Å tevilka 15, julij 2009 - Carinska uprava Republike Slovenije

More documents

Recommendations

Info

[IZ STROKE] > > > > Informacijska varnost, tveganja in uporabljani standardi Pri vodenju IT, upravljanju z informacijsko varnostjo, ocenjevanju in obvladovanju tveganj so v veliko pomoč standardi in dobre prakse s tega področja, kot so ISO/ IEC 17799 in BS 7799, ki smo jih v CURS privzeli v Izjavi vodstva, Krovni politiki sistema informacijskega varovanja, Informacijski varnostni politiki (IVP) ter v Terminskem planu IVP. Poleg navedenih standardov pa služijo za vodenje IT še druge metodologije in iz njih izvedena orodja IT, med katerimi je treba omeniti ITIL (Information Technology Infrastructure Library) in COBiT (Control Objectives for Information and related Technology). Seveda metodologije in standardi niso dovolj, saj so osnovno gonilo vedno zaposleni v organizaciji (in seveda hkrati tudi v informatiki), njihova znanja, izbrani način upravljanja informacijskih sistemov itd. Za uspešno vodenje informatike, upravljanje z informacijsko varnostjo ter obvladovanje informacijskih tveganj so potrebni dobro izdelani poslovni in strateški načrti informatike, njihova usklajenost, ustrezna organizacijska struktura, kakovostni kadri in znanje. Glavna področja upravljanja informacijskih sistemov Ko so navedeni pogoji izpolnjeni in uravnoteženi, lahko kot glavna področja pri upravljanju z informacijskimi sistemi izpostavimo: ~ upravljanje z informacijskimi viri, ~ ocenjevanje in obvladovanje informacijskih (tudi projektnih) tveganj, ~ merjenje učinkov informatike – vrednotenje. Področja možnih informacijskih tveganj v organizaciji. Če si pogledamo vsako področje malo pobližje, ugotovimo, da zajema upravljanje z informacijskimi viri sklop različnih nalog, vlog, odgovornosti, ciljev, kontrol, ki informatiki in organizaciji omogočajo celovito in učinkovito identifikacijo potrebnih virov, informacij in poslovnih podatkov. Nadalje lahko ovrednotimo pomen tveganj skozi njihov vpliv na CURS in verjetnost, da se neko tveganje pojavi. Potreba po ocenjevanju informacijskih tveganj v informatiki izhaja iz ugotovitve, da je organizacija, v kateri informatika deluje, nenehno izpostavljena številnim spreminjajočim se tveganjem, ki lahko negativno vplivajo na poslovanje ter s tem na doseganje opredeljenih ciljev. Identifikacija, analiziranje in vrednotenje tveganj so aktivnosti, s pomočjo katerih informatika opredeli ter meri vpliv tveganj in s tem lažje določi ustrezne kontrole za upravljanje z ugotovljenimi tveganji. Proces ocenjevanja tveganj je dostikrat nezadosten, saj je zanj predvsem potrebno zagotoviti ustrezno okolje ter opredeliti primerno strategijo za upravljanje z njimi ter si s tem zagotoviti kontrolno ogrodje za njihovo obvladovanje. Vrste informacijskih tveganj in njihovo obvladovanje Tveganja opredelimo s pomočjo različnih skupin tveganj: ~ investicijska, oziroma stroškovna tveganja; ~ tveganja, ki se navezujejo na investicije v informatiko (in ki ne bi izboljšale obstoječega stanja, ciljev); ~ tveganja varnosti oziroma dostopa (tveganja, da bi bile poslovne informacije objavljene, to je dostopne osebam, ki nimajo ustreznih pravic); ~ integritetna tveganja (tveganja, da podatki in informacije ne bi bili zanesljivi, celoviti zaradi nepopolnosti, neažurnosti, nezakonitosti itd.); ~ tveganja ustreznosti (tveganja, povezana z nedostopnostjo pravih, ažurnih informacij, oziroma onemogočanje izvajanja nekaterih aktivnosti); ~ tveganja razpoložljivosti (tveganja za izgubo sistemov oziroma storitev, ki morajo biti razpoložljivi za opravljanje osnovnih procesov organizacije); ~ tveganja infrastrukture (tveganja, da organizacija nima ustrezne infrastrukture, informacijskih sistemov, ki bi ustrezno podpirali poslovanje); 18 │ CARINA.SI
