega poslovanja javne uprave (SREP, 2009) Slika 7: Splošni model uporaba standarda za SUVI (Hajtnik, 2005) Slika 8: Sistem tehničnega varovanja (Fefer, 2008) Slika 9: Sistem alarmiranja, obveščanja in odzivanja (Vršec, 2009) III

5 POVZETEK Poslovna okolja v današnjem svetu vse bolj zaznamujejo hitre in nepredvidljive spremembe. Te so lahko pozitivne, če prinašajo nove poslovne priložnosti, ali negativne v primeru nepredvidenih problemov ali ogrožanja poslovanja. Ne glede na predznak teh sprememb mora vodstveni management zagotoviti pravočasen in ustrezen odziv nanje. Pri tem niso nobena izjema državni organi, ki morajo delovati na področju zagotavljanja nemotenega delovanja samih državnih institucij, saj le te krovno urejajo pogoje za industrijo, gospodarstvo, energetiko, zdravstvo, kritično infrastrukturo, civilno družbo, družbeni razvoj in življenje državljanov. Za zagotavljanje učinkovitega delovanja države je na eni strani potrebno sprejeti ustrezno zakonodajo ter nadzor nad njenim izvajanjem, na drugi strani pa ustvariti pogoje za upravljanje neprekinjenega poslovanja in kriznega vodenja. Informacijska tehnologija predstavlja pri tem pomemben element zaradi svoje podpore poslovnim procesom, omogočanja kvalitete poslovanja ter zagotavljanja podatkov, informacij in informacijskih sistemov za izvajanje potrebnih aktivnosti. Neprekinjeno poslovanje sloni na obvladovanju tveganja in upravljanju informacijske varnosti. V primeru, da program ali projekt vzpostavljanja neprekinjenega poslovanja ne temelji na upravljanju tveganj in informacij lahko to pripelje do slabših rezultatov delovanja in poslovanja, pa tudi do kriznih situacij. V tem primeru so običajno slabo obdelana tri pomembna področja zagotavljanja neprekinjenega poslovanja; in sicer strategija, poslovni procesi in organizacija. Cilj naloge je raziskati vlogo posameznih institucij, ki so ključne pri zagotavljanju neprekinjenega poslovanja državnih organov z upoštevanjem veljavne zakonodaje ter možnostmi vpeljevanja mednarodnih in slovenskih standardov. Državni organi imajo ob spoštovanju zakonodaje še širšo družbeno odgovornost skozi svoje naloge, zato bi bilo uvajanje sicer neobvezujočih standardov s področja neprekinjenega poslovanja in informacijske varnosti zelo primerno. Standardi BS 25999, ISO/IEC 27001, BS 5979 in SA 8000 so predstavljeni na začetku naloge. Kakšno vlogo imajo pri zagotavljanju neprekinjenega poslovanja državnih organov Direktorat za e-upravo in upravne procese ter varnostno-nadzorni centri pa je osrednje vprašanje naloge. Pri obeh me zanima, kako daleč so na poti pri uvajanju prej navedenih standardov. Ključne besede: državni organ, neprekinjeno poslovanje, informacijska varnost, varnostno-nadzorni center, standard. IV

6 SUMMARY Unexpected and quick changes nowadays are increasingly marked by business environment. Those can be positive if new business opportunities are offered, or negative in the case of unexpected problems or business compromising. Irrespective of the sign of the changes the leading management has to assure an intact and corresponding response on them. According to this, there is no national board or agency, which has to operate in the area of assuring of tranquil operating of national institutions, an exception, because they manage all the conditions for the industry, economy, energetics, medicine, critical infrastructure, civil society, social development and public life in a superficial way. For assuring of a continual and effective functioning of a state, a proper legislation has to be adopted and the control over its implementations, but on the other hand, the proper conditions for managing business continuity and crisis management have to be created. The information technology represents an important element, because it supports the business processes, makes qualitative operations possible and what is more, it assures data, information and information systems to perform all the activities. A continual business is based on risk management and necessary management activities. In the case, the programme or project of continual management building is not based on risk management and data, the results of operating and management might be even worse and can lead to crisis situations. In this case three significant fields of assuring the management continuity are usually neglected: such as strategy, business processes and organization. The aim of the research is to find the role of individual institutions, which are essential for a continual management assuring of government bodies with taking not only the legal legislation into consideration, but also the introduction of international and Slovenian standards. Besides considering the legislation, according to their tasks, the government bodies have a broader public responsibility, therefore introducing of non-obligatory standards from the area of a continual business and data security would be really appropriate. Standards BS 25999, ISO/IEC 27001, BS 5979 and SA 8000 are introduced at the beginning of the diploma paper. The role of the Ministry for e-management and administration as well as the security control centre was the main objective of the research. I am also interested how far they are regarding the implementation of the standards mentioned above. Keywords: government bodies, continual business, safety of information, security control centre, standards. V

7 1 UVOD 1.1 Opredelitev problema Poslovanje državnih organov (Vlade, posameznih ministrstev in drugih) je vsestransko povezano z informacijsko in telekomunikacijsko tehnologijo. Kajti informacijski sistemi obdelujejo, shranjujejo in dograjujejo tudi zaupne podatke, informacije, aplikacije, inovacije in projekte, telekomunikacijski sistemi pa vzpostavljajo potrebno notranje in zunanje komuniciranje. Oba sistema potemtakem omogočata opravljanje ključnih funkcij države v normalnih in kriznih okoliščinah. Profesionalno upravljanje in zaščita računalniških omrežij, osebnih in tajnih podatkov, komunikacijskih linij, ključnih poslovnih prostorov in drugih vitalnih zadev v državnih organih omogoča; na eni strani notranjo in zunanjo transparentnost delovanja, na drugi pa skladnost z zakoni in pravili stroke ter ugledno podobo državnih organov v javnosti, medijih in pri državljanih. Nasprotno pa nepooblaščen dostop, izguba, zloraba ali razkritje občutljivih podatkov, informacij in dokumentov lahko pomeni poslovno in finančno škodo ter izgubo ugleda in dobrega imena konkretnega managementa in konkretne državne ustanove. S hitrim razvojem informacijske in telekomunikacijske tehnologije in vse tesnejšo povezanostjo tehnologije s poslovnimi procesi narašča ranljivost kot tudi število nevarnosti in groženj, ki so jim izpostavljena računalniška omrežja, poslovni informacijski sistemi in celotni proces poslovnega komuniciranja. Obseg računalniškega kriminala in drugih notranjih in zunanjih nevarnosti (kraja/izdaja zaupnih informacij, vohunstvo, vdori, napake skrbnikov sistemov, sabotaže) oziroma druge nesreče (požari, poplave, izpadi(razpadi električne energije, idr.), katerih posledice se izražajo v izgubi ali razkritju poslovnih in zaupnih informacij, narašča, hkrati pa se močno veča tudi finančna in druga poslovna škoda. Lastniki in top management državnih organov, odgovorne osebe za varnost in vodje služb informatike v teh organih bi morali vzpostaviti tak sistem varovanja informacij in komunikacij, da bo zagotavljal neprekinjeno poslovanje tako, da bo: - varoval zaupne poslovne informacije pred nedovoljenim dostopom, vdorom, razkritjem in izgubo, - omogočil varen dostop do neoporečnih podatkov (varnost in neoporečnost informacij), - dal na voljo uporabnikom informacij takrat, ko jih le-ti potrebujejo (razpoložljivost informacij), 1

8 - opravljal svojo funkcijo učinkovito in zanesljivo (zanesljivost informacij), - omogočal prenos podatkov med državnimi organi, - kompetentnim osebam, organom, zunanjim partnerjem, medijem in javnosti omogočil neprekinjen dostop do informacij tudi v kriznih situacijah (v času kriznega vodenja) informacijski sistem na rezervni (sekundarni) lokaciji z ustrezno strojno in programsko opremo, informacijskim sistemom kot na primarni lokaciji, vzpostavljenimi komunikacijskimi linijami, ustreznim kadrom ter z avtonomno energijsko podporo, - v okviru varnostno nadzornega centra (VNC) vzpostavil zanesljiv alarmno odzivni sistem v primerih izrednih dogodkov in klicev v sili. 1.2 Namen in cilji obdelave teme NAMEN: Okvirno predstaviti način zagotavljanja neprekinjenega poslovanja državnih organov po konceptu evropskih standardov in v okviru tega zagotoviti neprekinjeno informiranje in komuniciranje znotraj (Intranet) in zunaj (Extranet) državnih organov tudi v kriznih razmerah. Poleg tega je treba predstaviti vlogo Direktorata za e-upravo in upravne procese ter vlogo varnostno nadzornih centrov v vladnih organih, ki morajo zagotoviti zanesljivost prenosa alarmnih sporočil (Infranet) in hitro odzivanje na alarmna sporočila ter klice v sili. CILJI: - predstaviti standarde neprekinjenega poslovanja ter standarde varovanja informacij in komunikacij (BS 25999, ISO/IEC 27001), - proučiti potrebno organiziranost varnostno nadzornih centrov po konceptu standarda SIST BS 5979, - nakazati uvajanje standardov neprekinjenega poslovanja ter varovanja informacij in komunikacij v poslovne procese državnih organov, - opozoriti na družbeno odgovornost državnih organov ob morebitnih nedoslednostih v procesih informiranja in komuniciranja z mediji in javnostjo. 1.3 Predpostavka Splošni okvir predpostavke Dejstvo je, da je ranljivost in ogroženost informacij ter komunikacij gospodarskih družb, državnih organov in drugih organizacij vse večja. To terja, da tudi (ali zlasti) 2

9 državni organi redno skrbijo za zanesljivo in varno poslovanje po konceptu standardov upravljanja neprekinjenega poslovanja, standardov varovanja informacij in komunikacij ter standardov zanesljivega prenosa alarmnih sporočil in klicev v sili. Iz splošne predpostavke izpeljemo izvedeno predpostavko, ki se glasi: Izvedena predpostavka Sistem varovanja informacij v državnih organih je vzpostavljen v skladu s standardi varovanja informacij, v nasprotju s tem pa so: status, vloga, organiziranost, kompetence, kadrovska postavitev varnostno nadzornih centrov (VNC) in upravljanje z alarmnoodzivnim sistemom, nedefinirani. 1.4 Metode dela Pri obdelavi teme diplomske naloge bodo uporabljene naslednje metode dela: - analiza vsebine - pregled in študij domače in tuje literature, ki obravnava varovanje informacij, računalniškega omrežja, poslovnega informacijskega sistema in komunikacij znotraj in zunaj državnih organov (znotraj intranet, zunaj pa extranet, internet in infranet), - izvedba intervjujev s kompetentnimi osebami, - kvalitativna analiza zbranih podatkov, informacij in gradiva, - sinteza analitičnih ugotovitev in predlaganje izboljšav. 1.5 Predvideni rezultati Sistem varovanja informacij v državnih organih je urejen različno, a v povprečju na solidni ravni, pri čemer imajo to nekateri usklajeno s standardi varovanja informacij, nekateri so v procesu uvajanja standardov, medtem ko je tudi kaj takšnih, ki varnostne politike ne gradijo. Prav tako pričakujemo, da bo imela večina državnih institucij zgledno urejeno službo varovanja z varnostno-nadzornimi centri. 1.6 Omejitve v obdelavi teme Omejitve v nekaterih delih pri obdelavi teme lahko nastopijo zaradi nedostopnosti nekaterih varovanih podatkov, vendar predvidevam, da bo za splošno oceno o stopnji informacijske varnosti državnih organov dovolj razpoložljivih podatkov iz literature, spletnih virov in empirične raziskave. 3

10 2 ORIS NEKATERIH POJMOV 2.1 Državni organ, državna ustanova Državni organ je organ državne uprave: ministrstvo, organ v sestavi ministrstva, vladna služba in upravna enota. Drug državni organ je Državni zbor, Državni svet, Ustavno sodišče, Računsko sodišče, Varuh človekovih pravic, pravosodni organ in drug državni organ, ki ni organ državne uprave. Slovenski državni organi: Vhodni portal javne uprave; e-uprava; Predsednik republike; Predsednik vlade; Vlada; Državni svet ; Ministrstvo za finance ; Ministrstvo za notranje zadeve; Ministrstvo za zunanje zadeve; Ministrstvo za pravosodje; Ministrstvo za obrambo; Ministrstvo za delo, družino in socialne zadeve; Ministrstvo za gospodarstvo; Ministrstvo za kmetijstvo, gozdarstvo in prehrano; Ministrstvo za kulturo; Ministrstvo za okolje, prostor in energijo; Ministrstvo za promet; Ministrstvo za šolstvo in šport ; Ministrstvo za visoko šolstvo, znanost in tehnologijo; Ministrstvo za zdravje; Ministrstvo za javno upravo; Služba vlade za zakonodajo; Služba vlade za evropske zadeve; Vrhovno sodišče; Ustavno sodišče; Računsko sodišče; Državna volilna komisija; Varuh človekovih pravic; Javna uprava; Informacijski pooblaščenec; Informacijski sistem za podporo odločanju (InterISPO). 2.2 Hude motne v poslovanju Pri poslovanju se kot največja grožnja pojavlja verjetnost informacijskega in komunikacijskega izpada osnovne lokacije zaradi morebitnih naravnih nesreč, človekove aktivnosti ali tehnično tehnoloških vzrokov. Iz tovrstnih vzrokov so bolj ali manj otežene ali onemogočene tudi ostale ravni ključnih aktivnosti oz. poslovanja. Ocena ranljivosti in ogroženosti mora pokazati, kateri izredni dogodki so bolj in kateri manj verjetni. Za izredne dogodke, ki so bolj verjetni za nastanek, je treba pripraviti scenarije in po njih testirati načrt neprekinjenega poslovanja. 2.3 Izredni dogodki Med izredne dogodke uvrščamo: naravne nesreče (potrese, poplave, plazove, idr.), letalske, rudniške, železniške in cestnoprometne nesreče, delovne nesreče, ekološke nesreče, organizirani kriminal, gospodarski kriminal (zlasti korupcije), afere, stavke, izgrede, vlome in roparske napade, umore, sabotaže, diverzije, atentate, teroristična 4

