V sodelovanju z Informatiko, d.
d., je bil pred nedavnim uspešno končan projekt Obnove skupnih varnostnih
politik distribucijskih podjetij.
Projekt, ki je bil dobro voden pomeni mejnik na področju varovanja
informacij v elektrodistribuciji. Varnostne politike elektrodistribucijskih
podjetij opredeljujejo načela, postopke in ukrepe varovanja informacij in
zaščite informacijskega sistema ter njihovih delov.
Projektna skupina je na osnovi že izdelane in v preteklosti oblikovane
skupne varnostne politike izvedla obnovo in za uporabnike sprejemljiv dokument,
ki na poljuden način opredeljuje vsebino varnostih politik.
»Vsa elektrodistribucijska podjetja v Sloveniji so v okviru GIZ
distribucije električne energije prepoznala pomembnost varovanja informacij in
ščitenja njihovih informacijsko komunikacijskih tehnologij (IKT), ki so
namenjene za obdelavo teh informacij,« je povedal vodja projekta Jani Škrbec iz Elektra Ljubljana. Projekt
informacijsko varnostne politike vseh elektrodistribucijskih podjetij je
podrobneje predstavil na lanskem posvetovanju PIES v Portorožu.
IKT potrebno ustrezno zaščiti z
varnostnimi mehanizmi
Po besedah Janija Škrbca učinkovitost izvajanja poslovnih procesov v
podjetju dosežemo tudi s pomočjo uporabljenih informacijskih tehnologij in
njihovih sistemov. Te moramo zaščititi z ustreznimi varnostnimi mehanizmi. Pravilne izbire zaščite se je treba lotiti sistematično, kar dosežemo z
vzpostavitvijo Sistema upravljanja varovanja informacij po standardu ISO/IEC
27001. V začetni fazi vpeljave takega sistema v podjetju je treba izdelati
in sprejeti t. i. Politike varovanja in zaščite podatkov.
»Elektro distribucijska infrastruktura, sodi v pomembno infrastrukturo
v državi, za katero so zadolžena posamezna elektrodistribucijska podjetja.
Upravljanje take infrastrukture že dolgo deluje s pomočjo informacijske podpore
oziroma ustreznih sistemov v procesnem in poslovnem delu. Prav tako so elektro
distribucije predale v razvijanje, upravljanje in izvajanje večji del svojega
informacijskega sistema zunanjemu izvajalcu Informatiki, d. d., ki je v njihovi
večinski lasti. Tako nastaja med temi podjetji in izvajalcem vzajemna
soodvisnost, kar se odraža tudi preko delovne skupine IKT v okviru GIZ distribucije
električne energije,« je povedal Jani Škrbec.
Podjetja EDS razumejo pomen
varovanja informacij
»Ker so uporabljeni informacijski sistemi v distribucijski
infrastrukturi podvrženi varnostnim tveganjem se pojavi potreba po vzpostavitvi
ustreznega nivoja informacijske varnosti. Z uporabo varnostnih mehanizmov
dosegamo ščitenje informacijskih sistemov, vendar je v okolju, kot je
elektrodistribucija, potrebno združiti
tudi različne poglede, ki so lahko drugačni med posameznimi podjetji EDS. Z
uspešno zaključenim projektom Obnove skupnih varnostnih politik podjetij EDS,
so elektrodistribucijska podjetja pokazala in dokazala, da resnično razumejo
namen in pomen varovanja informacij v svojem poslovnem okolju,« je dejal Jani
Škrbec.
Nadalje je pojasnil, da informacijska varnost v elektrodistribucijskih
podjetjih predstavlja varovanje in zaščito poslovnih, zaupnih, osebnih podatkov
ali drugače občutljivih podatkov. Poleg tega vključuje primerno uporabo IKT
opreme oz. sistemov, ki so namenjeni obdelavi (oblikovanju, shranjevanju,
spremljanju in analiziranju) teh podatkov. Elektro distribucije dnevno
prejmejo, ustvarijo, dopolnijo ali spremenijo velike količine podatkov v
različnih oblikah. V primeru nekontroliranega uničenja, poškodbe ali odtujitve
podatkov lahko privedejo do velikanske škode ali celo nepopravljivih posledic.
