W6P8Dj
W6P8Dj
W6P8Dj
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
50 Revizijsko poročilo | INFORMACIJSKA PODPORA DELOVANJU UNIVERZITETNEGA KLINIČNEGA CENTRA LJUBLJANA<br />
drugimi posebnimi pravicami v upravljanju informacijskih rešitev. Zavod ni nedvoumno opredelil vlog in<br />
odgovornosti posameznih deležnikov za različne vidike zagotavljanja informacijske varnosti, kar je<br />
prispevalo k temu, da so bila nekatera področja informacijske varnosti neustrezno urejena.<br />
Ukrep zavoda<br />
Zavod ima od 11. 8. 2015 zaposlenega pooblaščenca za informacijsko varnost, ki je neposredno podrejen vodstvu zavoda.<br />
4.2.6.2 Dostopne pravice<br />
Zavod ni imel enotnih postopkov za upravljanje dostopnih pravic. Organizacijski predpis o nadzoru<br />
dostopov do informacijskih rešitev je bil pripravljen zelo splošno, v njem niso bile jasno opredeljene vloge<br />
in odgovornosti v postopkih dodajanja in odvzemanja dostopnih pravic ter ni pojasnjeval, na katere<br />
informacijske rešitve in tehnologije se nanaša. V praksi so za področje dodeljevanja, odvzemanja in<br />
spreminjanja obsega dostopnih pravic vsebinsko praviloma skrbeli predstojniki organizacijskih enot,<br />
tehnično pa notranji ali zunanji skrbniki informacijskih rešitev, med drugim zaposleni Področja za<br />
informatiko 119 , administratorji informacijskih rešitev na posameznih organizacijskih enotah 120 ter zaposleni<br />
zunanjih izvajalcev 121 in dobaviteljev 122 . Za številne uporabniške račune in pravice ni pisne sledi, iz katere<br />
bi bilo mogoče ugotoviti, kdo jih je odobril in v kakšnem obsegu. V primerih, ko je dostopne pravice<br />
upravljal dobavitelj informacijskih rešitev, zavod v pogodbah ni opredelil s tem povezanih postopkov.<br />
Zavod tudi ni imel postopka, s katerim bi odgovorni periodično preverili sezname aktivnih uporabniških<br />
računov in dodeljene dostopne pravice ter tako zagotovili deaktivacijo nepotrebnih uporabniških računov<br />
ter morebitno zmanjšanje obsega dodeljenih pravic.<br />
Postopki dodeljevanja, odvzemanja in spreminjanja obsega dostopnih pravic niso zagotavljali, da bodo ob<br />
odhodu zaposlenega z določenega delovnega mesta te ukinjene. Pri pregledu vzorcev uporabniških<br />
računov informacijskih rešitev zavoda smo med aktivnimi uporabniškimi računi našli do 31,9 odstotka<br />
takih, ki so pripadali nekdanjim zaposlenim, zaposlenim, ki so bili premeščeni na druge enote zavoda, in<br />
računov, za katere ni bilo mogoče ugotoviti, kdo jih uporablja 123 . Zavod je za upravljanje dostopov do<br />
svojega informacijskega okolja uporabljal domenski aktivni imenik Windows Server 2003, kjer za<br />
57,7 odstotka aktivnih domenskih uporabnikov ni zabeležil podatka o njihovem imenu in priimku.<br />
Ugotovili smo tudi, da je imela v enem primeru nekdanja zaposlena zavoda aktiven zunanji dostop do<br />
informacijskega okolja zavoda.<br />
Zavod je v informacijskih rešitvah opredelil vrsto generičnih uporabniških računov, med njimi tudi<br />
številne administratorske in druge račune s posebnimi pravicami. Zavod ni vodil evidence zaposlenih in<br />
zunanjih sodelavcev, ki so uporabljali generične uporabniške račune, kar pomeni, da ni imel nadzora nad<br />
morebitnimi dostopi nekaterih zaposlenih do občutljivih osebnih in drugih zaupnih podatkov ter da bi do<br />
teh podatkov lahko dostopale osebe, katerih identiteta zavodu ne bi bila znana. Zavod je imel poleg tega<br />
vzpostavljenih več kot 50 generično poimenovanih zunanjih dostopov za zunanje izvajalce in dobavitelje<br />
119 Pri informacijski rešitvi za upravljanje virov WinPIS.<br />
120 Pri informacijski rešitvi za upravljanje dokumentov InDOC.<br />
121 Uporabniki v domenskem aktivnem direktoriju.<br />
122 Pri informacijski rešitvi za upravljanje virov fMedic.<br />
123 Pregledali smo vzorce uporabniških računov 6 informacijskih rešitev. Delež neustreznih uporabniških računov je<br />
znašal med 6 odstotki in 32 odstotki na rešitev.