11 dejanja, izpade in razpade elektroenergetskega sistema ("električne mrke"), vdore v računalniška in komunikacijska omrežja, razlitja nevarnih snovi (nafta, naftni derivati, kemikalije) v morje, vodovje ali v zemljo (ogrožanje podtalnice), velike gozdne požare in požare ter eksplozije na industrijskih objektih in objektih z velikim številom ljudi (poslovne zgradbe, kinodvorane, gostinski lokali, hoteli, gledališča, športna igrišča, vlaki, avtobusi), itd. Posledice vsakega izrednega dogodka so praviloma neugodne, ker se izražajo v materialni, finančni, poslovni, človeški in moralni škodi in hkrati izgubi. Če so materialne, finančne, poslovne, obratovalne (proizvodne) in človeške posledice šokantne, opredelimo tak izredni dogodek kot havarijo oziroma katastrofo za podjetje (Vršec, 1993:148, 2008). V praksi sta pogosto uporabljena tudi izraza izredni varnostni dogodek (nenormalni/nevsakdanji dogodek ali pojav, ki (negativno, moteče, zastrašujoče) vpliva na poslovni sistem) in incident (nepričakovan, neprijeten dogodek, ki prekine normalen potek kakega dejanja, dela, prekoračenje dovoljenega v ravnanju ali vedenju, izgred), varnostni incident (vsak dogodek, ki je v nasprotju z varnostno politiko ustanove). 2.4 Zagotavljanje neprekinjenega poslovanja Zagotavljanje neprekinjenega poslovanja (Business Continuity), obvladovanje nevarnosti, ogroženosti in tveganj (Risk Management) ter obvladovanje kriznega vodenja (Crisis Management) so v vsaki organizaciji, torej tudi v državnem organu, nujne sestavine upravljanja s poslovnimi procesi, človeškimi viri (zaposleni), s kapitalom (v državnem organu s proračunskimi sredstvi) s solastniki, s strankami, z uporabniki, s poslovnimi partnerji in z zunanjimi izvajalci (povzeto po Vršec, 2009). Neprekinjeno poslovanje definirajo procesi, postopki, odločitve in aktivnosti, ki zagotavljajo neprekinjeno poslovanje podjetja/organizacije/ustanove v primerih, ko grozi prekinitev delovanja. To zahteva izdelavo načrtov, ki pomagajo pri izogibanju kriznih situacij in katastrof ter omogočajo hitro obnovo v kolikor do slednjih pride. Da bi si podjetje, državni organ, zavod ali druga organizacija zagotovila potrebne informacije tudi v primeru izpada kakšne ali vseh poslovnih funkcij na osnovni lokaciji, si mora vzpostaviti rezervno lokacijo, na katero redno elektronsko prenaša in hrani informacijski sistem. Le na ta način si vsaka organizacija zagotovi neprekinjeno poslovanje. Načrtovanje neprekinjenega poslovanja (ang. business continuity planning BCP) je metodologija, ki se uporablja za izdelavo načrta neprekinjenega poslovanja, ki zajema tudi obnovo delovanja ključnih poslovnih in (po potrebi) drugih funkcij 5

12 podjetja/organizacije/ustanove v primeru kriznih in izrednih razmer (številna tuja literatura, npr.: Syed, 2003; Fulmer, 2004; Bowman, 2008). Z uvajanjem in upravljanjem neprekinjenega poslovanja se ukvarjajo tudi različni standardi, ki definirajo načine in postopke uvajanja ter upravljanja neprekinjenega poslovanja: 1. BSI priporočilo PAS 56 predstavlja priporočila za postopke, principe in terminologijo upravljanja neprekinjenega poslovanja, ki sta ga pripravila angleški inštitut za standarde (BSI) in Insight Consulting. 2. BS je angleški standard za neprekinjeno poslovanje in je v dveh delih. Standard BS : 2006 obravnava minimalne zahteve in dobro prakso pri upravljanju neprekinjenega poslovanja. Standard BS : 2007 določa zahteve za vzpostavitev, izvajanje, kontrolo, pregled, vzdrževanje in izboljšave sistema neprekinjenega poslovanja. 3. ISO/IEC je mednarodni standard za sistem upravljanja varovanja informacij in omogoča določanje, upravljanje in zmanjševanje tveganj, ki so jim izpostavljene informacije. 4. ISO/IEC predstavlja standardno specifikacijo za upravljanje učinkovitega sistem nadzora informacijske varnosti (ang. Information Cecurity Management System ISMS) z uporabo pristopa stalnih izboljšav (glej denimo: Arnason, 2007; Whitman, 2007, Calder, 2006). 2.5 Poslovanje v kriznih razmerah krizno vodenje Krizni management postaja na državni ravni in nižjih ravneh vse bolj kot potreba po obvladovanju položaja in razvoja, saj vsaka kriza širših razmer povzroča škodo in izgubo. V krizi vodstva in krizni štabi zaznajo ogrožanje poslovnih funkcij, finančnega in tržnega položaja ali ogrožajo podjetje/ustanovo kot celoto. Kriza ponuja omejen čas za oblikovanje politike, sprejemanja odločitev v negotovih razmerah ter postavljajo vodstvo pod velik stres. V kriznih razmerah lahko določene težave doletijo tudi državne organe, ki pa si ne smejo privoščiti, da bi bilo njihovo poslovanje bistveno okrnjeno. 2.6 Ogroženost informacij in komunikacij Ogrožanje je stanje, ko zunaj ali znotraj objektov, procesov, logistike in območja lastnika/upravljavca grozijo stalne ali občasne nevarnosti nastajanja izrednih varnostnih dogodkov. 6

13 Temeljne sestavine informacijskega sistema so ljudje, informacijska tehnologija (IT) in procesi. Ljudje z uporabo informacijske tehnologije pridobivajo, obdelujejo, hranijo in posredujejo podatke, da z njimi oblikujejo informacije v zvezi s procesi. V ožjem pomenu so to računalniška strojna in programska oprema, telekomunikacije (telefonski vodi, optični vodi, radijski kanali, modemi, usmerjevalniki ) in sredstva za pisarniško poslovanje. Z informacijskim sistemom upravlja Služba za informatiko, ki pa lahko določene dele tega sistema pogodbeno prenese na zunanjega izvajalca. Ogroženost informacij predstavlja možnost, da pride do različnih zlorab informacij z namenom oškodovanja imetnika informacije oziroma organizacije. Ključno vlogo pri tem ima človeški faktor. Do ogrožanja lahko pride znotraj organizacije ali iz okolice. Množičnost informacij in informacijskih tehnologij v današnjem svetu ter vse večje ekonomske raznolikosti z geostrateškimi cilji še toliko bolj povečujejo ogroženost informacij. Zmanjšanje ogroženosti informacij je možno zlasti s povečanjem varnostnih mehanizmov v informacijskih sistemih. Ogroženost informacijsko-komunikacijske tehnologije predstavlja vsako onemogočanje brezhibnega delovanja in posledično negativne posledice za posameznika, organizacijo ali celo za širšo skupnost. Ogroženost lahko delimo glede na (Schaumüller-Bichl, 1992): 1. Namero: - ogroženost od namernih napadov: sem prištevamo prisluškovanje, spreminjanje in uničevanje informacij, nepooblaščeno uporabo in tudi uničenje naprav oziroma manipulacijo programske opreme, - ogroženost od nenamernih dogodkov: nepravilno delovanje zaradi višjih sil, tehnične napake, vplivi okolja in malomarno upravljanje. 2. Vrsto ogroženih virov: - ogroženost informacij in podatkov, - ogroženost informacijsko-komunikacijske tehnologije, - ogroženost infrastrukturnih prostorov in naprav (npr. računalniškega centra). 3. Vrsto grožnje: - izguba zaupnosti: nepooblaščena pridobitev informacij, - izguba integritete: nepooblaščena modifikacija informacij, - izguba dostopnosti: nepooblaščen poseg v funkcionalnost, - izguba izvirnosti: nepooblaščeno podvajanje podatkov. 7

14 Nevarnosti oz. grožnje, ki prežijo informacijskim sistemom, lahko tudi delimo v pet skupin, kot jih prikazuje naslednja slika: Katastrofa Tehnične motnje Uporabnikove napake Kraja podatkov in vohunjenje Manipulacija podatkov in programov Naravne grožnje Okvare Hardware Nepozornost Preko avtoriziranih dostopov Nenaravne grožnje Okvare Softwaew Človeške napake Nevednost Ignoranca Preko neavtorizir. dostopov Zunanje motnje Slika 1: Slabosti in grožnje sistemov informacijske tehnologije (Alpar, 2007) Najpogostejše grožnje informacijski tehnologiji: 1. Okužba informacijskega sistema s škodljivi programi: virusi, črvi (Worms), Spami, Spyware in trojanski konji. 2. Notranja zloraba interneta, elektronske pošte in drugih računalniških virov. 3. Kraja računalnikov in računalniške opreme. 4. Napad z onemogočanjem storitve. 5. Nepooblaščen dostop do informacijskega sistema od zunaj. 6. Nepooblaščen dostop do informacij od zaposlenega v tej organizaciji. 7. Daljinsko vodeno omrežje (na internetu) z osebnimi računalniki in avtonomnim računalniškim programom (npr. za razširjanje Spama) ter zmanjšanje učinkovitosti delovanja informacijskih sistemov. 8. Kraja poslovnih skrivnosti in drugih zaupnih podatkov. 9. Pošiljanje elektronske pošte z navedbo napačnega naslova pošiljatelja in napačne spletne strani, na kateri navedemo svoje osebne podatke zaradi verifikacije ali drugih prevarantskih namenov. 10. Nove tehnologije: žična in brezžična internetna telefonija, brezžično lokalno omrežje (WLAN) in mobilni telefoni omogočajo prenos podatkov z možnimi nezaželenimi vdori in zlorabo. 8

15 2.7 Varnostna tveganja Varnostno tveganje je odraz ogroženosti in pomanjkljivih ali nezadostnih varnostnih in drugih ukrepov, kar posledično pomeni možnost izgube, škode ali poškodbe ob upoštevanju vrednosti, ki jo je za infrastrukturo določil lastnik/upravljavec, kakor tudi vpliv ali spremembe na zmogljivost ter verjetnost, da bo na določeno šibko točko vplivala posebna grožnja. Vsaka lastniška/upravljavska struktura posamezne kritične infrastrukture oz. organizacije mora imeti, poleg vodstvenih in poslovnih sposobnosti, tudi sposobnost upravljanja z varnostnimi tveganji. Z njo obvladuje izredne dogodke, kar pomeni, da je potrebno poznavanje obvladovanja različnih možnih in dejanskih nevarnosti, ogrožanja in varnostnega tveganja kot tudi izvajanja ukrepov ter aktivnosti ob neposrednem nastanku izrednega dogodka. Manj pridobljenih podatkov in informacij, pomanjkanje vodstvenih sposobnosti in znanja posledično pomenijo tudi večje tveganje za institucijo oziroma večja negotovost za uspešno delovanje. Za upravljanje z varnostnim tveganjem se lahko uporabi splošni model za presojo varnostnega tveganja (Vršec, 2008): OCENA OGROŽENOSTI PREPOZNAVANJE TVEGANJ ANALIZA TVEGANJ KONTROLA TVEGANJ OCENJEVANJE TVEGANJ ZAVAROVANJE TVEGANJ OBVEŠČANJE O TVEGANJIH VARNOSTNO TVEGANJE Slika 2: Model za presojo varnostnega tveganja 9

16 2.8 Internet, Intranet, Extranet, Infranet Internet (tudi medmrežje, skrajšano iz angleške besede»inter-network«) je v splošnem smislu računalniško omrežje, ki povezuje več omrežij. Kot lastno ime je Internet javno razpoložljiv mednarodno povezan sistem računalnikov skupaj z informacijami in uslugami za uporabnike. Sistem uporablja način paketno preklopljivih komunikacijskih protokolov TCP/IP. Internet je največje medmrežje, ki se velikokrat nanaša na usluge kot so svetovni splet (www), elektronska pošta in neposredni klepet (online chat). Intranet je sredstvo internega komuniciranja in je odličen vir informacij za organizacijo ter orodje, ki zaposlenim pomaga pri delovnih procesih, izmenjavi internih informacij in omogoča elektronsko poslovanje. Poleg zaposlenih ga lahko uporabljajo tudi zunanji sodelavci, saj so z varnostnimi zaščitami ločeni od zunanjih komunikacij. Glede na stopnjo zaupnosti internih podatkov, vsebin in programov se posameznikom dodeli avtorizirani dostop z geslom in uporabniškim imenom. Intranet je zgrajen iz istih konceptov in tehnologij kot internet, in sicer kot odjemalecstrežnik ter deluje z enakimi storitvami kot internet. Tam, kjer so večje varnostne zahteve, je omrežje intraneta fizično ločeno od internetnega, v primerih, ko pa uporabljajo javno telekomunikacijsko omrežje, pa je omejen dostop z gesli in ustreznim požarnim zidom. Extranet je zasebno omrežje, ki uporablja internetne protokole za omrežno povezanost organizacije s partnerskimi organizacijami oz. posamezniki, ločeno od vseh ostalih uporabnikov interneta. Ekstranet je mogoče pojmovati kot na del družbe intranet, ki je razširjena na uporabnike zunaj ustanove, običajno preko interneta. Infranet je omrežje za prenos alarmnih sporočil. Naloga sistemov za prenos alarmov je hiter in verodostojen prenos alarmnih sporočil z varovanega objekta do alarmnega sprejemnega centra ( VNC varnostno nadzorni center), ki se ponavadi nahaja pri agencijah, ki vršijo storitev tehničnega varovanja. Celoten sistem tehničnega varovanja ima nalogo v prvem koraku predvsem zaznati dogodek, ga nato zanesljivo prenesti preko omrežja in na koncu tudi ustrezno prikazati in arhivirati sprejeto alarmno sporočilo. Večina današnjih alarmnih sporočil se prenaša preko običajnih telefonskih linij. To se izvaja tako, da alarmna centrala na varovani lokaciji po telefonski liniji pokliče nadzorni center ponudnika storitve varovanja in mu šele po vzpostavitvi zveze pošlje alarmno sporočilo. Kadar je telefonska linija iz kakršnih koli razlogov onemogočena (prekinitev 10

17 oz. druga okvara linije), te zveze ni možno vzpostaviti. V tem primeru ponudnik storitve varovanja o neljubem dogodku ni obveščen in zato varnost na tej lokaciji ni zagotovljena. V takem primeru je najboljše, da je povezava med nadzornim centrom in varovanim objektom pod stalnim nadzorom. Prednosti infraneta: - zanesljiv prenos alarmnih sporočil, - neodvisnost od javne telefonske linije, - stalen nadzor nad prenosnimi potmi omrežja, - samodejno zaznavanje omrežnih napak, - uporabnost GSM omrežja, ADSL linije, ISDN linije in analogne linije. 2.9 Varnostno nadzorni center VNC Varnostno nadzorni center VNC je informacijsko središče sistema tehničnega varovanja. Sprejema alarmna sporočila z vseh objektov in jih v informacijskem smislu obdeluje, prikazuje in arhivira. Osebje v VNC sprejema vse pomembne odločitve v zvezi s prispelimi alarmnimi sporočili, ter o tem obvešča ustrezne intervencijske in dežurne službe za nadaljnje ukrepanje, odgovorne osebe na varovanih objektih in podobno. Danes funkcija alarmnih sistemov ni le sprožitev alarma ob ustreznem dogodku na objektu, ampak tudi zaznava vseh ostalih, na videz manj pomembnih dogodkov, kot so npr. vklopi in izklopi alarmnega sistema, različne napake ter ostali dogodki, ki tvorijo celotno podobo o dogajanju na varovanem objektu. Alarmno sporočilo o dogodku bi se moralo kar najhitreje prenesti do VNC, ki naj prevzame funkcijo ustreznega ukrepanja. Pomembno je, da so alarmna sporočila ob sprejemu enaka oddanim, da se ohranja istovetnost sprejetega sporočila z dogodkom na varovanem objektu. Vlogo kvalitetnega prenosa sporočil opravlja prenosni alarmni sistem, fizično izvedbo prenosa pa opravlja prenosno omrežje. V celotni funkciji varovanja ima pomembno vlogo odzivnost sistema tehničnega varovanja, ki mora biti čim hitrejša, da lahko dosežemo osnovni cilj - čim krajši intervencijski čas posredovanja ob dogodku na objektu. Strojna in programska oprema Strojno opremo sestavljajo sprejemnik signalov, ki sprejema alarmna sporočila preko prenosnega omrežja, vsa računalniška oprema za sprejem, obdelavo, prikaz in arhiviranje prispelih alarmnih sporočil, svetlobni in zvočni indikatorji ob sprejemu alarmnih sporočil, pomožni viri napajanja, razdelilna telefonska omarica in podobno. Programsko opremo sestavljajo vse računalniške aplikacije, ki so v teku ter zagotavljajo operativno, komunikacijsko in informacijsko funkcijo alarmnega sprejemnega centra. 11

