Vzorci politik in postopkov po ZInfV-1: praktični exempli za implementacijo
Zakon zahteva, da ima vsaka zavezana organizacija vzpostavljene varnostne politike in postopke. Vendar pa mnoge organizacije ne vedo, kako bi te politike izgledali v praksi ali kako jih implementirati. Ta članek prinaša praktične primere struktur in vsebine politik, ki so potrebne za skladnost.
Ključne točke:
- Politike morajo biti pisane, specifične za vašo organizacijo in podpisane s strani vodstva
- Vsaka politika mora definirati, koga zadeva, kaj je obvezno in kakšne so sankcije
- Zakon zahteva najmanj 6-7 ključnih politik: dostop, zaščita podatkov, incident response, varnostne kopije, usposabljanje in fizična varnost
- Politike se morajo redno pregledavati in posodabljati (vsaj letno)
- Implementacija politike je enako važna kot sama politika
- Dokumentirajte, da so zaposleni seznanjeni s politikami
1. Politika upravljanja dostopa (access control policy)
Ta politika definira, kako se dostop do sistemov in podatkov deli in nadzira.
Minimalni elementi politike
- Princip najmanj privilegija: Zaposleni dobijo dostop samo do potrebnih podatkov in sistemov
- Vloge in odgovornosti: Različne vloge imajo različne pravice dostopa
- Odobritev in avtentifikacija: Kako se dostop odobri, kako se identiteta preverí
- Periodi dostopa: Kako se odpravi dostop, kako se redno pregleda
- Sankcije: Kaj se zgodi, če zaposleni nezakonito pristopa do podatkov
2. Politika zaščite podatkov (data protection policy)
Ta politika definira, kako se podatki zaščitijo med obdelavo, hranjenim in transportom.
Minimalni elementi politike
- Klasifikacija podatkov: Kako se podatki klasificirajo po občutljivosti (javni, interni, zaupni, kritični)
- Zaščita po razredu: Različne ravni zaščite za različne razrede podatkov
- Šifracija: Kako in kdaj se podatki šifrirajo
- Fizična zaščita: Kako se zaščitijo fizični mediji
- Izbrisavanje podatkov: Kako se podatki varno izbrišejo
- Pogovarjanje tretjih strank: Kako se zagotosi, da tudi zunanji izvajalci zaščitijo podatke
3. Politika incident response (incident response plan)
Ta politika definira, kako se odzove na varnostne incidente.
Minimalni elementi politike
- Definicije incidentov: Kaj se šteje za incident
- Klasifikacija: Kako se incidenti klasificirajo po resnosti
- Odkrivanje: Kako se incidenti odkrivajo
- Eskalacija: Kako se incident eskalira
- Odziv: Kaj se tehnično naredi
- Komunikacija: Kako se obvesti stranke in javnost
- Analiza: Kako se analizira, kaj se je zgodi
4. Politika varnostnih kopij in obnove (backup & disaster recovery policy)
Ta politika definira, kako se varnostne kopije delajo in kako se podatki obnovijo v primeru izgube.
Minimalni elementi politike
- Pogostost varnostnih kopij: Kako pogosto se delajo varnostne kopije
- Vrste varnostnih kopij: Polne kopije vs. inkrementalne, lokalne vs. oddaljene
- Shramba: Kje se varnostne kopije hranijo
- Pristojnost dostopa: Kdo ima dostop do varnostnih kopij
- Testiranje: Kako se redno testira obnova
- Čas obnovitve: Koliko časa je potrebno za obnovitev podatkov
- Hranjevanje arhivov: Kako dolgo se varnostne kopije hranijo
5. Politika usposabljanja in ozaveščanja (training & awareness policy)
Ta politika definira, kako se zaposleni usposobijo in ozaveščajo za varnostne grožnje.
Minimalni elementi politike
- Osnovno usposabljanje: Všetki zaposleni dobijo osnovno usposabljanje pri zaposlitvi
- Redna osvežitev: Letno usposabljanje za vse zaposlene
- Specifično usposabljanje: Dodatno usposabljanje glede na vlogo
- Phishing simulacije: Redne simulirane napade
- Dokumentacija: Zapis, kdo je prisostvoval usposabljanju
- Sankcije: Kaj se zgodi, če zaposleni ne opravi usposabljanja
6. Politika fizične varnosti (physical security policy)
Ta politika definira, kako se zaščiti fizičan dostop do sistemov, podatkov in naprav.
Minimalni elementi politike
- Nadzor dostopa do stavbe: Kako se nadzira dostop
- Zaključevanje prostorov: Kako se zaključijo prostori s kritičnimi podatki
- CCTV nadzor: Kako se nadzoruje fizičan dostop
- Zavarovanje naprav: Kako se fizično varujejo naprave in mediji
- Čiščenje in održevanje: Kako se zagotosi, da je brez potrebe nepooblaščenih oseb
- Odpuščanje zaposlenega: Kako se takoj odvzame fizičan dostop
7. Politika upravljanja programske opreme (software management policy)
Ta politika definira, kako se programska oprema posodablja, vzdrževuje in varuje pred ranljivostima.
Minimalni elementi politike
- Posodobitve in zakrpljanje: Kako pogosto se sistemi posodabljajo
- Testiranje: Kako se testira, da posodobitve ne motijo poslovanja
- Zavarovanje pred ranljivostima: Kako se redno skenira na znane ranljivosti
- Licenciranje: Kako se zagotosi, da je visa programska oprema pravilno licencirana
- Nadzor nad aplikacijami: Kako se nadzoruje, katera programska oprema se sme uporabljati
Kako implementirati politike
Politike same ne pomagajo – mora biti pravilna implementacija:
Koraki za implementacijo
- Avtoritativna potrditev: Vodstvo je podpise politike
- Usposabljanje: Zaposleni dobijo usposabljanje o politikah
- Dokumentacija: Zaposleni potrdijo, da so seznanjeni s politikami
- Nadzor: Redna preverjanja, ali se politike res udejanjajo
- Sankcije: Konzistentne sankcije za tiste, ki kršijo politike
- Pravičnost: Sankcije se primerjajo za vse
- Redni pregled: Vsaj letno se politike pregledajo in posodobijo
Zaključek in priporočila
Vzorci politik in postopkov niso samo dokumenti – so orodje za izgradnjo varnostne kulture. SI-CERT pričakuje, da vse politike budu jasno napisane, podpisane i redovno pregledane. Priporočila:
- Začnite s temeljnimi politikami (dostop, zaščita podatkov, incident response)
- Prilagodite politike vašemu specifičnemu kontekstu
- Zagotovite, da je vodstvo osebno angažirano in podpisuje politike
- Redno pregledujte in posodabljajte politike
- Dokumentirajte implementacijo in uspešnost politik
Potrebujete pomoč pri razvoju politik in postopkov za ZInfV-1? Kontaktirajte nas →