1 Povzetek
Stacionarne računalniške naprave, ki se priključujejo v informacijski sistem ustanove, odpirajo širok spekter tveganj in pomenijo veliko grožnjo občutljivim informacijam. V kombinaciji z prenosnimi pomnilniškimi napravami (CD, USB ključi) so priročen pripomoček za odnašanje podatkov iz organizacije, kot za vnos škodljive programske opreme.
Ustanova je na ta način izpostavljena tveganjem izgube intelektualne lastnine, osebnih podatkov in drugih kritičnih in dragocenih podatkov. Stacionarne računalniške naprave in na njih shranjeni podatki so izpostavljene različnim vrstam odtujitve. Zaradi vseh omenjenih groženj in tveganj moramo zagotoviti ustrezne postopke in uporabo ustreznih tehnoloških rešitev za varno rabo stacionarnih računalniških naprav. Z upoštevanjem postopkov in z uporabo priporočenih tehnoloških rešitev bomo omejili škodo zaradi škodljive programske opreme, izgube pomembnih podatkov ali intelektualne lastnine.
2 Namen
Namen politike uporabe stacionarnih računalniških naprav je vzpostaviti varnostne mehanizme za uporabo stacionarnih računalniških naprav in neposredno in posredno priključevanje teh naprav v informacijski sistem ustanove. Ta politika izvzema prenosne računalniške naprave, za katere velja Politika uporabe prenosnih računalniških naprav.
3 Področje veljavnosti
Ta politika se nanaša na vse zaposlene, posebno pa na vse tiste zaposlene, ki jim je bila dana v uporabo stacionarna računalniška naprava, ki je last ustanove.
4 Politika
4. 1 Evidenca in nadzor naprav
Ustanova mora pripraviti in vzdrževati evidenco vseh stacionarnih računalniških in pomnilniških naprav, ki se neposredno ali posredno priključujejo na informacijski sistem podjetja.
Evidenca naprav mora vsebovati:
• podatke o vrsti,
• serijski številki,
• skrbniku,
• datumu dobave,
• ime naprave,
• uporabnika naprave in
• lokacijo naprave v ustanovi.
Nadzor uporabe naprav se izvaja redno ali naključno.
4. 2 Varovanje podatkov in informacij
Zaradi uveljavljanja številnih mobilnih pomnilniških naprav, so občutljivi podatki shranjeni na stacionarnih računalniških napravah, vedno bolj izpostavljeni. Tu se pojavi tveganje, da občutljivi podatki in informacije zaidejo v neprave roke. Za zmanjševanje tveganj povezanih z uporabo stacionarnih računalniških naprav moramo upoštevati naslednja navodila:
Občutljivih podatkov ne shranjujmo na prenosne pomnilniške naprave. Če nimamo na voljo alternativnega medija za shranjevanje občutljivih podatkov, moramo podatke pred shranjevanjem na prenosno pomnilniško napravo zavarovati na način, ki onemogoča nepooblaščeni osebi dostop do teh podatkov.
Varnostni mehanizmi, ki jih uporabljamo za varovanje podatkov so:
• požarne pregrade,
• gesla,
• šifriranje podatkov,
• zaklepanje zaslona.
V primeru poškodbe ali uničenja stacionarne računalniške ali pomnilniške naprave, mora uporabnik te naprave le to predati skrbniku strojne in programske opreme, ki poskrbi za popravilo naprave ali njen odpis pri čemer mora poskrbeti, da ne pride do nepooblaščenega dostopa do občutljivih podatkov, ki se morebiti nahajajo na napravi.
4. 3 Upravljanje in vzdrževanje
je pripravila seznam osnovnih zahtev, ki jih morajo izpolnjevati stacionarne računalniške naprave, ki se pojavljajo v okviru informacijskega sistema ustanove. Osnovni vodili za pripravo oz. overitev naprave sta:
• vsaka naprava mora imeti nameščeno in pravilno vzdrževano programsko opremo za zaščito pred zlonamerno programsko opremo,
• obvezne sistemske nastavitve naprav se ne smejo spreminjati brez predhodnega soglasja skrbnika opreme. Skrbniki stacionarnih računalniških naprav morajo poskrbeti za pravočasno nameščanje vseh varnostnih popravkov sistemske in druge programske opreme naprav.