18 Programska oprema nam omogoča selektivnost nad sprejetimi alarmnimi sporočili, njihovo dodatno obdelavo, bolj pregledne prikaze sporočil ter dodatne možnosti arhiviranja na različne pomnilniške medije. 12

19 3 PREDSTAVITEV STANDARDOV UPRAVLJANJA NEPREKINJENEGA POSLOVANJA 3.1 BS :2006 in BS :2007 upravljanje neprekinjenega poslovanja in kriznega upravljanja Standard BS opredeljuje sistem upravljanja neprekinjenega poslovanja (BCM, Business Continuity Management) kot proces, lasten podjetju, ki ustvarja strateško in operativno ogrodje z namenom: - "Proaktivno izboljšati odpornost organizacije na prekinitve v poslovanju in njeno zmožnost da opravlja ključne aktivnosti", - "Zagotoviti ustaljen način za obnovo sposobnosti organizacije, da nudi in izvaja ključne produkte in storitve, na določeni ravni, in v določenem času po prekinitvi", - "Nuditi preverjeno zmožnost upravljanja z motnjami v poslovanju in ščititi ugled, blagovno znamko, prihodke in stranke organizacije." Ključni pomen standarda BS je v dejstvu, da predstavlja prvi standard, po katerem so organizacije lahko certificirane. Razvit je bil v široki skupini ekspertov širom sveta, predstavlja pa presek različnih industrijskih branž in nudi enoten pristop k definiciji procesov, načel in terminologije povezane z BCM. BS nudi osnovo za razumevanje, razvoj in implementacijo BCM temelječega na tveganjih v organizaciji in s tem omogoča zagotovilo tako notranjim kot zunanjim interesnim skupinam. Vključuje obsežen nabor dobrih praks BCM in pokriva celoten življenjski cikel BCM. Ne zagotavlja le, da ima organizacija načrt v primeru nesreče, ampak da razume poslovne prioritete, pozna ključne aktivnosti in oblikuje razpoložljivost, ki preprečuje poslovno škodo že v osnovi. Standard BS zagovarja 6 stopenjski cikel, ki obsega: - Upravljanje s programom BCM - Razumevanjem organizacije - Določanje strategije BCM - Razvoj in implementacija BCM odziva - Preverjanje, vzdrževanje in preizkušanje BCM - Vključevanje BCM v organizacijsko kulturo. 13

20 BS priporoča, da vsaka organizacija vključi svoje aktivnosti v funkcijo upravljanja s programom BCM in s tem zagotovi uspešnost in učinkovitost sistema za upravljanje neprekinjenega poslovanja. Razumevanje aktivnosti (vključno z obvezno analizo tveganj) omogoča organizaciji, da prioritizira svoje produkte in storitve ter identificira nujnost posameznih aktivnosti, ki te produkte omogočajo. Rezultati teh aktivnosti določajo izbiro prave BCM strategije. Ker naj bi zahteve BCM temeljile na dejanskih zahtevah poslovanja je "razumevanje organizacije" ključna aktivnost, ki jo je potrebno izvesti pravilno. Če bi namreč pri ugotavljanju ključnih aktivnosti prišlo do napake, lahko to vpliva na celoten BCM program, ki zato temelji na napačnih predpostavkah, ključne aktivnosti pa v primeru incidenta ne bi bile deležne zahtevane prednosti. To ima lahko za posledico nepotrebne stroške zaradi posvečanja ne-kritičnim aktivnostim. Aktivnosti in dokumenti, ki jih je potrebno pripraviti ob implementaciji vključujejo: Določanje obsega; Ključne aktivnosti; Analiza vplivov na poslovanje; Analiza tveganj; Strategija BCM; Razvoj načrta BCM; Krizni menedžment; Notranja presoja; Testiranje in vzdrževanje; Analiza vrzeli in merjenje učinkovitosti; Pregled doseženih ciljev; Pregled BCM; Izobraževanje za analizo tveganj in upravljanje s tveganji. Vsebina BS : Poglavje 1 - Področje uporabe in uporabnost. Ta poglavje opredeljuje obseg standarda in opisuje najboljše prakse za organizacije, ki standard uveljavljajo. Poglavje 2 - Izrazi in definicije. Ta poglavje opisuje terminologijo in opredelitve, uporabljene v besedilu standarda. Poglavje 3 - Kratek pregled BCM, ki opisuje splošno procese, odnos do upravljanja s tveganjem in razloge za implementacijo. Poglavje 4 Politika BCM. Ključni pomen za izvajanje neprekinjenega poslovanja je jasen, nedvoumen in je sredstvo politike. Poglavje 5 - Program upravljanja BCM. Program za upravljanje je v središču celotnega procesa BCM in standard določa pristop. Poglavje 6 - Razumevanje organizacije. Da bi uporabljali ustrezne strategije za neprekinjeno poslovanje in oblike upravljanja, je treba v celoti razumeti kritične dejavnosti, vire, dolžnosti, obveznosti, grožnje, tveganja. Poglavje 7 - Določanje BCM strategij. Ko temeljito poznamo celostno organizacijo, lahko opredelimo ustrezne strategije neprekinjenega poslovanja. 14

21 Poglavje 8 - Razvoj in izvajanje BCM odziva ter taktične dejavnosti neprekinjenega poslovanja. To vključuje strukture kriznega upravljanja, krizno upravljanje in načrte neprekinjenega poslovanja. Poglavje 9 - Opravljanje, vzdrževanje, revizije in samoocenjevanje kulture BCM. Brez preskušanja odziva BCM organizacija ne more biti prepričana, da bo izpolnila svoje cilje. Poglavje 10 - Vključevanje BCM v kulturo organizacije. Neprekinjenega poslovanja ne bi smelo obstajati v vakuumu, ampak naj postane del upravljanja organizacije. Vsebina BS : Poglavje 1 - Področje uporabe. Opredeljuje področje uporabe standarda, zahteve za izvajanje in delovanje dokumentiranega sistema upravljanja neprekinjenega poslovanja (BCMS, Bussines Continuity Management System ) Poglavje 2 - Izrazi in definicije. Ta poglavje opisuje terminologijo in opredelitve, uporabljene v besedilu standarda. Poglavje 3 - Načrtovanje sistema upravljanja neprekinjenega poslovanja. Drugi del standarda temelji na dobro uveljavljenih modelih: Načrt-Izvedba-Preveritev-Izboljšave. Prvi korak je načrt BCMS, uveljavitev in vgraditev v organizacijo. Poglavje 4 - Izvajanje BCMS, t. j. dejansko uresničevanje načrov. Poglavje 5 - Spremljanje in pregled BCMS. Za zagotavljanje stalnega spremljanja se izvaja notranja revizija in vodstveni pregled za BCMS. Poglavje 6 - Vzdrževanje in izboljšave BCMS. Ta poglavje se osredotoča na preventivne in korektivne ukrepe. 3.2 ISO/IEC upravljanje varovanja informacij Sistem upravljanja varovanja informacij (ISMS, Information Security Management System) Ob vedno večji odvisnosti od informacijskih tehnologij, odprtosti organizacij in povečanju pomena informacij v sodobnem poslovanju je iz potrebe po ureditvi in poenotenju razmer v organizaciji na področju informacijske varnosti nastal poleg standarda ISO/IEC še ISO/IEC Standarda sta poslovodno in od posameznih tehnoloških rešitev neodvisni orodji. Prvi je zapisan v obliki zahtev, ki jih mora organizacija izpolnjevati, če želi pridobiti certifikat. Zahteve iz poglavij 4, 5, 6, 7 in 8 morajo biti upoštevane v celoti. Poleg omenjenih poglavij vsebuje standard prilogo A, kjer je izvleček 133-tih kontrol iz standarda ISO/IEC in je potrebno za vsako neupoštevano kontrolo navesti razlog opustitve. Standard ISO/IEC ponuja nabor 15

22 možnih ukrepov za nadzor prepoznanih tveganj, ki so se z leti uporabe v različnih organizacijah po svetu pokazali kot primeri dobre prakse. Standarda sta celovita v smislu informacijske varnosti. To pomeni, da ne obravnavata le informacijske tehnologije in informacij v elektronski obliki, temveč informacije v vseh možnih oblikah in medijih. V tem smislu je veliko opisanih kontrol povsem organizacijske narave in niso povezane s tehnologijo (npr.: klasifikacija informacij, fizično varovanje objektov ali opis varovanja informacij v pogodbah o zaposlitvi). ISO / IEC je del večje družine standardov ISO / IEC in je bil objavljen oktobra Standard opredeljuje sistem upravljanja varovanja informacij, ki vključuje kontrolo upravljanja. ISO / IEC določa, da upravljavec varovanja informacij: - Sistematično preuči varnostno tveganje informacij organizacije ob upoštevanju groženj, šibkih točk in vplivov; - Oblikuje in izvaja skladen in celovit niz nadzora varnosti informacij in/ali druge oblike izboljšav tveganja (kot so izogibanje tveganjem ali prenos tveganja) za tveganja, ki so nesprejemljiva; - Sprejme krovni proces upravljanja, ki bo zagotavljal nadaljnjo kontrolo varovanja informacij. Primer: Pričakovati je številne grožnje na področju informacijske varnosti npr. vdor v elektronsko spletno poslovanje organizacije v tem primeru mora biti na mestu dovolj ustrezno strokovno usposobljenih ljudi za zmanjšanje negativnih vplivov in posledic na minimum. Shema (Slika 3) prikazuje modelski koncept implementacije standarda za učinkovito informacijsko varnost. Plan: Vzpostavitev politike, ciljev, procesov in postopkov, pomembnih za obvladovanje tveganj in izboljšanje varnosti pri doseganju rezultatov v skladu s splošno politiko in cilji organizacije. Do: Izvajanje in vodenje politike ISMS, nadzora, procesov in postopkov. Check: Ocenitev uspešnost ukrepov glede na politiko ISMS, cilje in praktične izkušnje ter posredovanje rezultatov za revizijo upravljanja. Act: Uvajanje sprememb in preventivnih ukrepov, ki temeljijo na internem revizijskem pregledu ali upravljavski kontroli oz. na ustrezni drugi ključni informaciji, s čimer bi dosegli neprekinjeno izboljševanje sistema upravljanja varovanja informacij. 16

23 Vzpostavitev ISMS PLAN Korektivni ukrepi izboljšav ISMS ACT DO Implementacija in delovaje ISMS CHECK Zahteve in pričakovanja o informacijski varnosti Spremljava in ocenjevanje uspešnosti ISMS Upravljanje informacijskega varovanja Slika 3: PDCA model "Plan-Do-Check-Act" (ISO/IEC 27001:2005) 3.3 SIST BS 5979 upravljanje varnostno nadzornega centra Standard SIST BS 5979:2005, Pravila ravnanja za sprejemne centre pri sprejemanju signalov iz varnostnih sistemov, ima status slovenskega standarda in je enakovreden britanskemu BS Britanski standard je napisan v obliki smernic in priporočil poklicnega kodeksa. V ta kodeks so vključena priporočila za načrtovanje, gradnjo in opremo kadrovsko zasedenih in nezasedenih varnostno nadzornih centrov in tudi za delovanje varnostno nadzornih centrov v povezavi s sistemi za javljanje vloma in požara, video nadzorom, socialnimi alarmi, alarmnimi sistemi za varovanje oseb ter drugimi nadzornimi službami. Ta izdaja standarda vključuje priporočila za uporabo obdelave in filtriranja alarmov in priporočila za uporabo zvočnih, vizualnih in zaporednih tehnik potrditve, kar zmanjša pojav lažnih alarmov, posredovanih intervencijskim službam ali drugim odgovornim agencijam. Standard opisuje tudi krizni načrt, ki naj bi jasno določal ukrepe v primeru kakršnih koli težav ali izklopa varnostno nadzornega centra. Na koncu standarda sta še dodatka A in B, ki sta informativne narave ter dodatka C in D, ki sta normativna, in sicer: - A: Smernice inšpektoratom. - B: Smernice za zagotavljanje podpore podjetjem za alarmne sisteme in podjetjem na več lokacijah, ki nastopajo kot tretja stranka glede varnostnih in tehničnih zahtev za daljinski dostop do podatkovnih sistemov sprejemnih centrov. 17

24 - C: Tehnike potrjevanja alarma in obravnavanje informacij o alarmu iz sistemov za javljanje vloma, ki omogočajo potrditev. - D: Oblika sporazuma za pooblaščanje varnostno nadzornega centra za odločanje v zvezi z izločanjem informacij o alarmih. 3.4 SA 8000 upravljanje z družbeno odgovornostjo Standard SA 8000 (Social Accountability 8000) je izšel leta 2008 v ZDA in določa zahteve, ki jih morajo izpolnjevati delodajalci na delovnem mestu, vključno s pravicami delavcev in pogoji na delovnem mestu ter sisteme upravljanja. Normativni elementi tega standarda bazirajo na nacionalni zakonodaji, na standardih mednarodnih človekovih pravic in na konvencij Mednarodne organizacije dela. SA8000 standard se lahko uporablja skupaj z SA8000 navodili za oceno skladnosti s temi standardi na delovnem mestu. SA8000 je redno posodablja glede na popravke in izboljšave, prejete od zainteresiranih strani. Standard sestavlja naslednjih devet poglavij: Otroško delo; Prisilno in obvezno delo; Zdravje in varnost; Svoboda združevanja in pravica do kolektivnega pogajanja; Diskriminacija; Pravila dostojanstva; Delovni čas; Prejemanje plačila za delo; Sistemi upravljanja. Podrobneje poglejmo zadnje poglavje o sistemih upravljanja, ki so pogosto povezani z nemotenim delovanjem organizacij, zlasti se nanašajo na mehanizme upravljanja varovanja podatkov in zagotavljanja neprekinjenega delovanja. Sistemi upravljanja so razčlenjeni na sledeča merila: 1. Politika. Najvišje vodstvo družbe 1 mora v pisni obliki določiti politiko družbe za socialno odgovornost in delovne pogoje ter prikazati to skupaj s standardom SA 8000 na vidnem mestu in da se je družba prostovoljno odločila za izpolnjevanje zahtev omenjenega standarda. 2. Predstavnik uprave. Družba imenuje predstavnika uprave, ki ne glede na druge odgovornosti zagotovi, da so zahteve tega standarda izpolnjene. 3. Predstavnik delavcev. Družba priznava, da ima dialog na delovnem mestu ključni pomen za uresničevanje standardov družbene odgovornosti SA V ta namen 1 Družba je celotna organizacija ali poslovni subjekt, pristojen za izvajanje zahtev iz tega standarda, vključno z vsem osebjem (zaposlenimi) v tej družbi, upoštevajoč stranke, poslovne partnerje (dobavitelje in druge), uporabnike, zunanje pogodbene izvajalce ter lokalno in širše družbeno okolje (sponzorstvo, donatorstvo). 18