[IZ STROKE] ~ projektna tveganja (tveganja, ki se navezujejo na / ne/uspešnost projektov, /ne/doseganje opredeljenih vrednosti, ciljev zaradi pomanjkanja odgovornosti in neustreznega izvajanja opredeljenih obveznosti). Obvladovanje informacijskih tveganj. Glede na razvoj informatike je obvladovanje tveganj praviloma vpeljano kot stalen proces v vsaki organizaciji, ki sestoji iz načrtovanja, vpeljave, spremljanja in kontroliranja uvedenih dimenzij/kontrol, opredeljenih v varnostni politiki. Ocenjevanje tveganj v informatiki je lahko del širšega procesa celotne organizacije ali samostojen proces, ki se izvaja v točno določenih obdobjih (npr. enkrat na leto oz. na zahtevo) in omogoča prikaz trenutno ugotovljenih tveganj. Obvladovanje informacijskih tveganj je sestavljeno iz treh aktivnosti: identifikacije tveganj, analiziranja tveganj in vrednotenja tveganj. V fazi identifikacije tveganj se identificirajo tveganja, kritične točke, oziroma njihovi deli. Identifikacija tveganj se mora izvajati sistematično, obsežno in kakovostno, tako da lahko identificiramo čim večje število potencialnih tveganj oziroma nevarnosti. Kakovostne informacije, dobro poznavanje organizacije, njenega notranjega in zunanjega okolja ter sodelovanje strokovnjakov z različnih poslovnih področij so zelo pomembni dejavniki, ki lahko pozitivno vplivajo na proces identifikacije tveganj. Analiziranje tveganj je faza, v kateri se doseže razumevanje identificiranih tveganj, med drugim tudi vrste in stopnje tveganj. Te informacije pripomorejo k lažji odločitvi, kako obravnavati posamezna tveganja. Njihovo stopnjo je mogoče opredeliti s pomočjo različnih statističnih analiz ter izračunov v kombinaciji z vplivi in verjetnostmi posameznih tveganj. Poznamo kvalitativno in kvantitativno analizo. Prva izkazuje tveganja s finančnim vrednotenjem na letni ravni, druga pa je bolj subjektivna in obravnava tveganja na posameznem področju – segmentu virov in sredstev. Pri analiziranju tveganj so nam lahko v veliko pomoč pretekle izkušnje, zgodovinski podatki in poročila, standardi, analize, prototipne rešitve in eksperimenti, različni modeli, specialistična in strokovna znanja oziroma nasveti. Vrednotenje tveganj je faza, v kateri se opredelijo tveganja, ki jih moramo ustrezno obravnavati glede na prioriteto tveganj. . Pri vrednotenju tveganj je poleg stopnje tveganja treba upoštevati še druge dejavnike, kot so posledice, verjetnost dogodkov, vpliv posameznih tveganj itd. Obvladovanje informacijskih tveganj Obvladovanje tveganj zajema navedene faze, procese, s katerimi se omogočijo prikaz, vrednotenje, analiziranje in identifikacija tveganj, vključno z ustreznimi informacijami o različnih tveganjih. Predstavlja podporo sprejemanju odločitev o vodenju informacijskih sistemov, zagotavljanju informacijske varnosti in zmanjševanju informacijskih tveganj. Če se torej opredeljevanju tveganj v informatiki ne posveča dovolj pozornosti ali je v organizaciji obvladovanje tveganj neustrezno opredeljeno, se lahko to odrazi v visokih stroških, neuspešnih projektih, operativnih težavah in incidentih, zmanjšanju informacijske varnosti oziroma neustrezni zaščiti pred tveganji ter neuspešnem zagotavljanju opredeljenih vrednosti. Na poti do želenega rezultata je pomembno, da se informatika in organizacija zavedata, da zahteva uvajanje na omenjenih področjih velikokrat tudi organizacijske in tehnološke spremembe, izvedba pa je pogostokrat povezana s številnimi dolgoročnimi projekti. Rastko Škaljak, GCU CARINA.SI │ 19
Page 1 and 2: carina.si I Glasilo Carinske uprave
Page 3 and 4: [INTERVJU] Prvi v državni upravi z
Page 5 and 6: [INTERVJU] zaradi zamika pri prenov
Page 7 and 8: [IZ STROKE] sladkor, škrob ali cel
Page 9 and 10: [IZ STROKE] mesecu, ki sledi koncu
Page 11 and 12: [IZ STROKE] 1. Za zelo dobro se je
Page 13 and 14: [IZ STROKE] projekti v carini je v
Page 15 and 16: [IZ STROKE] zmanjšala morebitne zl
Page 17: [IZ STROKE] Pri nadzoru naj bi se o
Page 21 and 22: [DOGODKI] Kako je nastal slovenski
Page 23 and 24: [DOGODKI] Predstavitev testne verzi
Page 25 and 26: [DOGODKI] informacijskega sistema,
Page 27 and 28: [DOGODKI] način letnega načrtovan
Page 29 and 30: [DOGODKI] Kot primer dobre prakse j
Page 31 and 32: [IZMENJAVE] Delovni obisk Fiscalis
Page 33 and 34: [ŠPORT IN PROSTI ČAS] Italijanski
Page 35 and 36: [ŠPORT IN PROSTI ČAS] Spremenjena
Page 37 and 38: [ŠPORT IN PROSTI ČAS] osvežitev
Page 39 and 40: [ZANIMIVOSTI] Pri osamosvajanju je
Page 41 and 42: [ZANIMIVOSTI] Fotoaparat celjske mo
Page 43 and 44: [CARINSKA KRIŽANKA]

Å tevilka 15, julij 2009 - Carinska uprava Republike Slovenije

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?