Kaj mora biti dokumentirano: dokumentacijske obveznosti po ZInfV-1
Zakon o informacijski varnosti zahteva, da zavezane organizacije vzdrževajo obsežno dokumentacijo, ki dokazuje skladnost s pravnimi zahtevami. Dokumentacija ni samo administrativna bremena – je dokaz, da vaša organizacija resno jemlje varnost. Ta članek pojasnjuje, kaj točno se mora dokumentirati in zakaj je vsaka komponenta bistvena.
Ključne točke:
- Dokumentacija je glavna oblika dokazovanja skladnosti – brez nje ni dokazila, da ste izpolnili zakon
- Zakon zahteva: varnostne politike, risk assessment, incident response plan, backup plane, logove in zapise, ter evidence usposabljanja
- Vsaka rubrika mora biti podpisana s strani vodstva in redno pregledana (vsaj letno)
- SI-CERT lahko zahteva dokumentacijo kot del nadzora
- Nepopravljena ali nepopolna dokumentacija je kršitev zakona
- Dokumentacija mora biti dostopna notranjim revizorjem in zunanjim izbirnim organom
Varnostne politike – temelj dokumentacije
Varnostne politike so uradni dokumenti, sprejeti s strani vodstva, ki definirajo, kako se varnost upravlja v organizaciji.
Kaj mora vsebovati varnostna politika
- Varnostni cilji: Kaj želi organizacija doseči z varnostjo
- Področje uporabe: Kateri sistemi, podatki in osebe so zajeti
- Vloge in odgovornosti: Kdo je odgovoren za kaj
- Ključni principi: Načela, po katerih se ravna varnost
- Zakoni in standardi: Navedba, kateri zakoni in standardi se upoštevajo
- Sankcije za neskladnost: Kaj se zgodi, če zaposleni ne spoštuje politike
- Revizija in ažuriranje: Kako pogosto se politika pregleduje in spreminjajoči
Risk assessment – ocena tveganj
Zakon zahteva redno oceno tveganj, ki jo je treba dokumentirati in posodabljati vsaj letno.
Kaj mora vsebovati risk assessment
- Inventar informacijskih sredstev: Popoln seznam vseh sistem, podatkov in aplikacij
- Identifikacija grožnj: Katere grožnje so realne za vašo organizacijo
- Identifikacija ranljivosti: Katera ranljivost obstaja v vašem sistemi
- Ocena verjetnosti: Kako verjetno je, da bo grožnja izkoristila ranljivost
- Ocena posledic: Kakšne bi bile posledice, če se incident zgodi
- Prioritizacija tveganj: Katere tveganja so najbolj kritična
- Akcijski načrt: Kako se bodo tveganja zmanjšala
Incident response plan – plan odziva na incidente
Incident response plan je dokument, ki definira, kako se organizacija odzove na varnostne incidente.
Kaj mora vsebovati plan
- Definicije incidentov: Kaj se šteje za incident in kako se klasificirajo
- Struktura odziva: Kdo je del incident response ekipe in katere so njegove vloge
- Postopec odkrivanja: Kako se incidenti odkrivajo in kdo je prvi obveščen
- Eskalacijski postopec: Kako se incident eskalira od IT ekipe do vodstva in do SI-CERT-a
- Komunikacijski načrt: Kako se komunikacija z strankami in javnostjo izvaja
- Tehnični ukrepi: Kaj se tehnično naredi za zaustavljanje incidenta
- Obnova po incidentu: Kako se sistemi obnovijo
- Post-incident analiza: Kaj se naredi po incidentu
- Testiranje plana: Plan mora biti testiran in vadljiv
Backup in recovery plan – plan varnostne kopije in obnove
Zakon zahteva, da ima vsaka organizacija postopec za varnostne kopije in obnovo podatkov.
Kaj mora biti dokumentirano
- Politika varnostnih kopij: Kako pogosto se delajo varnostne kopije, katere podatke zajemajo
- Pogrešano dkomprehenzivnega: Kaj se zgodi, če podatki izgine – kako se obnovijo
- Arhitektura varnostnih kopij: Kje se varnostne kopije hranijo – fizično oddaljeno
- Dostop do varnostnih kopij: Kdo ima dostop in kako se to nadzira
- Testiranje obnove: Redni testi, da se zagotosi, da je obnova mogoča
- Čas Zastarelo: Kako dolgo se varnostne kopije hranijo
Loggi in zapisi – dokumentacija dejavnosti
Zakon zahteva, da se vzdrževajo zapisi o dejavnostih v sistemi.
Kaj se mora beležiti
- Dostop do sistemov: Kdo se je kdaj prijavi v sistem
- Spremembe podatkov: Kdo je kaj spremenil in kdaj
- Dostop do občutljivih podatkov: Kdo je dostopil do osebnih podatkov in zakaj
- Upravljalske spremembe: Kakšne spremembe so napravljene na sistemih
- Varnostni dogodki: Blokirani poskusi dostopa, detektovani virusi
- Varnostne preglede: Rezultati skeniranja na ranljivost
Kako dolgo se ohranijo loggi?
Zakon zahteva, da se loggi ohranijo vsaj 6 mesecev do 1 leta, odvisno od vrste podatkov. Kritični loggi se morajo hraniti dlje.
Dokumentacija usposabljanja in ozaveščanja
Zakon zahteva, da zaposleni redno prejemajo usposabljanje za varnost.
Kaj se mora dokumentirati
- Program usposabljanja: Kaj se učijo zaposleni in kako pogosto
- Rednost: Kako pogosto se usposabljanje izvaja (vsaj letno)
- Udeležba: Dokumentacija, kdo je prisostvoval usposabljanju
- Rezultati preverjanja: Kako se preverja, da je usposabljanje učinkovito
- Obvestilo o politikah: Dokumentacija, da so zaposleni seznanjeni s varnostnimi politikami
Dokumentacija skladnosti z drugimi zakoni
Če je vaša organizacija zavezana tudi s GDPR ali drugimi zakoni, morate dokumentirati skladnost tudi z njimi:
- Gdpr skladnost (data protection impact assessment, privacy policies)
- Pogodbe s ponudniki (cloud provider pogodbe)
- Certifikati in akreditacije (iso 27001, soc 2 reports)
Kako organizirati dokumentacijo
Dokumentacija mora biti:
- Dostopna: Enostavno jo je najti, ko je potrebna
- Ažurirana: Redno pregledana in spremenjena, ko se kaj spremeni
- Varirana: Dostopna samo pooblaščenim osebam
- Dokazana: Ima datum, avtor in podpis odgovornih oseb
- Arhivirana: Starejše različice se ohranijo
Zaključek in priporočila
Dokumentacija je ključna zaščita vaše organizacije. Priporočila:
- Začnite s temeljnimi dokumenti (varnostne politike, risk assessment)
- Redni pregledi in posodobitve – ne samo enkrat na leto
- Zagotovite, da je vodstvo osebno vključeno
- Testira plane (incident response, backup recovery)
- Zakludurite dokumentacijo za notranje in externe revizije
Potrebujete pomoč pri pripravi dokumentacije za ZInfV-1? Kontaktirajte nas →