25 imajo delavci svojega predstavnika za lažjo komunikacijo z vodstvom družbe. Predstavnika izberejo delavci sami iz svoje sredine. 4. Nadzor uprave. Najvišje vodstvo redno pregleduje ustreznost, primernost ter učinkovitost politike družbe, postopke in rezultate uspešnosti zahtev tega standarda in druge zahteve, na katere je družba pristala. Kadar je potrebno, izvedejo sistemske spremembe in izboljšave. Predstavnik delavcev sodelujejo pri tem pregledu. 5. Načrtovanje in izvajanje. Družba zagotovi, da so zahteve tega standarda razumljive in da se izvajajo na vseh nivojih organizacije na načine: a/ jasna opredelitev vlog organov in njihove odgovornosti; b/ periodična usposabljanja in osveščanja za obstoječe osebje; c/ stalno spremljanje dejavnosti in rezultatov učinkovitosti sistemov, uporabljenih za uresničevanje zahtev standarda. 6. Nadzor dobaviteljev/podizvajalcev. Družba izvaja ustrezno kontrolo nad izpolnjevanjem zahtev družbene odgovornosti tudi pri dobaviteljih oziroma podizvajalcih, vendar le v primeru pisne zaveze te organizacije. 7. Pritožbe in ukrepi. Družba omogoča zaupna sredstva za sporočanje nepravilnosti v zvezi z neskladji glede na zahteve standarda. Družba mora takoj nato poiskati vzroke za nepravilnosti in izvesti korektivne in preventivne ukrepe. 8. Zunanja komunikacija in sodelovanje zainteresiranih strani. Družba mora vzpostaviti in vzdrževati komunikacijo z vsemi nosilci podatkov in drugih informacij, ki pomagajo uresničevati zahteve tega standarda, in sicer z vključno z: delavci, sindikati, dobavitelji, podizvajalci, kupci, nevladnimi organizacijami, uslužbenci državne uprave. 9. Dostop za preverjanje. V primeru revizij za ugotavljanje skladnosti s standardom mora družba omogočati ustrezne informacije in dostop v prostore. 10. Evidence. Družba vodi in ohranja ustrezne evidence za dokazovanje skladnosti s standardom. 19

26 4 NAČRTOVANJE NEPREKINJENEGA POSLOVANJA 4.1 Opredelitev ključnih (prioritetnih) funkcij državnih organov, ki se morajo izvajati tudi v kriznih in izrednih razmerah Poslovanje v času hudih motenj je v prvi vrsti odvisno od razpoložljivosti, zanesljivosti, sodobnosti in sistema servisiranja in vzdrževanja računalniške in telekomunikacijske opreme. V primeru izpada delovanja dela ali celote le te, pride do lažjih ali hujših oblik motenj v poslovanju. Vendar je to tehnično-tehnološki vidik poslovanja, ne pa varnostni vidik. Nas torej zanima tudi in predvsem poslovno-varnostni vidik, ki ga lahko zmotijo številni izredni dogodki. To so dogodki, ki lahko povzročijo veliko materialno škodo, škodo na zaposlenih in vse posredne škodne učinke na širši družbeni skupnosti. V temelju ogrozijo proces neprekinjenega poslovanja na osnovni lokaciji, zato se v primeru hudih motenj obseg poslovanja na osnovni ali rezervni lokaciji skrči na izvajanje ključnih poslovnih procesov. Opredelitev ključnih procesov oziroma funkcij državnih organov v kriznih in izrednih razmerah se nanaša na minimalno delovanje, ki še omogoča izvajanje nalog v smislu institucionalnega poslanstva organa samega in v sodelovanju z drugimi državnimi organi pri zagotavljanju delovanja nižjih segmentov državnih in drugih pomembnih ustanov ter življenja ljudi. Znotraj državnih organov so tako ustrezno določljive specifične funkcije posameznih institucij, ki se lahko izvajajo glede na vrsto in intenzivnost motnje. V resnici ne gre za povsem neprekinjeno poslovanje v kriznih razmerah, saj učinkov motenj ne moremo vedno povsem izničiti. Na izvajanje ključnih funkcij domala vsakega državnega organa pa dandanes gotovo zagotavlja neprekinjeno delovanje informacijskih in komunikacijskih procesov. Z načrtom neprekinjenega poslovanja, kriznim načrtom ter kriznim štabom si vodstvo državnega organa omogoči obvladovanje tveganj in sprememb ter izvajanje ključnih aktivnosti (ključnih poslovnih funkcij) tudi v kriznih razmerah. Ključne (prioritetne) aktivnosti (poslovne funkcije) državnih organov, so: - sprejemanje zakonodaje (regulatorna funkcija države), - oblikovanje varnostne in kaznovalne politike (varnostna funkcija države), - spremljanje implementacije političnih, pravnih in drugih aktov (nadzorna funkcija države), - upravljanje organov pregona in drugih organov represije (represivna funkcija države), - opredeljevanje nacionalnih interesov in ustvarjanje pogojev za njihovo implementacijo v prakso poslovanja, dela in življenja (politična funkcija države), 20

27 - pospeševanje razvoja, strategija razvoja, skladnost z dokumenti in razvojem EU (razvojna funkcija države), - upravljanje gospodarskih družb, javnih podjetij, javnih zavodov, javnih agencij in javnih skladov (kapitalska funkcija države). Vse navedene funkcije morajo biti pravočasno in redno servisirane z ustreznim naborom in kakovostjo informacij, organiziranih v enoten informacijski sistem državnih organov in v informacijske sisteme posameznih državnih organov. 4.2 Notranji in zunanji vplivi na poslovanje državnega organa Analiza vpliva na poslovanje vsebuje v splošnem naslednje kategorije (Nicolett, Luevano, 2002): - določitev kritičnih dejavnikov, - določitev vitalnih poslovnih procesov, aplikacij in podatkovnih virov, - določitev stroškov povzročene škode in vpliva na poslovne procese, - določitev odvisnosti med posameznimi sistemi, - določitev zahtevanega časa okrevanja. Na poslovanje državnih organov vplivajo številni dejavniki, podobno kot na druge organizacije/ustanove, pri čemer bi vendarle lahko posameznim dejavnikom pripisali specifično večji pomen vplivanja. To so vsi tisti dejavniki, ki ohromijo neposredno izvajanje nalog organa in posredno delovanje institucij, katerih delovanje je odvisno od hierarhičnega vodenja nadrejenega organa oziroma povezanosti z njim. Kot največja grožnja v poslovanju državnih organov se pojavlja verjetnost informacijskega in komunikacijskega izpada osnovne lokacije zaradi morebitnih naravnih nesreč, človekove aktivnosti ali tehničnotehnoloških vzrokov. Zunanji vplivi na poslovanje organa/ ustanove predstavljajo vse tiste grožnje (naravne nesreče, teroristični napadi, kriminal, izpad informacijsko-telekomunikacijskega sistema v širšem okolju, tehnološka razvitost družbe, državna politika v okvirjih širše evropske in svetovne politike, socialno-ekonomska politika državne, politično-pravni okvirji, izobraževalne in kulturne vrednote družbe, integracijski procesi in globalizacija, vpliv medije in lobijev, ), na katere posamezno organ/ustanova nima neposrednega vpliva. Vplive na poslovanje lahko delimo na: - notranje: prednosti in slabosti, - zunanje: možnosti in grožnje. 21

28 Notranji vplivi na poslovanje organa/ustanove izhajajo iz: - notranje ogroženosti (sabotaže, zloraba podatkov, neusposobljenost za delo, malomarnost, politična nasprotovanja, stavke, neupoštevanje varnostnih ukrepov, ), - stopnje usposobljenosti zaposlenih za delovanje v nekriznih in kriznih situacijah, - stopnje tehnološke opremljenosti (glede na možnosti, ki se ponujajo v danih okvirjih širše družbene skupnosti, države ali sveta) za tehnično-tehnološko podporo pri izvajanju načrta neprekinjenega poslovanja, - dejstva, ali ima organ/ustanova sprejet načrt neprekinjenega poslovanja in v kakšni meri ga uresničuje (preverjanja, analize, popravki in izboljšave). 4.3 Ugotavljanje vrzeli v poslovanju Vzporedno z analizo SWOT ali v okviru nje se pri analizi poslovanja opravi tudi analiza vrzeli v posameznih poslovnih procesih. Najprej je potrebno ugotoviti ali so izvedeni vsi preventivni in korektivni ukrepi v sklopu sistema vodenja kakovosti, nakar sledijo ugotovitve iz analiz poslovnega in logističnega procesa ter procesa upravljanja. Posebnega pomena so ugotovitve iz analize stanja strojne in programske opreme, poslovnega informacijskega sistema in delovanja informatike. SWOT analiza je analiza prednosti, pomanjkljivosti, priložnosti in groženj (Strengths, Weaknesses, Opportunities, Threats). Uporablja se z namenom načrtovanja strategij pri načrtovanju neprekinjenega poslovanja s poudarkom na informacijski varnosti. V bistvu gre za metodo, ki le strukturira to, kar sicer običajno sami že intuitivno počnemo - preverjamo, kje smo dobri, slabi, kaj lahko naredimo in kaj nam grozi. 4.4 Obvladovanje tveganj in sprememb Na področju ravnanja s tveganji so prisotne naslednje aktivnosti uprav (managementa), projektnih skupin in strokovnjakov: 1. Upravljanje tveganj (risk management). 2. Analiziranje tveganj (risk analysis). 3. Ocenjevanje tveganj (risk assessment). 4. Prepoznavanje tveganj (risk identification). 5. Obveščanje o tveganjih (risk communication). 6. Zavarovanje tveganj (risk insurance). 22

29 Za različna področja obstajajo različne metodologije, modeli in metode, ki se medsebojno dopolnjujejo in predstavljajo nabor poslovnih orodij za obvladovanje tveganj. Vsestransko obvladovanje tveganj notranjega in zunanjega izvora predstavlja zlasti pridobivanje in uporaba analitičnih in preverjenih podatkov, informacij ter dokumentov. Analiza in ocena tveganja predstavlja težji del postopka obvladovanja tveganj, ki je pogosto zelo izpostavljen napakam. Ko so tveganja določena in ocenjena, je postopek nadaljnjih aktivnosti dobro definiran in utečen. Pri tem je pomembno razumeti razliko med grožnjo in tveganjem, Grožnja predstavlja nekaj, kar je izven neposrednega nadzora. S tem povezano tveganje pa dobimo iz verjetnosti, da se le-ta zgodi in škode, ki jo povzroči. Poleg splošnega modela upravljanja s tveganji so v uporabi številne metode obvladovanja poslovnih,varnostnih in drugih tveganj: - Universal Business Risk Model Arthur Andersen ( Splošno uporabna metoda ravnanja s poslovnimi in drugimi tveganji), - Preliminary Hazard Analysis PHA (Predhodna analiza nevarnosti/tveganj), - Control Objectives for international and Related Technologies COBIT (Metoda za prepoznavanje tveganj v informacijskih sistemih, v povezanosti s standardi kakovosti ISO 9000:2000 in standardi varovanja informacij ISO in ISO 27001), Obvladovanje sprememb 2 je proces reševanja problemov, ki so posledica sprememb, in je v bistvu sestavni del upravljanja oziroma obvladovanja tveganj. Sistem uvajanja sprememb lahko opredelimo skozi osem korakov 3 : - spodbuditi občutek nujnosti, - sestaviti vodilni tim za uvajanje sprememb, - ustvariti pravo vizijo, - informirati in navdušiti management in druge zaposlene, - določiti kompetence tima in posameznikov, - definirati kratkoročne uspehe, - biti vztrajen in ne odnehati, - uresničiti/utrditi spremembo. 2 Sprememba je pojav, dogodek ali aktivnost državnega, političnega, pravnega, ekonomskega, poslovnega, organizacijskega, socialnega, varnostnega ali naravnega izvora. 3 Kotter in Cohen,

30 4.5 Strategija in cilji neprekinjenega poslovanja Strategije za nemoten potek poslovanja zadevajo: 1. Izbiro alternativnih metod dela, ki se uporabljajo ob prekinitvi, tako da se ohrani ali ponovno vzpostavi aktivnosti poslovanja glede na prioritete in časovni razpored. Oboje se določi z analizo vplivov na poslovanje in analizo tveganj. 2. Organizacijske strategije, ki določajo časovne in lokacijske opredelitve za obnovitev aktivnosti. 3. Strategije potrebnih stopenj aktivnosti. Potrebno je oceniti kompleksnost medsebojnih odvisnosti med enotami, oddelki, službami, poslovnimi procesi, logistiko, podatki in informacijsko-komunikacijskimi tehnologijami. Cilj upravljanja neprekinjenega poslovanja je pravzaprav zmanjšati tveganost poslovanja organizacije/ustanove v primeru izrednega dogodka večje razsežnosti ter poskrbeti za nadaljevanje poslovnih procesov bodisi v omejenem bodisi v polnem obsegu na osnovni in/ali rezervni lokaciji. Cilji neprekinjenega poslovanja: - povečati varnost, razpoložljivost, celovitost dejavnosti in storitev, - zmanjšati možnost prekinitev poslovanja ob nastopu izrednih dogodkov, - zagotoviti neprekinjeno informacijsko podporo ključnim procesom in storitvam, - zmanjšati negativne ekonomske posledice, - zagotoviti stabilnost poslovanja upravljanja neprekinjenega poslovanja, - skrajšati proces odločanja ob pojavu uničujočih dogodkov, - olajšati koordinacijo postopkov obnove poslovanja, - zmanjšati odvisnost sistema od ključnih notranjih in zunanjih vplivov. 4.6 Izdelava, testiranje in dograjevanje načrta neprekinjenega poslovanja primer družbe za upravljanje Pravno podlago za izdelavo načrta za neprekinjeno poslovanje in kriznega načrta opredeljuje 20. člen Sklepa o kadrovskih, tehničnih in organizacijskih pogojih ter dokumentaciji v poglavju o Delovanju družbe za upravljanje v pogojih hudih motenj poslovanja (Ur. list 107/2007; več o tem Vršec, M., Vršec Mir., Načrt neprekinjenega poslovanja in krizni načrt, 2008): "(1) Družba za upravljanje mora vzpostaviti krizne načrte in načrte neprekinjenega poslovanja v pogojih hudih motenj poslovanja. Načrt neprekinjenega poslovanja je formalen 24