Vse napake, programske ali sistemske, ki jih zasledi uporabnik stacionarnega računalniškega sistema, je potrebno javiti skrbniku strojne in programske opreme. Posege v računalniški sistem lahko opravi le pooblaščena oseba.
Nameščanje kakršnekoli programske opreme je uporabnikom strogo prepovedano. V primeru potrebe po določenem programskem orodju se mora uporabnik stacionarnega računalniškega sistema obrniti na skrbnika programske opreme.
Vsi posegi v računalniške sisteme, ki se priključujejo na omrežje ustanove se morajo evidentirati.
Evidenca mora vsebovati naslednje podatke:
• številko računalniške naprave,
• uporabnika, ki prijavi napako,
• lokacijo računalniške naprave
• opis napake,
• opis popravila in
• datum prijave napake.
4. 4 Dovoljena programska oprema
Dovoljena programska oprema, ki je lahko nameščena na posamezno računalniško napravo je:
• operacijski sistemi Microsoft Windows,
• programski paket Microsoft Office,
• antivirusni program F-secure, ki ga je odobrnilo MIZŠ in
• Acrobat Reader
Ostala programska oprema, nameščena na računalniške sisteme mora biti ustrezno licencirana in potrjena s strani MIZŠ ali skrbnika programske opreme na ustanovi ter nameščena s strani pooblaščene osebe.
4. 5 Dovoljena strojna oprema
Uporabnikom računalniških naprav v okviru omrežja ustnaove je dovoljena samo uporaba strojne opreme, ki je nujno potrebna za delovanje računalniškega sistema.
Priklop kakršne koli dodatne strojne opreme s strani uporabnikov ni dovoljena. V primeru potrebe po dodatni strojni opremi se je obrniti na skrbnika opreme.
4. 6 Fizično varovanje
Uporabniki stacionarnih računalniških naprav morajo poskrbeti, da so te naprave varovane pred nepooblaščenim fizičnim dostopom.
Med uporabo računalniških naprav morajo uporabniki uporabljati načine uporabe in varovala za zaščito pred nepooblaščenim vpogledom v podatke na prikazovalniku.
4.7 Upravljanje politike
Podjetje si pridržuje vse pravice do spreminjanja vsebine te politike. Vse spremembe te politike bodo pred nastopom v veljavo pravočasno objavljene. Vsi, ki se jih ta politika tiče so odgovorni, da se s to politiko seznanijo in poiščejo morebitne dodatne informacije in razlage.
5 Uveljavljanje politike
V primeru, da se ugotovi kršitev določil te politike pri zunanjih izvajalcih storitev, je ugotovljena kršitev lahko vzrok za prekinitev pogodbe o zunanjem izvajanju storitev in/ali tožbo.
RAZLAGA POJMOV
Prenosne pomnilniške naprave Prenosni CD in DVD zapisovalniki, USB pomnilniški ključi in prenosni trdi in gibki diski.
Uporabnik Katerakoli oseba, ki ima dovoljenje za dostop do podatkov in informacij ustanove vključujoč stalno in začasno zaposlene, vse zunanje izvajalce storitev in ostale tretje stranke z dovoljenjem za dostop do podatkov.
Požarna pregrada Kombinacija strojne in programske opreme, ki služi za vzpostavitev varnostnih mehanizmov za nadzor pretoka podatkov med posameznimi omrežnimi segmenti. Požarna pregrada nastopa v različnih oblikah, kot samostojna naprava z namensko programsko opremo, kot programska oprema strežnika, osebnega računalnika ali notesnika.
Zaklepanje zaslona Varnostni mehanizem za skrivanje informacij na prikazovalniku naprave med delovanjem te naprave. Za ponoven dostop do naprave oz. odklepanje zaslona mora uporabnik biti ponovno
overjen. Zaklepanje zaslona se lahko nastavi z nastavitvami
operacijskega sistema naprave ali se po potrebi aktivira ročno.