Upravljanje imovinom

Cilj – održati odgovarajuću zaštitu organizacijske imovine.

Popis imovine

Organizacija mora biti u stanju identificirati svoju imovinu i njenu relativnu vrijednost i važnost, na temelju čega se određuje razina zaštite. Potrebno je sastaviti i održavati popis važnog inventara u svakom informacijskom sustavu. Svaki dio imovine treba biti jasno definiran, sa dogovorenim i dokumentiranim vlasništvom i sigurnosnim klasifikacijama te mora biti definirana njegova lokacija. Primjeri imovine:
  • informacijska imovina – baze podataka i datoteke s podacima, sistemska dokumentacija, procedure za podršku, planovi oporavka, sporazumi itd.,
  • softverska imovina – aplikacijski softver, sistemski softver,
  • fizička imovina – računalna oprema, komunikacijska oprema, magnetski mediji, ostala tehnička oprema.

Vlasništvo nad imovinom

Cilj – svim vrijednostima organizacije potrebno je odrediti vlasnika. Vlasnik je u ovom slučaju osoba odgovorna za imovinu u smislu sigurnosti (da ne dođe do mijenjanja, otuđivanja imovine itd.), te je dužna poduzeti sve potrebne kontrole kako bi imovina bila sigurna. Vlasnik je također odgovoran za klasifikaciju imovine i dodjeljivanje prava pristupa, uzimajući u obzir i poštujući odrednice politike sigurnosti.

Prihvatljivo korištenje imovine

Cilj – definiranje pravila pravilnog korištenja imovine. Smjernicama politike potrebno je ograničiti prava korištenja imovine u onim slučajevima gdje postoji rizik da se nepažljivim rukovanjem imovina (samim time cijeli informacijski sustav) izloži opasnosti. Ova pravila najčešće uključuju:
  • pravila korištenja elektroničke pošte i Interneta,
  • smjernice za uporabu prijenosnih uređaja, posebno njihova uporaba izvan organizacije.

Klasifikacija informacija

Cilj – osigurati da informacijske vrijednosti dobiju odgovarajuću razinu zaštite. Informacija treba biti klasificirana kako bi se iskazala potreba, prioritet i razina zaštite. Informacije posjeduju različite razine osjetljivosti. Neki predmeti mogu zahtijevati dodatnu zaštitu ili poseban način rukovanja. Sustav klasifikacije treba koristiti kako bi se definirale potrebne razine zaštite i kako bi se iskazala potreba za posebnim mjerama rukovanja.

Smjernice za klasifikaciju

Klasificiranjem informacije zapravo određujemo na koji način koristiti informaciju i kako ju štititi. Klasifikacija se obavlja na temelju:
  • vrijednosti,
  • osjetljivosti,
  • važnosti za organizaciju i
  • zakonodavnih zahtjeva.

Pri klasificiranju potrebno je odrediti broj klasifikacijskih kategorija i koristi koje proizlaze iz njihova korištenja. Previše složene sheme (prevelik broj kategorija) mogu postati „uteg“ pri provedbi sigurnosti, te preteške i neekonomične za korištenje. Vrlo važno je biti oprezan kod interpretacije klasifikacijskih oznaka drugih organizacije, koje mogu imati drugačije definicije za slične ili iste oznake. Odgovornost za definiciju klasifikacije neke informacije i za povremene preglede klasifikacije leži na vlasniku ili tvorcu informacije.

Označavanje i rukovanje informacijama

Cilj – definirati skup procedura za označavanje i rukovanje informacijama, u skladu sa shemom klasifikacije usvojenom od strane organizacije. Te procedure trebaju obuhvatiti informaciju kao imovinu i u fizičkom i u elektroničkom obliku. Za svaku klasifikaciju treba definirati procedure za rukovanje. Procedure za rukovanje trebaju obuhvatiti sljedeće tipove aktivnosti obrade informacija:

  • kopiranje,
  • pohranu,
  • prijenos poštom, faksom ili elektroničkom poštom,
  • prijenos kroz razgovor, uključujući i mobilne telefone, telefonske sekretarice, glasovnu poštu,
  • uništavanje.

Primjena norme u sigurnosnoj politici

Kada govorimo o zaštiti imovine, govorimo o zaštiti vrijednosti koje organizacija posjeduje, bilo da se radi o hardveru, softveru ili nekim drugim vrijednostima. Budući je fakultet institucija kojoj pristup ima mnogo osoba, kako bi sigurnost hardvera i softvera bila na zadovoljavajućoj razini nužno je uspostaviti adekvatne mjere sigurnost. Jedna od takvih mjera je upravljanje imovinom. Ova mjera kontrolira imovinu na način da se za svaku njen dio zna tko je vlasnik, kako je imovina klasificirana, vrsta imovine, postoji li sigurnosna kopija (za softver), lokacija imovine itd. Zašto je to važno? U slučaju gubitka informacijskih vrijednosti, ukoliko nije poznato što je izgubljeno, vrlo je teško vratiti prvobitno stanje. Drugi primjer je napad hakera na informacijski sustav zavoda. Ako ne postoji kontrola imovine, haker može zamijeniti originalni hardver sustava svojim modificiranim hardverom i na taj način otvoriti mogućnost probijanja sigurnosne zaštite. Treći primjer je prekid zaposlenja administratora. Novi administrator više nije u mogućnosti uspostaviti kvalitetnu zaštitu sustava jer je vrijeme adaptacije tada puno duže. Ovi i još mnogi primjeri razlog su važnosti uspostave upravljanja imovinom.

Pri popisu imovine u informacijskom sustavu ZEMRIS, potrebno je sakupiti sljedeće podatke:

  • ID – imovinu je potrebno označiti (ukoliko je riječ o hardveru) jedinstvenom identifikacijskom oznakom koja sadrži specifična obilježja kako ne bi mogla biti krivotvorena,
  • opis – kratak opis imovine (monitor, telefon i sl.),
  • vrsta imovine – da li je riječ o softveru, hardveru ili nekoj drugoj imovini,
  • vlasnik – tko je odgovoran za imovinu, tko ju koristi,
  • klasifikacija – vrijednost imovine okarakterizirano brojem prema klasifikaciji imovine,
  • lokacija – gdje se fizički imovina nalazi,
  • sigurnosna kopija – ako je vrsta imovine softver, gdje se nalazi sigurnosna kopija (ako postoji).

Osim popisa imovine, važno je odrediti prihvatljivo postupanje s imovinom. Prihvatljivo postupanje sprječava da se nestručnim rukovanjem imovinom ugrozi sigurnost informacijskog sustava. Prihvatljivo postupanje uključuje sve postojeće procedure rukovanja softverom, hardverom i ostalom imovinom informacijskog sustava ZEMRIS.

Klasifikacija informacijskih resursa jedna je od sigurnosnih mjera s ciljem označavanja imovine prema vrijednosti, osjetljivosti, važnosti za organizaciju i zakonodavnih zahtjeva. Klasifikacija resursa na je iz razloga što informacijski sustav ZEMRIS sadrži velik broj vrlo povjerljivih podataka (podaci o studentima, računima i sl.), te zbog podataka koji zahtijevaju visoke kriterije sigurnosti (ocjene studenata, ispitna pitanja i sl.).