Elektrodistributerji morajo za obvladovanje tovrstnih tveganj izvajati
ustrezne ukrepe, z jasnimi pravili in navodili glede varovanja podatkov in
zaščite informacijskega sistema in njegovih delov. Z vidika standarda ISO 27001
mora organizacija opredeliti izvajanje informacijske varnostne politike z
vidika njenega poslovanja, izvajanja aktivnosti, uporabljenih informacijskih
sredstev z upoštevanjem zakonsko reguliranih zahtev. S temi politikami naj bodo
seznanjeni zaposleni in ustrezne zunanje stranke na način, ki bo predvidenemu
bralcu ustrezen, dostopen in razumljiv.
Določili obseg informacijske
varnosti v elektrodistribuciji
Projektna skupina (začela je delovati proti koncu leta 2013) je po
besedah Janija Škrbca vseskozi imela celovit vpogled v področje informacijske
varnosti. Hkrati je zagotavljala, da so pri nekaterih politikah morali
nastopati dokumenti, ki so se vključevali v dokumentni sistem vodenja kakovosti
vseh elektrodistribucijskih podjetij in Informatike. Vsa podjetja imajo namreč
vzpostavljen sistem vodenja kakovosti po standardu ISO 9001.
Projektna skupina je na sestankih določila obseg informacijske varnosti
v elektrodistribuciji, kar predstavlja okolje poslovanja (to je
elektrodistribucijska podjetja, njihove hčerinske družbe in Informatiko);
klasifikacijo podatkov (določanje občutljivosti podatkov in njihovo varovanje);
omrežno infrastrukturo, katero uporablja uporabnik IKT opreme; informacijska
sredstva, ki predstavljajo medij, na katerih se nahajajo podatki ali informacije;
fizična sredstva, kjer se nahaja IKT oprema z upoštevanjem varnostnih ukrepov
fizičnega dostopanja do teh prostorov; uporabnike IKT opreme (zaposleni in
zunanji izvajalci); storitve zunanjih izvajalcev, kjer so bile opredeljene
zahteve do pogodbenih izvajalcev na področju varovanja informacij.
Pripravili tudi priročnik o
pomenu varovanja informacij
Nato so, kot je pojasnil Jani Škrbec, izdelali sedemnajst varnostnih
politik in osnutke dokumentov pri nekaterih politikah z namenom, da bi
učvrstili izvajanje zadevne politike v praksi. V zadnji fazi pa so pripravili
priročnik za zaposlene, ki je po ugotovitvah naročnika imel največjo dodano
vrednost pri razumevanju in izvajanju varovanja informacij v okolju
elektrodistribucije.
Priročnik v obliki brošure povzema varnostne politike, s katerimi se
seznani vsakega zaposlenega o pomenu in namenu varovanja informacij,
klasifikaciji (določanju ravni občutljivosti informacije) in ravnanju z
informacijami, pravilni uporabi elektronske pošte in gesel, varnem dostopanju v
infrastrukturo IKT omrežja (upoštevajoč žično in brezžično komunikacijo),
sprejemljivi rabi IKT opreme, izvajanju fizičnega vstopanja (v prostore
podjetja) ter o načinu urejanja odnosov z zunanjimi izvajalci.
Integriteta varovanja
informacij zagotovljena tudi širše
Ker imata dve podjetji iz elektrodistribucije (Elektro Ljubljana in
Elektro Maribor) že vzpostavljen Sistem upravljanja varovanja informacij po
standardu ISO/IEC 27001 je skupina imela v mislih, da se zagotavlja integriteta
varovanja informacij tudi na področju, ki ni neposredno povezan z informacijskim
sistemom.
»To pomeni, da nismo pozabili na poglavje politike, ki opredeljuje
dokumente, ki so lahko v papirnati obliki, imajo določeno stopnjo zaupnosti ali
pomeni poslovno skrivnost. Prav tako nismo izpustili določil nove različice
standarda ISO 27001:2013, ki zahteva zagotavljanje informacijske varnosti za
blažitev tveganj povezanih z dostopom dobavitelja do informacijskih sredstev
podjetja,« je še povedal Jani Škrbec.
Skratka, jasno opredeljene in sprejete zbrane informacijsko varnostne
politike v tem krovnem dokumentu služijo vodstvu, vsem zaposlenim in zunanjim
sodelavcem kot neposreden vir pravil in navodil za učinkovito in varno uporabo
IKT opreme ter varovanja podatkov.