31 dokument, ki vključuje postopke zagotavljanja neprekinjenega poslovanja pri pomembnih procesih in sistemih. Krizni načrt je sestavni del načrta neprekinjenega poslovanja ter določa tehnične in organizacijske ukrepe za ponovno vzpostavitev delovanja ter zmanjšanja posledic hudih motenj poslovanja. (2) Načrt neprekinjenega poslovanja mora ob nastopu hudih motenj poslovanja zagotoviti, da so pomožne zmogljivosti za nadaljevanje poslovnih dejavnosti čim prej na razpolago. Krizni načrt mora ob nastopu hudih motenj poslovanja v primernem časovnem obdobju zagotoviti ponovno vzpostavitev normalnega delovanja motenih dejavnosti družbe za upravljanje. (3) Načrti neprekinjenega poslovanja in krizni načrti morajo vključevati tudi opis komunikacijskih tokov, ki se uporabljajo v pogojih hudih motenj poslovanja. (4) Družba za upravljanje mora zagotoviti, da so z načrti neprekinjenega poslovanja in kriznimi načrti seznanjeni vsi zaposleni. (5) Družba za upravljanje mora zagotoviti redno testiranje načrtov neprekinjenega poslovanja in kriznih načrtov z namenom ocenjevanja njihove učinkovitosti in primernosti. O rezultatih testiranja mora biti obveščena uprava družbe za upravljanje. (6) Družba za upravljanje mora zagotoviti redno ažuriranje načrtov neprekinjenega poslovanja in kriznih načrtov zaradi zagotavljanja njihove skladnosti s trenutnimi poslovnimi dejavnostmi, notranjimi procesi in poslovnimi strategijami." Za načrtovanje, testiranje in dograjevanje načrta za neprekinjeno poslovanje je najbolje uporabiti najsodobnejše standarde s tega področja, npr. standard BS 25999, ter standard za upravljanje varovanja informacij, npr. ISO/IEC ali sorodne. Za nekatera področja država z uredbo, ki se nanaša na posamezne standarde, zakonsko določi pravila poslovanje organa/ustanove, medtem ko se lahko ostali prostovoljno odločajo o uporabi določenega standarda. Npr. Vlada Republike Slovenije je izdala 4 Uredbo o varstvu dokumentarnega in arhivskega gradiva, pri čemer temeljijo zahteve na standardih za informacijsko varnost, med njimi ISO/IEC Testiranje je ključna faza zagotavljanja neprekinjenega poslovanja. Omogoča preverjanje učinkovitosti zapisanih postopkov ter zmožnost zaposlenih in zunanjih izvajalcev za dosledno in učinkovito uporabo načrta. V okviru testiranja mora biti preverjen in potrjen vsak najmanjši element načrta. To velja tako za postopke kot tudi za opremo. Potrebno je preveriti sposobnost zagotavljanja informacijske podpore s pomočjo rezervne lokacije, sposobnost restavriranja podatkov iz varnostnih kopij, koordinacijo med skupinami 4 Ur. list RS, 86/

32 odgovornimi za posamezne postopke, učinkovitost sistema ob uporabi alternativnih zmogljivosti, sisteme obveščanja. Testiranje je možno izpeljati s preigravanjem scenarijev v obliki delavnic ali pa prek izvajanja simulacij. 4.7 Informiranje in usposabljanje osebja v smeri organizacijske in varnostne kulture ter poslovne etike Načrt neprekinjenega poslovanja zagotavlja pripravljenost na možne izredne dogodke, z njim pa morajo biti seznanjeni vsi zaposleni in zunanji sodelavci ter izvajalci oziroma najpomembnejši partnerji. Usposabljanje skupine za neprekinjeno poslovanje dopolnjuje testiranje načrta. Oblikovati je potrebno tudi programe usposabljanja novih članov skupine za neprekinjeno poslovanje. Cilj usposabljanja je, da so zaposleni in zunanji izvajalci usposobljeni tako, da ob morebitni prekinitvi poslovanja ne potrebujejo pisnih navodil. Pred načrtovanjem in oblikovanjem delov aktivnosti za osveščanje je nujno, da razumemo, kakšna stopnja osveščenosti že obstaja. Glede na te ugotovitve se permanentno izvajajo izobraževanja z namenom osveščanja o utečenih organizacijskih postopkih za zagotavljanje neprekinjenega poslovanja, kakor tudi o novostih na tem področju. Pri uvajanju sprememb je poleg navduševanja treba povedati, kakšna tveganja prinašaj spremembe in kako jih bo organ/ustanova obvladovala, ključnega pomena pa je tudi spreminjanje vedenja in poslovne etike zaposlenih. 26

33 5 NAČRTOVANJE POSLOVANJA V KRIZNIH RAZMERAH 5.1 Definicija kriznih situacij, kriznih razmer in izrednih razmer Krizna situacija je krajše nevarnostno stanje, ki traja nekaj ur, ali največ nekaj dni (denimo velik požar v ustanovi, izpad delovanja telekomunikacij, nezmožnost za delo večjega dela zaposlenih na pomembnih mestih zaradi zdravstvene ali katere druge oviranosti itd.). Krizne razmere so daljše nevarnostno stanje, ki traja več tednov ali mesecev (denimo naravne nesreče itd.) in lahko preidejo v izredne razmere. Izredne razmere nastopijo takrat, ko se po obsegu in posledicah razraščajo izredna dogajanja in ko najprej nastopi stanje neposredne nevarnosti nastanka izrednih razmer. Če se oceni, da so nastale izredne razmere, se razglasi izredno stanje (kadar velika in splošna nevarnost ogroža obstoj države - 92.čl. Ustave RS). 5.2 Definicija, namen in cilj kriznega upravljanja ob nastanku izrednih dogodkov Krizno upravljanje in vodenje lahko opredelimo kot "oblikovanje postopkov, dogovorov in odločitev, ki vplivajo na potek krize, in obsega organizacijo/ustanovo, priprave, ukrepe ter razporeditev virov za njeno obvladovanje". Sistem kriznega upravljanja je tisti del strukture nacionalnega oblastnega sistema oziroma sistema nacionalne varnosti, ki omogoča izvajanje kriznih dejavnosti oziroma dejavnosti kriznega upravljanja v najširšem smislu. Gre za temeljni in najpomembnejši podsistem sistema nacionalne varnosti, ki je odgovoren za pripravo na hitro ukrepanje države in družbe v najrazličnejših krizah ter hitro ukrepanje, ko do krize pride. Sistem povezuje celoten spekter različnih in hkrati med seboj povezanih dimenzij kriznih dejavnosti, kot so obrambno vojaška, zaščitno reševalna, diplomatska, obveščevalna, policijsko-kriminalistična, protiteroristična, varnostno gospodarska, okoljevarstvena, epidemiološka in zdravstvena dejavnost itn., s katerim želita država in družba obvladati sproženo ogrožanje varnosti oziroma krizne razmere. Strukturiranost sistema kriznega upravljanja (predkrizna, krizna in pokrizna) izhaja iz samih faz kriznega upravljanja, ki so: faza zbiranja podatkov in kriznega opozarjanja, faza kriznega načrtovanja, faza neposrednega kriznega odločanja in vodenja kriznih operacij, ter faza pokriznega učenja (Prezelj, 2005:77) kot prikazuje Slika 4: 27

34 ocenjevanje ogrožanja varnosti, interesov in vrednot pokrizno analiziranje krizno opozarjanje SISTEM KRIZNEGA UPRAVLJANJA izvajanje kriznega upravljanja krizno odločanje načrtovanje kriznega upravljanja Slika 4: Fazni mehanizmi kriznega upravljanja 5 (Prezelj, 2005) 5.3 Imenovanje, status, kompetence, vodenje in aktiviranje kriznega štaba Različni izredni dogodki večjega obsega lahko povzročijo organu/ustanovi krizno situacijo, krizno stanje ali krizne razmere oziroma krizo, ki jo lahko opredelimo kot kratkotrajno, neugodno, nezaželeno in kritično stanje, nastalo tako zaradi zunanjih kakor tudi zaradi notranjih vzrokov in neposredno ogroža nadaljnji obstoj in razvoj. Aktivnosti obvladovanja zahtevajo celovit, organiziran ter dosleden pristop in ga vodi preventivni krizni management (vnaprej imenovani krizni štab), ki ima funkcijo načrtovanja in izvajanja ukrepov za pripravljenost, preprečevanje, odzivanje in sanacijo pred, med in po pojavu izrednega dogodka. Krizni štab, ki ga s sklepom imenuje glavni direktor ali predsednik uprave, ima naslednje naloge (Vršec, 2008): - zagotavljanje informacij za vodenje, - postavljanje mehanizmov za zgodnje odkrivanje simptomov krize, - napovedovanje potencialnih katastrof in njihovih možnih posledic, - priprava kriznih scenarijev, - sestavljanje članov kriznega štaba in 5 Fazni mehanizmi sistema kriznega managementa so identificirani kot: sprotno in vnaprejšnje ocenjevanje ogrožanja varnosti in interesov oziroma kriznih dejavnikov (identifikacija grožnje oziroma krize in opredelitev njune vrste); krizno opozarjanje ključnih oseb v državi; krizno odločanje (identifikacija možnih kriznih rešitev, izbira ene izmed možnih rešitev; krizno načrtovanje (načrtovanje izvedbe izbrane krizne rešitve in ocena tveganja oziroma posledic potencialno sprejetih in izvedenih kriznih odločitev; izvajanje kriznih operacij (managementa); in pokrizno analiziranje in vrednotenje. 28

35 - priprava specialistov (informatikov, računalnikarjev in drugih) in tehnoloških sredstev za sodelovanje v kriznem štabu ter strateško načrtovanje aktivnosti za vzpostavljanje v prvotno stanje. Na podlagi ocene stanja ter ocene ranljivosti, ogroženosti in tveganj je potrebno pristopiti k varnostno orientiranemu projektu (izdelavi elaborata) za zagotavljanje neprekinjenosti poslovanja in delovanja organa/ustanove tudi v kriznih razmerah. Krizno načrtovanje lahko členimo na: - načrtovanje neprekinjenega poslovanja, - načrtovanje poslovanja oziroma delovanja ob nesreči, - načrtovanje takojšnjega odziva na nesrečo in - načrtovanje ponovne vzpostavitve poslovnih procesov oz. aktivnosti. 5.4 Pogoji za delovanje kriznega štaba Vodenje kriznega štaba je z organizacijskega, strokovnega in psihofizičnega vidika zahtevno managersko opravilo, ki običajno poteka v razmerah psihološkega pritiska, časovne stiske, pomanjkljivih in nepreverjenih informacij, zasičenosti komunikacij in pritiskov nadrejenih. Zato mora vodstvo vodji kriznega štaba zagotoviti materialne in kadrovske pogoje za delo, posredovati mu mora jasne kompetence in zahtevati odgovornost. Krizni štab ima običajno vodjo (nekdo izmed vodilnih v ustanovi) in pomočnika (vodja službe informatike) ter potrebno število članov (povzeto po Vršec, 2008). 5.5 Vloga centra, službe oddelka ali divizije za informatiko Za učinkovito delovanje posamezne ustanove v kriznih razmerah je v okviru kriznega upravljanja potrebno zagotavljanje neprekinjenega delovanja službe (centra, oddelka) za informatiko na nivoju ustanove same, kakor tudi Podatkovnega sektorja Centra vlade RS za informatiko (v nadaljevanju PDC). Krizni štab potrebuje za hitro in učinkovito delovanje številne informacije. PDC je nosilec, izvajalec in ponudnik storitev na področju ključnih informacijskih sistemov javne uprave. PDC zagotavlja storitve uporabe podatkovnih baz institucij javne uprave ter delovanje in izvajanje obdelav na informacijski infrastrukturi Centra vlade za informatiko (CVI). Poleg tega ima PDC še skrb za varovanje in zaščito podatkov ter nemoteno delovanje informacijskih sistemov javne uprave. PDC je v procesu izdelave Načrta neprekinjenega poslovanja, ki naj bi vseboval tudi Načrt zagotavljanja strateške podpore v izrednih razmerah. 29

36 5.6 Vloga varnostno nadzornega centra Učinkovitost obvladovanja izrednih dogodkov in kriznih situacij je odvisna od zanesljivosti sistema alarmiranja, obveščanja in odzivanja. Ta sistem takoj zazna spremembe in reagira z alarmnim signalom, ki ga sprejme Varnostno nadzorni center (VNC). Sistem obveščanja sestavlja telefonsko, neposredno ustno in pisno obveščanje odgovornih oseb ter zunanjih intervencijskih in vzdrževalnih služb. Najprej sta o vsakem alarmnem sporočilu ali klicu v sili takoj obveščena vodja kriznega štaba, ob njegovi odsotnosti pa kateri od članov štaba. Vsakokrat, ko gre za poškodbe ali uničenje računalniške opreme operater VNC ali tisti, ki prvi zazna izredni dogodek, nemudoma obvesti vzdrževalca te opreme. Ob izrednih dogodkih kriminalne narave, ob grožnji z bombo, ob terorističnem aktu ali ob eksploziji je najprej obveščen Operativno komunikacijski center policijske uprave. 5.7 Formiranje rezervne (sekundarne) lokacije za vodenje državnega organa Optimalna rešitev za vodenje državnega organa v krizni situaciji predstavlja vzpostavitev lastne rezervne lokacije, kjer mora biti med drugim tudi primerno opremljen in varovan prostor za računalniško in informacijsko-komunikacijsko podporo za izvajanje ključnih procesov. Kakor na osnovni lokaciji se morajo tudi na rezervni lokaciji ažurno arhivirati podatki in programi za izvajanje ključnih procesov, dokumentacija, aplikacije, gesla ter stalno posodabljanje računalniške in telekomunikacijske opreme. Ločimo lahko tri nivoje pripravljenosti za delovanje rezervne lokacije: - Rezervna lokacija skoraj brez strojne in programske opreme. V takšnih prostorih je le električna napeljava, klima in priključki za namestitev strojne in programske opreme, shranjene pa so le rezervne kopije baz podatkov. Aktiviranje tovrstne lokacije lahko traja več dni, zlasti če ni na razpolago potrebne opreme. - Rezervna lokacija z minimalno strojno in programsko opreme. Ta lokacija ima običajno že nekaj računalniške in komunikacijske opreme in predstavlja aktivno rezervno lokacijo. Vzpostavitev take lokacije lahko traja tudi nekaj dni. - Rezervna lokacija s popolno (podvojeno) strojno in programsko opremo. Tako urejena lokacija je lahko pripravljena za delovanje v nekaj urah ali celo takoj, ko preneha delovanje na osnovni lokaciji. Če je omogočen elektronski prenos podatkov z osnovne na rezervno lokacijo, je to najboljši način, ki zagotavlja neprekinjeno poslovanje tudi v kriznih razmerah. 30

37 5.8 Izdelava in testiranje kriznega načrta Krizni načrt je sestavni del načrta neprekinjenega poslovanja (glej 4.6) ter določa tehnične in organizacijske ukrepe za ponovno vzpostavitev delovanja ter zmanjšanja posledic hudih motenj poslovanja. Načrtovanje poteka torej v sklopu načrtovanja neprekinjenega poslovanja, ki pa je strukturirano po posameznih področjih. Tako ima Krizni management nalogo načrtovanja obvladovanja incidentov in kriznih situacij. Krizni načrt mora opredeljevati kadrovsko, organizacijsko, informacijsko, tehnično, logistično in varnostno pripravljenost na vodenje poslovanja v kriznih razmerah. Drugi (operativni) nameni, ki jih naj sledi krizni načrt pa so: - informirati zaposlene o ranljivosti in ogroženosti delovnih in poslovnih procesov v globalne, regionalnem in lokalnem okolju ter zagotoviti pripravljenost zaposlenih za delovanje v morebitnih kriznih razmerah, - z imenovanjem in usposobljenostjo kriznega štaba zagotoviti obvladovanje ogroženosti, sprememb in tveganj, - zagotavljati neprekinjeno delovanje komunikacijskih tokov na osnovni in rezervni lokaciji, - vzpodbujati partnerske organizacije/ustanove, da tudi oni vzpostavijo načrt kriznega upravljanja z vključeno rezervno lokacijo, - odzvati se na zakonske zahteve in priporočila kompetentnih državnih institucij, t.j. vlade in ministrstev. Tudi testiranje kriznega načrta je sestavni del testiranja načrta neprekinjenega poslovanja. Gre zlasti za oblike simulacij, ki jih je moč izvesti in testirati. Nato se priporočila in izboljšave vnesejo v načrt, ki je že v osnovi zasnovan tako, da stalno teži k izboljšavam. 5.9 Izdelava in testiranje scenarijev za posamezne izredne dogodke Izdelava scenarijev za konkretne izredne dogodke lahko poteka na osnovi: - analize vplivov na poslovanje, - rezultatov simulacijskega testiranja verjetnih izrednih dogodkov, - lastnih izkušenj po izrednem dogodku, - izkušenj po izrednih dogodkih od drugod - primeri dobrih praks, ki jih navajajo med drugim tudi nekateri mednarodni standardi s področja neprekinjenega poslovanja in obvladovanja kriznih situacij. 31

38 6 DRUŽBENA ODGOVORNOST DRŽAVNIH ORGANOV 6.1 Odgovornost znotraj državnih organov Povzetek iz priporočil CVI za pripravo informacijske varnostne politike (Hajtnik, 2002): V organu javne uprave je treba zagotoviti zaščito vseh njegovih sredstev. V prvi vrsti je zato nujno določiti skrbnika vsakega sredstva (informacijska sredstva; podatkovne baze; programska, strojna in komunikacijska sredstva, ) in stopnjo varnostne zaščite. Varovanje podatkov ima znotraj državnih organov velik pomen, saj gre pri tem za: občutljivost podatka (zaupnost), vrednost podatka (natančnost in popolnost) ter kritičnost podatka, ki določa dostopnost. Podatke lahko razvrstimo tudi v naslednje kategorije: strogo tajno, tajno, zaupno, interno in javno. V organu javne uprave je vsak posameznik odgovoren za informacijsko varnost, zato mora organ javne uprave vsem zaposlenim zagotoviti ustrezno izobraževanje in usposabljanje. "Priporočilo Postopki in odgovornosti Organ javne uprave mora s postopki zagotoviti pravilno in zanesljivo delovanje informacijskega sistema. Opredeliti mora tudi odgovornosti zaposlenih in izdelati natančna navodila za varovanje in zaščito podatkov." 6.2 Odgovornost do medijev in javnosti Obveznost državnih organov, da vsakemu omogočijo dostop do informacij javnega značaja izhaja iz drugega odstavka 39. člena Ustave RS, in sicer: "Vsakdo ima pravico dobiti informacijo javnega značaja, za katero ima v zakonu utemeljen pravni interes, razen v primerih, ki jih določa zakon." Na posameznih področjih je dostopnost do informacij javnega značaja opredeljena z zakoni, npr.: - Zakon o medijih (Ur. l. RS, št.110/2006), - Zakon o arhivskem gradivu in arhivih (Ur. l. RS, št.30/2006), - Zakon o tajnih podatkih (Ur. l. RS, št.87/01), - Zakon o varstvu osebnih podatkov (Ur. l. RS, št.86/04), - Zakon o dostopu do informacij javnega značaja (Ur. l. RS, št.51/06). Pojem Katalog informacij javnega značaja je opredeljen v 8. členu Zakona o dostopu do informacij javnega značaja: 32

39 "(1)Vsak organ je dolžan redno vzdrževati in na primeren način javno objavljati (uradno glasilo organa, svetovni splet, ipd.) ter dati na vpogled prosilcu po vsebinskih sklopih urejen katalog informacij javnega značaja, s katerimi razpolaga. (2) Ministrstvo je dolžno redno vzdrževati in na svetovnem spletu javno objavljati državni katalog informacij javnega značaja, ki združuje informacije iz posameznih katalogov iz prejšnjega odstavka." 33

40 7 VLOGA DIREKTORATA ZA e UPRAVO PRI ZAGOTAVLJANJU NEPREKINJENEGA POSLOVANJA DRŽAVNIH ORGANOV 7.1 Razvoj, organizacijska struktura in naloge Direktorata za e- upravo in upravne procese Od leta 1993 do 2004 je bil Center Vlade RS za informatiko (CVI) kot vladna služba, neposredno odgovorna Vladi RS in zadolžena za informatizacijo državnih organov. Poslanstvo CVI je bilo planiranje, uvajanje in zagotavljanje delovanja sistema elektronskega poslovanja javne uprave, temelječ na enotni podatkovno-komunikacijski infrastrukturi, na enotnih informacijskih podsistemih za skupne funkcije uprave, odprtih in povezanih z drugimi informacijskimi sistemi znotraj uprave do podjetij, državljanov, institucij doma in tujini. Leta 2005 so naloge CVI prenesene v nov Direktorat za e- upravo in upravne proces znotraj Ministrstva za javno upravo (MJU). Organizacijska struktura znotraj Direktorata za e-upravo in upravne procese je prikazana na Sliki 5: Sektor za boljše predpise in upravne procese Oddelek za odpravo administrativnih ovir Sektor za podporo uporabnikom Direktorat za e-upravo in upravne procese Sektor za centralno informacijsko infrastrukturo Sektor za razvoj elektronskih storitev (SRES) Oddelek Podatkovni center Oddelek za sistemsko administracijo in aplikativno podporo Oddelek za sporočilne in identifikacijske sisteme Sektor za telekomunikacijsko in lokalno infrastrukturo Oddelek za telekomunikacijsko infrastrukturo (OTkI) Oddelek za lokalno informacijsko infrastrukturo (OLI) Slika 5: Organizacijska struktura Direktorata za e-upravo in upravne procese 34

41 Direktorat izvaja naloge na naslednjih področjih: - vodenje in koordinacija strategije razvoja e-poslovanja v javni upravi in priprava ter izvajanje akcijskega načrta; - spremljanje svetovnega razvoja informacijske infrastrukture in pripravljanje usmeritev in standardov iz svojega področja dela; - koordinacija državne uprave pri uresničevanju programa za odpravo administrativnih ovir in metodologije za izpolnjevanje in spremljanje izjave o odpravi administrativnih ovir in sodelovanju zainteresirane javnosti; - prenova upravnih procesov in pospeševanja razvoja e-uprave s ciljem približevanja storitev državljanom in gospodarstvu; - izboljševanje elektronske podpore med subjekti v javni upravi in izven nje z uporabo sodobne informacijsko-komunikacijske tehnologije; - zagotavljanje povezljivosti registrov in integracija podatkovnih virov z informacijsko podporo procesom; - razvoj principov boljše zakonodaje in metodologije za izvajanje presoje učinkov v okviru državne uprave; - strokovne in svetovalne naloge v zvezi z razvojem sistema učinkovitosti in kakovosti javnega sektorja; - priprava načrta nabav investicijske opreme; - izvajanje strokovnih in usklajevalnih nalog pri sodelovanju ministrstva v mednarodnih okvirih; - spremljanje in analiziranje ter vodenje in koordiniranje mednarodnih aktivnosti z vsebinskih področij ministrstva; - izvajanje strokovnih in usklajevalnih nalog pri pripravah mednarodnih dokumentov in strategij; - sodelovanje pri pripravi razpisne dokumentacije za javna naročila s področja dela, sodelovanje v komisijah za javna naročila ter pri javnih razpisih drugih državnih organov; - skrb za informacijsko in komunikacijsko infrastrukturo ministrstva; - skrb za razvoj, nemoteno delovanje in vzdrževanje aplikativnih sistemov državnih organov na informacijski in komunikacijski infrastrukturi ministrstva; - skrb za računalniško infrastrukturo s področja dela in izvajanje podpore uporabnikom. 35

42 7.2 Strategija razvoja elektronskega poslovanja ter izmenjave podatkov iz uradnih evidenc (SREP) Zakonske podlage SREP V skladu z Zakonom o državni upravi (ZDU-1) (Ur.l. RS, št. 52/2002, spremembe: Ur.l. RS, št. 56/2003, 83/2003-UPB1, 45/2004-ZdZPKG, 61/2004, 97/2004-UPB2, 123/2004, 24/2005-UPB3, 93/2005, 113/2005-UPB4, 126/2007-ZUP-E) ministrstvo, pristojno za upravo, zagotavlja centralno informacijsko komunikacijsko infrastrukturo za elektronsko poslovanje državnih organov, javnih agencij, organov samoupravnih lokalnih skupnosti in izvajalcev javnih pooblastil, razen namenske infrastrukture za namene zunanjih zadev, varnosti in obrambe države, varstva pred naravnimi in drugimi nesrečami ter potreb varnosti zračnega prometa. Centralna informacijsko komunikacijska infrastruktura mora zlasti zagotavljati nemoteno elektronsko poslovanje organov med seboj in s strankami ter omogočati elektronske storitve v upravnih, sodnih in drugih uradnih postopkih. Ministrstvo, pristojno za upravo, za potrebe državnih organov, javnih agencij, organov samoupravnih lokalnih skupnosti in izvajalcev javnih pooblastil zagotavlja delovanje enotnega državnega portala e-uprava in centralnega sistema za sprejem vlog, vročanje in obveščanje. Enotni državni portal e-uprava je enotna vstopna točka za elektronsko posredovanje informacij javnega značaja in elektronske upravne, sodne in druge uradne ter druge javne storitve. Centralni informacijski sistem za sprejem vlog, vročanje in obveščanje zagotavlja enoten sprejem elektronskih vlog in identifikacijo strank v upravnih, sodnih in drugih postopkih, elektronsko obveščanje strank, elektronsko izmenjavo podatkov med organi ter organi in strankami, elektronski vpogled v spise, potek postopka in dejanja v teh postopkih ter elektronsko vročanje dokumentov v teh postopkih. Ministrstvo, pristojno za upravo, za potrebe državnih organov, javnih agencij, organov samoupravnih lokalnih skupnosti in izvajalcev javnih pooblastil, razen namenske infrastrukture za namene zunanjih zadev, varnosti in obrambe države, varstva pred naravnimi in drugimi nesrečami ter potreb varnosti zračnega prometa, zagotavlja delovanje komunikacijskega omrežja javne uprave in enotnega kontaktnega centra kot enotne vstopne točke za telefonsko posredovanje informacij javnega značaja in telefonske upravne, sodne in druge uradne ter druge javne storitve. 36

43 Uresničevanje strategije je povezano še z naslednjimi zakoni ter spremembe le teh: - Zakon o elektronskem poslovanju in elektronskem podpisu (ZEPEP) (Ur.l. RS, št. 57/2000), - Zakon o elektronskih komunikacijah, Ur. l. RS, št. 43/ Zakon o pogojnem dostopu do zaščitenih elektronskih storitev, Ur. l. RS, št. 43/ Zakon o splošnem upravnem postopku (ZUP) (Ur.l. RS, št. 80/1999), - Zakon o dostopu do informacij javnega značaja (ZDIJZ) (Ur.l. RS, št. 24/2003) Horizontalne funkcije poslovanja javne uprave Izhodišče SREP za doseganje uravnoteženega razvoja elektronskega poslovanja v javni upravi je prenos rešitev in dobrih praks, ki so nastale na področju e-uprave, na druga področja elektronskega poslovanja v javni upravi. Slika v nadaljevanju (Slika 6) prikazuje horizontalne funkcije elektronskega poslovanja javne uprave, ki predstavljajo okvir za prenos rešitev in dobrih praks. Strateško upravljanje e-poslovanja javne uprave (določitev SREP in meril za določanje potreb po projektih in sodelovanje s področjem informacijske družbe). Programsko projektna koordinacija: Izvajanje SREP preko Akcijskega načrta e-uprave; nadzor in evalvacija projektov; programsko projektna pisarna. Poročanje za proračun za področje informacijsko-komunikacijske tehnologije(ikt). Skupna javna naročila s področja IkT. Skupne metodologije in politike: Politika e-vključenosti in e-sodelovanja; enotna arhitektura; razvoj informacijske varnosti in informacijsko varnostna politika. Skupne storitve: Kontaktni center; enotna vstopna točka; podpora in svetovanje s področja elektronskega poslovanja. Skupni predstavitveni del: Portal e-uprava, Portal: portal e-demokracija; portal za starejše; portal za otroke. Skupne aplikacijske rešitve: pisarniško poslovanje; podpora odpravi administrativnih ovir; zakonodajni postopek. Skupni in centralni gradniki: e-plačila; e-hramba; e-vročanje; elektronske storitve javne uprave, enotna prijava; dostop do registrov; e-podpis in overjanje. Skupna centralna infrastruktura: Podatkovni center (PDC); hitro komunikacijsko omrežje v državni upravi (HKOM); certification authotity (CA); time stamping authority(ta); nadomestni informacijski center (NIC); e-pošta; internet; IP telefonija; skupni strežniki. Slika 6: Funkcije elektronskega poslovanja javne uprave (SREP, 2009) 37

44 Elektronsko poslovanje javne uprave se bo razvijalo v skladu z direktivami in politikami EU, s čimer bo dosežena primerljivost in vedno bolj pomembna interoperabilnost med državami Skupna centralna infrastruktura Ministrstvo za javno upravo upravlja z največjim računskim centrom in največjim komunikacijskim omrežjem v Sloveniji. Skupna centralna infrastruktura se deli na več podpodročij, ki so opisani v nadaljevanju: 1. Podatkovni center (PDC), nadomestni informacijski center (NIC) in storitve gostovanja na skupni strežniški infrastrukturi: Kapacitete visoko zmogljivih centralnih računalnikov, nameščenih na primarni in sekundarni lokaciji (PDC in NIC), izkoriščajo informacijski sistemi državotvornih registrov Ministrstva za notranje zadeve in informacijski sistemi Carinske uprave RS. Poleg centralnih računalnikov ima Ministrstvo za javno upravo v upravljanju skupno strežniško infrastrukturo, ki se deli na več namenskih standardiziranih tehnoloških otokov: - gruče splet za gostovanje odprtokodnih aplikacij in spletišč, - spletna mesta vladnih uradov, ministrstev in organov v sestavi Typo3, - strežniška infrastruktura e-uprave za področje portala e-uprave in povezanih sistemov, - strežniška infrastruktura Lotus Notes Domino za centralne dokumentne Domino aplikacije in za hrbtenico LN elektronske pošte; 2. Komunikacijsko omrežje državnih organov HKOM in storitve dostopa do interneta, omrežij EU: Omrežje HKOM, prostrano računalniško omrežje, skupno komunikacijsko omrežje državnih organov Republike Slovenije, s katerim upravlja MJU, je v velikem delu prenovljeno (v smislu prenosnih kapacitet podatkovnih povezav ter komunikacijske opreme). Znotraj omrežja se zagotavljajo vsi potrebni komunikacijski servisi, kot so: - povezave v internet, - povezave v evropska omrežja, - storitve daljinskega in mobilnega dostopa, - storitve zagotavljanja komunikacijske varnosti (požarne pregrade, zaščita pred nezaželeno e-pošto, IDS/IPS-odkrivanje in preprečevanje vdorov), 38

45 - storitve povezljivosti in transporta za potrebe PDC in NIC ter sektorskih projektov; 3. Infrastruktura javnih ključev (PKI): Ministrstvo za javno upravo v okviru Sektorja za informacijsko in komunikacijsko infrastrukturo Direktorata za e-upravo in upravne procese zagotavlja infrastrukturo kvalificiranih digitalnih potrdil za fizične osebe, poslovne subjekte, zaposlene v državni upravi ter za potrebe biometričnih potnih listin. Poleg agencij za izdajo kvalificiranih digitalnih potrdil ter pripadajočih prijavnih služb se zagotavljajo tudi storitve časovnega žigosanja (CA*TSA) za večje in zahtevnejše sisteme ter sistem storitev prevajanja iz digitalne v registrsko identiteto (servis prevajalne tabele) za potrebe aplikacij in modulov e- uprave; 4. IP-telefonija: Prenovljeno omrežje HKOM je mogoče uporabiti tudi za prenos govora. MJU namerava posodobiti obstoječo infrastrukturo fiksne telefonije z najemom oziroma nakupom nove infrastrukture za prenos govora za celotno državno upravo. Izhodišča za prenovo so: - izkoriščanje obstoječih podatkovnih povezav omrežja HKOM, - lokalno zaključevanje klicev znotraj državne uprave, - konvergenca prenosa podatkov in govora; 5. Prostorska podatkovna infrastruktura: MJU v sodelovanju z Geodetsko upravo RS ter drugimi nosilci podatkov na enem mestu zagotavlja osnovne referenčne podatke o prostoru ter nepremičninah. Podatki so z uporabo standardnih storitev na voljo uporabnikom v javnem sektorju Posodabljanje IKT in usposabljanje zaposlenih Skupne nabave in vzdrževanje na področju informacijske tehnologije vodi MJU skozi krovne postopke za javna naročila (okvirni sporazumi) na področjih informacijske tehnologije, kjer je to smiselno. MJU na podlagi sklepov Vlade RS izvaja skupna javna naročila na področju IKT, ki so obvezujoča za vse organe. Pri izvajanju postopkov javnega naročanja za potrebe nadgradenj in vzdrževanja IKT se upošteva gospodarnost (skupni stroški lastništva) glede na obstoječo IKT. Zaposleni v javni upravi se morajo dejavno vključevati v mednarodne projekte elektronskega poslovanja, kjer izmenjujejo dobre prakse, hkrati pa pridobivajo tudi izkušnje in znanja na tem področju. 39

46 V Sloveniji obstajajo inovativne rešitve, prototipi in raziskave, ki jih je mogoče prenesti v elektronsko poslovanje javne uprave. To možnost izkoriščajo z okrepitvijo sodelovanja med razvojnimi organizacijami, fakultetami in javno upravo. Slovenija je dosegla dobre rezultate na področju elektronskega poslovanja javne uprave, kar ji daje priložnost za prenos rešitev in izkušenj v druge države članice EU ali države kandidatke. V ta namen se vzpostavljajo ustrezne povezave z vključevanjem v mednarodne projekte. V okviru Akcijskega načrta e-uprave do leta 2010 je MJU oblikovalo naslednje smernice za usposabljanje zaposlenih: - 1 krat letno organizacija brezplačnih tečajev za uporabo storitev e-uprave za splošno javnost, - 1 krat letno usposabljanje vodij projektov in strokovnjakov, ki sodelujejo pri razvoju e-uprave, - 1 krat letno usposabljanje zaposlenih v JU za delo z e-upravo, - zagotoviti možnost samousposabljanja za uporabnike e-uprave preko spletnega tečaja na portalu e-uprave. 7.3 Upravljanje varovanja informacij po informacijskih standardih Časovni razvoj in zakonodaja CVI je imel v času svojega obstoja varnostno politiko, ki je v celoti temeljila na takrat veljavnem standardu ISO (danes je to ISO 27001). Vlada RS je leta 2002 sprejela sklep, da morajo vsi organi javne uprave pripraviti svoje varnostne politike s pomočjo Priporočil za pripravo varnostne politike, ki jih je takrat izdelal CVI. To tudi določa Uredba o upravnem poslovanju v 80. členu (Ur. l. RS, št. 20/05): "(Informacijska varnost) (1) Organ mora predpisati svojo varnostno politiko in postopke ter vzpostaviti sistem upravljanja z informacijsko varnostjo, v skladu s priporočili ministrstva, pristojnega za javno upravo, ter zahtevami in priporočili, ki jih določa nacionalni varnostni organ ali vsaj izvajati nujne ukrepe informacijske varnosti v skladu s temi priporočili. (2) Vsi javni uslužbenci morajo skrbeti za informacijsko varnost, upoštevati navodila za uporabo in varnost ter po svojih najboljših močeh varovati podatke in nosilce oziroma opremo za delo s temi podatki." 40

47 Zakonodaja v Sloveniji ne predpisuje upravljanja varovanja informacij po katerem od standardov informacijske varnosti. Od leta 2005 dalje poskuša javna uprava in drugi državni organi slediti smernicam zlasti standarda ISO BS 17799, da bi delovali čim bolj skladno s predpisano zakonodajo in uredbami. Preostala zakonodaja, ki neposredno ali posredno določa merila informacijske varnosti: - Uredba o upravnem poslovanju (Ur.l. RS, št. 20/2005) - Zakon o varstvu osebnih podatkov ZVOP-1 (Ur.l. RS, št. 86/2004) - Zakon o splošnem upravnem postopku ZUP (Ur.l. RS, št. 80/1999, 70/2000, 52/2002, 73/2004) - Zakon o elektronskih komunikacijah (ZEKom) (Ur.l. RS, št. 43/2004, 86/2004) - Zakon o elektronskem poslovanju in elektronskem podpisu, ZEPEP (Ur.l. RS, št. 57/00, 30/2001, 25/2004, 98/2004); - Uredba o pogojih za elektronsko poslovanje in elektronsko podpisovanje (Ur.l. RS, št. 77/2000, 2/2001) - Kazenski zakonik - KZ (Ur.l. RS, št. 63/1994, 70/1994, 23/1999, 95/2004) - Zakon o javnih uslužbencih, ZJU (Ur.l. RS, št. 56/2002, 110/2002, 2/2004, 10/2004, 23/2005) Možni pristopi za uporabo standardov informacijske varnosti Kateri bi lahko bili pozitivni rezultati implementacije standarda: - standard predstavlja model učinkovitega Sistema za upravljanje varovanja informacij (SUVI), - določa zahteve za vpeljavo varnostnih kontrol, - v skladu z ISO 9001 in ISO podpira celovito vpeljavo in izvedbo s povezanimi standardi za upravljanje - je osnova za pridobitev certifikata. Standardi za upravljanje informacijske varnosti imajo podobne pristope (Slika 7) in bi ga lahko uporabili tudi in zlasti državni organi. Vsem je nekako skupno poglobljeno načrtovanje, ki določi, kateri informacijski viri spadajo v sistem upravljanja informacij, analizo vrzeli, oceno varnostnega tveganja, testiranje učinkovitosti ter ugotavljanje skladnosti s standardom (certificiranje). 41

48 Obseg SUVI v državnem organu Analiza vrzeli Akcijski načrt Register inf. varnosti Ocena tveganja Skladnost (certifikat) Program za izboljšanje varnosti Politike, procedure in kontrole Končen pregled presoja oz. presoja Začetna izjava o uporabnosti Končna izjava o uporabnosti Slika 7: Splošni model uporaba standarda za SUVI (Hajtnik, 2005) 7.4 Zagotavljanje neprekinjenega poslovanja državnih organov po standardih za upravljanje neprekinjenega poslovanja, vključno s kriznim načrtom Leta 2002 je CVI opravil vrsto analiz s pomočjo zunanjih strokovnjakov in potem na podlagi le teh pripravil priporočila "Priporočila za pripravo informacijske varnostne politike", ki pa temeljijo na standardih ISO in BS 7799, iz katerih se je razvil standard ISO in ISO Dokument vsebuje tudi Načrtovanje neprekinjenega poslovanja (NNP) z obrazložitvami, primerom tveganja in ustreznimi alternativnimi ukrepi. Povzetek priporočil za načrtovanje neprekinjenega poslovanja je v Prilogi. Ministrstvo za javno upravo navaja znotraj Strategije razvoja elektronskega poslovanja naslednje: "Pri razvoju elektronskega poslovanja bodo vsebinski nosilci pripravili načrte neprekinjenega poslovanja za svoje procese. MJU bo zagotavljal izvajanje načrtov neprekinjenega poslovanja za kritično informacijsko infrastrukturo ter ostale načrte skladno z oceno ogroženosti." Slovenska zakonodaja se v nobenem delu ne sklicuje na standarde za upravljanje neprekinjenega poslovanja, torej tudi ne na standard BS in BS Kljub temu pa zakonske regulative s področja informacijske varnosti prispevajo k boljšemu stanju pri zagotavljanju neprekinjenega poslovanja državnih organov. 42

49 V splošnem je upravljanje neprekinjenega poslovanja in krizni načrt predpisan za: 1. Finančni sektor - Banke 6 : 187. člen - krizni načrt in načrt neprekinjenega poslovanja Banka mora izdelati krizni načrt in načrt neprekinjenega poslovanja, ki zagotavlja ustrezne pogoje, da tudi ob nastopu hudih poslovnih motenj nadaljuje s poslovanjem in da se ustrezno omejijo izgube banke zaradi teh motenj. - Borze 7, - Centralna klirinško depotna družba 7, - Agencija za trg vrednostnih papirjev Javne službe 9 Vlagatelj mora imeti na razpolago najmanj naslednjo opremo: (2) programsko in strojno opremo za postavitev sistema izdajanja licenc, posameznih izvodov licenc in dovolilnic za potrebe izvajanja upravnih nalog ter izdelan postopek in sredstva za obnovitev poslovanja v 48 urah po nesreči oziroma razpadu sistema, ki vključuje varno shranjevanje kopiranih podatkov in postopke za obnovitev funkcionalnih podatkov, katere mora vlagatelj navesti v načrtu neprekinjenega poslovanja; 3. Telekomunikacijski sektor 10 Vsak operater mora izdelati načrt za neprekinjeno poslovanje (Business Continuity Plan) in načrt za ponovno vzpostavitev (Disaster Recovery Plan). 4. Javno upravo 11 Oseba, ki zajema ali hrani gradivo, mora imeti pripravljen načrt neprekinjenega poslovanja v skladu s poslanstvom organizacije (izvaja hrambo le zase ali tudi za druge) ter obsegom in kritičnostjo gradiv v hrambi. 6 Zakon o bančništvu (Ur.l. RS, št. 131/2006) 7 Zakon o trgu finančnih instrumentov (Ur.l. RS št.67/07) 8 Zakon o investicijskih skladih in družbah za upravljanje (Ur.l. RS, št. 26/05) 9 Zakon o prevozih v cestnem prometu (Ur.l. RS, št. 131/06) 10 Zakon o elektronskih komunikacijah (Ur.l. RS, št. 13/2007) 11 Enotne Tehnološke Zahteve 1.0 ( , Arhiv RS) 43

50 8 VLOGA VARNOSTNO NADZORNIH CENTROV V INFORMACIJSKO-KOMUNIKACIJSKEM SISTEMU DRŽAVNIH ORGANOV 8.1 Lastni ali pogodbeno najeti VNC Zakon o zasebnem varovanju (59. člen; Ur. l. RS št. 102/07) določa pravne okvirje za organiziranje službe varovanja, med drugimi tudi za državne organe, in sicer: "(1) Na predlog ministrstva, pristojnega za posamezno področje, Vlada z uredbo določi gospodarske družbe, samostojne podjetnike posameznike, zavode, državne organe in organizacije, ki morajo organizirati službo varovanja: (4) Zavezanci iz prvega odstavka tega člena organizirajo lastno varnostno službo v skladu z določbami tega zakona, ki urejajo pogoje za pridobitev licence za opravljanje dejavnosti zasebnega varovanja iz 5. člena tega zakona, ali sklenejo pogodbo o varovanju s subjektom iz 3. člena tega zakona in o tem obvestijo ministrstvo, pristojno za notranje zadeve." Vrsto VNC (lastni ali pogodbeni VNC) lahko opredelimo na osnovi Uredbe o obveznem organiziranju službe varovanja, ki jo je izdala Vlada Republike Slovenije: "6. člen (lastna služba varovanja) (1) Lastna služba varovanja ima status samostojne organizacijske enote, ki z vzpostavljenim sistemom varovanja, na podlagi načrta varovanja, 24 ur na dan vse dni v letu, zagotavlja varnost ljudi in premoženja pri zavezancu oziroma za čas varovanja oziroma ogroženosti. (2) Notranjo organiziranost lastne službe varovanja določi zavezanec glede na število zaposlenega varnostnega osebja ter glede na vrsto in obseg nalog. 8. člen (pogodbena služba varovanja) (1) Zavezanec lahko namesto lastne službe varovanja, določene v 6. členu te uredbe, zagotovi varovanje tako, da sklene pogodbo z gospodarsko družbo ali s samostojnim podjetnikom posameznikom, ki v skladu z zakonom izvaja storitve zasebnega varovanja (v nadaljnjem besedilu: pogodbena služba varovanja). (2) Pogodbena služba varovanja mora imeti glede na vrsto del, ki jih opravlja, pridobljeno ustrezno licenco in usposobljeno varnostno osebje v skladu z zakonom." V Sloveniji ni splošnega pravila o varovanju ministrstev. Ministrstva so na tem področju avtonomna. Tako imajo Ministrstvo za obrambo, Ministrstvo za notranje zadeve ter 44

51 Ministrstvo za zunanje zadeve lastno varnostno službo, medtem ko si drugi pomagajo z rednimi pogodbeno najetimi varnostnimi službami (Vir: Klasični VNC ali VNC v skladu s standardom BS 5979 Zakon o zasebnem varovanju opredeljuje tudi zahteve v zvezi z varnostno-nadzornimi centri (VNC), ki jih upravljajo varnostna podjetja. 34. člen zakona se sklicuje na standarde Slovenskega inštituta za standardizacijo. Ta je marca 2004 kot slovenski nacionalni standard privzel britanski standard BS 5979:2000, ki opredeljuje pravila ravnanja za sprejemne centre pri sprejemanju signalov iz varnostnih sistemov. Ministrstvo za notranje zadeve je izdalo licence za varnostno-nadzorni center tistim podjetjem, ki imajo VNC usklajen z zahtevami standarda. Ta v okviru Kriznega načrta v točki 8.4 zahteva, da mora imeti VNC za primer izpada delovanja možnost ohranitve nadzora nad varovanimi objekti brez prekinitve v drugem, popolnoma neodvisnem VNC-ju. To zahtevo lahko varnostno podjetje izpolni na štiri načine, in sicer tako, da ima: - dva lastna VNC z licenco, torej dve licenci; - en lasten VNC z licenco in enega pogodbenega z drugim varnostnim podjetjem; - pogodbo s podjetjem, ki ima dva VNC; - pogodbo z dvema varnostnima podjetjema, od katerih ima vsako svoj VNC z licenco. Za ohranitev nadzora nad varovanimi objekti v primeru izpada delovanja enega od VNC skrbijo kompleksni algoritmi, ki omogočijo, da drugi VNC prevzame alarmna sporočila. Primer: Pravilnik o določitvi varnostnih standardov poslovanja sodišč (Ur. l. RS, št. 41/07) navaja med standardi, ki so pomembni za varnost sodišč, standard o varnostno nadzornih centrih BS Nekaj povzetkov s področja Načrtovanje ter Gradnja in oprema po standardu BS : 1. Sprejemni centri so razdeljeni glede na tip alarmnega sistema: - centri I. kategorije, ki upravljajo signale iz sistemov za javljanje požara in/ali socialnih alarmov in/ali iz sistemov CCTV, vendar brez varovanja. - centri II. kategorije, ki upravljajo signale iz sistema za javljanje vloma (SJV) in/ali iz sistemov CCTV z varovanjem, ki zahteva intervencijski odziv. 12 Referenčna oznaka: SIST BS 5979:2005 (sl) - Pravila ravnanja za sprejemne centre pri sprejemu signalov iz varnostnih sistemov 45

52 2. VNC naj bi bil nameščen v kleti oziroma v zgornjem nadstropju. V stavbah, kjer je VNC nameščen v pritličju, bi moral biti dostop do lupine 13 VNC omejen, npr. s fizično zaporo. 3. S telekomunikacijskim operaterjem se je potrebno posvetovati o varnosti telekomunikacijskih storitev in dogovoriti za ustrezno intervencijsko službo. 4. Lupina in vse podporne strukture VNC vi morale biti požarno odporne vsaj eno uro. 5. Konstrukcija vseh vhodov in izhodov bi morala biti robustna in dopuščati nadaljnjo nadgradnjo za zagotavljanje varnosti (opisani so normativi glede materialov, velikosti, debelin ter omejitve dostopa/prehoda). 6. Odprtina za predajo ključa ne sme biti večja od 2dm 2. Med delovnimi območji VNC ter zunanjimi vhodnimi vrati, vmesnim prostorom in odprtino za predajo ključa bi moral biti na voljo govorni komunikacijski sistem. 7. Nadzorna oprema bi morala zagotavljati spremljanje približevanja stavbi, v kateri je nameščen VNC, ter določiti istovetnost obiskovalcev, preden jim dovoli vstopiti v vmesni prostor. 8. Nameščen bi moral biti sistem SJV, vključno z javljalniki, ki zaznajo nasilen napad na lupino, vrata, ustrezne ventilacijske odprtine in odprtine za predajo ključa. Alarmno stanje bi moralo biti preko komunikacijskega sredstva signalizirano policijski postaji ali drugemu VNC, ki izpolnjuje zahteve kategorije II. 9. Na voljo bi morali biti vsaj dve neodvisni sredstvi za odhodno govorno komunikacijo, ki bi bili namenjeni za alarmno komunikacijo in zaprti za dohodne klice. 10. VNC bi moral biti opremljen z opremo za samodejno snemanje vseh dohodnih in odhodnih alarmnih signalov ter govornih in podatkovnih komunikacij, ki so potekale v VNC in iz VNC z vključenimi podatki o času nastanka. 11. Pomožno električno napajanje bi moralo zagotavljati zadostno zmogljivost za neprekinjeno delovanje vse opreme za komunikacije, signaliziranje, nadzorovanje, snemanje, zagotavljanje osnovne ventilacije in osnovne razsvetljave v roku 24 ur ob predbvideni1,5-krat večji porabi od povprečne. 13 Lupina so vsi mejni deli sprejemnega centra, vključno s stenami, tlemi, streho oziroma stropom in z vsemi odprtinami v teh mejnih delih 46

53 8.3 Status, vodenje, potrebna kadrovska zasedba, strokovnost, sistem dela, odgovornost in naloge VNC VNC ima urejen status 14, če ima pridobljeno licenco, ki jo opredeljuje Zakon o zasebnem varovanju (Ur. l. RS, št. 126/03, 102/07): "34. člen (licenca za upravljanje z varnostno-nadzornim centrom) (1) Za pridobitev licence za upravljanje z VNC mora gospodarska družba ali samostojni podjetnik posameznik izpolnjevati naslednje pogoje: imeti za nedoločen čas s polnim delovnim časom zaposleno eno osebo, odgovorno za opravljanje zasebnega varovanja; da ni zadržkov javnega reda za lastnike, zakonite zastopnike, prokuriste in člane nadzornega sveta; da osebe iz prejšnje alineje niso ali niso bile lastniki, zakoniti zastopniki, prokuristi ali člani nadzornega sveta pravne osebe, kateri je bila odvzeta licenca; da za prosilca licence ni bil podan predlog za odvzem ali začasni odvzem licence; imeti za nedoločen čas s polnim delovnim časom zaposlenih najmanj deset operaterjev VNC; biti lastnik prostorov in naprav, ki tvorijo VNC, v višini najmanj 51% lastniškega deleža; izpolnjevati predpisane varnostne standarde s področja delovanja VNC; zagotoviti stalno kontrolo prenosa alarmnih sporočil iz varovanih objektov; zagotoviti stalno komunikacijo z varnostnim osebjem; da je zavarovan za odgovornost za škodo, ki bi lahko nastala pri njegovem delu." "19. člen (odgovorna oseba) Oseba, ki je pri imetniku licence odgovorna za opravljanje zasebnega varovanja (v nadaljnjem besedilu: varnostni menedžer) mora izpolnjevati naslednje pogoje: da opravi program strokovnega izobraževanja; da ima nacionalno poklicno kvalifikacijo varnostni menedžer oziroma varnostna menedžerka; da ni zadržkov javnega reda; da je državljan Republike Slovenije; da ima splošno zdravstveno zmožnost; da aktivno obvlada slovenski jezik; da ima najmanj pet let delovnih izkušenj. 14 Kadrovsko stalno zaseden sprejemni center, kamor prihajajo informacije o stanju enega ali več alarmnih sistemov. 47

54 "23. člen (operater VNC) Oseba, ki pri imetniku licence upravlja s tehničnimi sredstvi in napravami v varnostnonadzornem centru, mora izpolnjevati naslednje pogoje: da opravi program strokovnega izobraževanja; da ima nacionalno poklicno kvalifikacijo operater VNC oziroma operaterka VNC; da ni zadržkov javnega reda; da je državljan Republike Slovenije; da ima splošno zdravstveno zmožnost; da aktivno obvlada slovenski jezik." Alarmni sprejemni center opravlja različne sklope nalog, od katerih so najpomembnejše: - sprejem, informacijska obdelava, prikaz in arhiviranje prispelih alarmnih sporočil z varovanih objektov in s tem zagotavljanje stalnega nadzora, - sistematičen nadzor nad vsemi prispelimi alarmnimi sporočili, - operativno vodenje intervencijskih ekip na terenu, - nadzor gibanja posebnih ekip za varovan prevoz denarja ali drugih dragocenosti, - obveščanje in koordinacija operativnih ukrepov z drugimi varnostnimi podjetji in državnimi organi (policija, gasilci ter različne reševalne službe), - zagotavljanje stalnega informiranja naročnikov varnostnih storitev, - reševanje varnostne problematike varnostnikov in serviserjev alarmne tehnike na terenu. Za delovanje VNC mora veljati še naslednje (po BS 5979): 1. Vsi zaposleni morajo biti izkušeni in seznanjeni z nivojem varovanja, ki ga opravljajo. 2. Obstajati mora pisni dokument za dovoljen vstop in izstop iz centra, ki ga podpiše avtorizirana oseba. 3. Specifični postopki (npr.; čas omejitve/zakasnitve filtriranja alarma, obravnava alarmov) morajo biti določeni s pravilniki. 4. Operaterjem morajo biti na voljo dokumenti za vsak alarmni sistem, ki je povezan z VNC. 5. Vse posnete dohodne in odhodne telefonske komunikacije VNC bi bilo potrebno hraniti vsaj 3 mesece. Odgovorna oseba centra je zadolžena, da se opravljajo revizijski pregledi pravilnosti izvajanja vseh postopkov vsaj vsakih 6 mesecev, poročilo o tem pa se hrani vsaj 3 leta. 48

55 8.4 Upravljanje s fizičnim in tehničnim varovanjem Celoten sistem tehničnega varovanja ima nalogo v prvem koraku predvsem zaznati dogodek, ga nato zanesljivo prenesti preko omrežja in na koncu tudi ustrezno prikazati in arhivirati sprejeto alarmno sporočilo. Večina današnjih alarmnih sporočil se prenaša preko običajnih telefonskih linij. To se izvaja tako, da alarmna centrala na varovani lokaciji po telefonski liniji pokliče nadzorni center ponudnika storitve varovanja in mu šele po vzpostavitvi zveze pošlje alarmno sporočilo. Kadar je telefonska linija iz kakršnih koli razlogov onemogočena (prekinitev oz. druga okvara linije), te zveze ni možno vzpostaviti. V tem primeru ponudnik storitve varovanja o neljubem dogodku ni obveščen in zato varnost na tej lokaciji ni zagotovljena. V takem primeru je najboljše, da je povezava med nadzornim centrom in varovanim objektom pod stalnim nadzorom. Stalni nadzor nad delovanjem linij za prenos alarmnega sporočila (analogna telefonske linija, analogna radijska, digitalna (žična) ISDN in ADSL, digitalna (brezžična) GSM in GPS) je ključnega pomena za učinkovito vlogo VNC in prav v tem se sodobni VNC razlikujejo od predhodnih klasičnih. Sistemi tehničnega varovanja se po svoji funkcionalnosti delijo v naslednje skupine: 1. Sistem protivlomnega varovanja s pomočjo senzorjev odkrivajo gibajoče se objekte (npr. osebe) znotraj varovanega območja na osnovi fizikalnih pojavov: infra-rdeče sevanje (IR), Dopplerjev pojav ultrasoničnega sevanja, vibracije na materialih, prekinitev žarka med sprejemnikom in oddajnikom ter podobno. Signali iz senzorjev se po vodih prenesejo v centralo, kjer se ustrezno ovrednotijo, nato pa posredujejo do signalnih naprav (sirena, telefonski pozivnik, svetlobni signali, itd.) ali preko prenosnega vmesnika na sprejemni center pri varnostni službi. 2. Sistem požarnega varovanja. Senzorji delujejo na principu zaznavanja IR sevanja ali na optični ionizaciji. Informacija o požaru se preko naprav za prenos signala posreduje do sprejemne centrale za javljanje požara, npr. do dežurne gasilske službe. 3. Sistemi televizije zaprtega kroga omogočajo vizualni (slikovni) nadzor nad širšo okolico, arhiviranje dogodkov na različne medije ter zaznavajo gibanje objektov. Osnovni gradniki sistema so naprave za zajemanje video informacij (kamere), naprave za obdelavo video informacij (računalniški sistemi v nadzornih centrih), naprave za arhiviranje video informacij (analogni ali digitalni mediji), naprave za prikaz video informacij (monitorji) ter naprave za prenos video informacij (koaksialni in optični kabli, brezžični (radijski) prenos). 49

56 4. Sistemi kontrole pristopa omejujejo vstop in gibanje po objektih. Zasnovani so na računalniško podprti evidenci prisotnosti oseb, ki se trenutno nahajajo v objektu. Sistemi kontrole vstopa omogočajo selektivni nadzorovan vstop osebam v posamezni prostor, vključno z ustreznimi mehanskimi omejitvami vstopa. 5. Sistemi mehanske zaščite. Sem sodijo vse vrste pregrad (varnostna vrata, varnostna ograja, rešetke, neprebojna stekla, protivlomne folije, ter ustrezno varnostno normirana gradnja preostale infrastrukture). Učinkovitost mehanske zaščite se poveča v kolikor deluje v kombinaciji s senzoriko. 6. Sistemi za detekcijsko merjenje. Sistemi zaznajo uhajanje oz. razlitje nevarnih tekočin in plinov (kurilno olje, zemeljski in naftni plin, CO, ) Poleg opisanih sistemov obstaja še sodobni sistem nadziranja gibanja posebnih vozil s pomočjo GPS identifikacije. Nadzorni center ima stalni nadzor nad mestom vozila, v primeru ogroženosti pa lahko voznik s "panik" tipko sproži alarm, ki ga zaznajo operaterji nadzornega centra, ob tem pa jim je na voljo še spremljanje zvočnega dogajanja v vozilu. Učinkovit sistem tehničnega varovanja s tremi ločenimi segmenti prikazuje Slika 8: alarmni sistem VAROVAN OBJEKT sprejemno oddajna enota alarmnega sistema sistem za prenos alarma prenosno omrežje pot za prenos alarma VARNOSTNO NADZORNI CENTER sprejemno oddajna enota v sprejemnem centru opozorilna oprema Slika 8: Sistem tehničnega varovanja (Fefer, 2008) 50

57 Preverjanje pravilnosti delovanja opreme (po BS 5979) naj bi potekalo: - dnevno za: komunikacijske sprejemnike; opremo za merjenje časa, beleženje in prijavo; vizualne in slišne prikaze alarmnih signalov; vso opremo za dohodne in odhodne komunikacije; - tedensko za: pomožno napajalno opremo in opremo za samodejni preklop; opremo za zasilno razsvetljavo, vključno z ročnimi svetilkami; alarmne sisteme VNC. UPS naprave Računalniška, komunikacijska in ostala elektronska oprema potrebuje kvalitetno električno napajanje, saj so elektronske naprave izpostavljene številnim motnjam, od prenapetosti, do prekinitev električnega napajanja. Za zaščito pred nihanji in prekinitvami v električnem omrežju imajo VNC nameščene UPS 15 -brezprekinitvene napajalnike, ki v primeru prekinitve ali nihanja električne energije napaja električne porabnike iz baterije ali akumulatorja. UPS-i morajo biti opremljeni z ustreznimi vmesniki za priklop na računalniški sistem in programsko opremo, ki omogoča nadzor nad UPS napravo in po potrebi izvede nadzorovano zaustavitev sistema. Tovrstno pomožno napajanje določa tudi standard BS 5979 v poglavju Obvladovanje izrednih dogodkov z alarmno-odzivnim sistemom Učinkovitost obvladovanja izrednih dogodkov in kriznih situacij je odvisna od zanesljivosti sistema alarmiranja, obveščanja in odzivanja (Slika 9). Ta sistem takoj zazna spremembe in reagira s svetlobnim, zvočnim, tihim ali drugim signalom, ki ga sprejme VNC. Odziv na alarmno sporočilo je aktivnost operaterja VNC, ki sprejme alarmno sporočilo in ga takoj posreduje notranjim ali zunanjim odgovornim osebam, intervencijskim službam ali vzdrževalcem računalniške in druge opreme. V okviru integralnega varnostnega sistema in v sklopu alarmnega in odzivnega sistema morajo biti stalno dosegljivi (24 ur na leto vse dni): vodja varnostne službe varnostni manager in vodja službe informatike. Ostale odgovorne osebe in nekateri drugi zaposleni pa morajo biti dosegljivi na način, ki ga določi vodja kriznega štaba glede na trenutno situacijo. V daljših kriznih razmerah se lahko razširi dosegljivost na vse zaposlene. 15 Uninterruptible Power Supply 51

58 VARNOSTNI MANAGER Vodja varnostne službe VODSTVO in operaterji VNC VARNOSTNA SLUŽBA Naloge/kompetence Navodila za delo Poročila - evidence AS Policijska uprava - OKC Odzivanja policije Odzivanje gasilcev IZREDNI DOGODKI Naravne nesreče Požar Eksplozija Grožnja z bombo Kriminalna dejanja vlom, tatvina, idr. Izpad energijske podpore AS AS AS izpad informacijskega sistema in komunikacij VNC Sprejem, arhiviranje in obdelava alarmnih signalov, klicev v sili in video nadzornih posnetkov OCENA STANJA obveščanje Odzivanje reševalcev Odzivanje lastnega varnostnega osebja Varnostniki, gasilci 24 ur vsak dan v letu Odzivanje pogodbenega izvajalca varovanja Vzpostavljanje osnovne lokacije v prvotno stanje Izbrani izvajalci sanacije Detekcija okvar, prekoračenih pritiskov, temperature, koncentracije plinov, nivojev tekočin Odzivanje vzdrževalcev strojne in programske opreme Legenda okrajšav: AS alarmni signal (alarmno sporočilo) VNC varnostno nadzorni center OKC operativno komunikacijski center Policijske uprave Slika 9: Sistem alarmiranja, obveščanja in odzivanja (Vršec, 2009) 52