OZ 2017/1-2

47 ORGANIZACIJA ZNANJA 2017, LETN. 22, ZV. 1 - 2 in nekatere druge dejavnosti. Osnovni kriteriji obsegajo kritično infrastrukturo, ki zaradi nedelovanja: • povzroči ali ima za posledico smrt več kot 50 oseb; • pomembno vpliva na zdravje prebivalstva, in to v takšni meri, da je treba hospitalizirati več kot 100 oseb za več kot teden dni; • vpliva na izvajanje gospodarske ali druge dejavnosti v obsegu povzročene škode ali izpada dohodka več deset milijonov evrov na dan; • vpliva na prekinitev preskrbe s pitno vodo ali hrano za več kot teden dni za preko 100.000 prebivalcev; • vpliva na prekinitev preskrbe z električno energijo za tri dni ali z zemeljskim plinom za več kot teden dni za preko 100.000 prebivalcev; • vpliva na izpad oskrbe z naftnimi derivati za več kot teden dni za preko 100.000 prebivalcev. Glede na prioritete delovanja oziroma neposreden vpliv na delovanje drugih sektorjev je kritična infrastruktura razvrščena po naslednjem prioritetnem vrstnem redu: • zagotavljanje električne energije, • informacijsko-komunikacijska podpora, • preskrba s pitno vodo, • preskrba s hrano, • zagotavljanje zdravstvene oskrbe, • preskrba z naftnimi derivati, • zagotavljanje železniškega prometa, • zagotavljanje letalskega prometa, • delovanje pristaniške dejavnosti, • preskrba s plinom, • delovanje plačilnega prometa, • zagotavljanje oskrbe z gotovino, • delovanje državnega proračuna in • varovanje zdravega okolja. V vladnih informacijskih sistemih in na področju zunanjih zadev je bilo tveganje obravnavano glede na posledice razkritja podatkov ali težav v delovanju sistemov. V nadaljevanju so bili v središču zanimanja predvsem ukrepi varovanja na dveh nivojih varnosti: • srednji nivo varnosti (angl. medium level security ) – podatki brez določene stopnje tajnosti in stopnja INTERNO; njihovo razkritje bi lahko škodovalo delovanju ali izvajanju nalog organa; • visoka stopnja varnosti (angl. high level security ) – obravnavanje tajnih podatkov višjih stopenj; njihovo razkritje bi lahko škodovalo varnosti ali interesom države. Primer referenčnega okvira je dokument The CIS Critical Security Controls for Effective Cyber Defense Version 6.0. Osnovni dokument opisuje 20 kontrol. Poleg tega je na voljo tudi metrika za opisane kontrole. Gre za naslednje kontrole, od katerih naj bi s prvimi petimi kontrolami dosegli največji učinek z najmanjšimi stroški: • popis pooblaščenih in nepooblaščenih naprav v omrežju; • popis dovoljene in nedovoljene programske opreme v sistemu; • vzpostavitev in upravljanje varnih konfiguracij strojne in programske opreme na mobilnih napravah, prenosnikih, delovnih postajah, strežnikih; • stalno spremljanje in ugotavljanje ranljivosti in ukrepanje; • nadzorovana uporaba administrativnih privilegijev v sistemu; • spremljanje in analiziranje sistemskih dnevniških zapisov; • zaščita elektronske pošte in spletnega brskalnika; • obramba pred škodljivo programsko opremo; • omejevanje in nadzor mrežnih vrat, protokolov in storitev; • zmožnost obnove podatkov; • vzpostavitev in upravljanje varnih konfiguracij mrežne opreme, kot so požarne pregrade, usmerjevalniki in stikala; • mejna obramba (na robu omrežja); • zaščita podatkov; • nadzorovan dostop, ki temelji na potrebi po vedenju; • nadzor nad brezžičnimi omrežji; • spremljanje in nadzor nad računi; • usposabljanje uporabnikov; • nadzor nad varnostjo aplikacijske programske opreme; • odzivanje na incidente in upravljanje incidentov ter • testiranje ranljivosti in izvajanje vaj. Manj tipična tveganja in ukrepi so: • uporaba opreme TEMPEST (zaščita pred neželenimi elektronskimi emisijami); • fizični ukrepi varovanja (ključne sestavine sistema se namestijo v varnostnih območjih); • preprečevanje optičnih napadov; • namensko šifrirane rešitve; • uporaba informacijske opreme. Komunikacijsko-informacijske sisteme povezujemo tako, da v neki sistem uvozimo podatke iz drugega sistema oziroma omrežja. S tem se zmanjšajo operativni stroški, izboljša funkcionalnost in poveča učinkovitost; poleg tega se omogoči centraliziran dostop do podatkov itd. Omrežij z zelo občutljivimi podatki ne povezujemo z javnimi omrežji, npr. z internetom. Če že, jih povežemo preko diodnih naprav, ki poskrbijo, da pretok podatkov poteka samo v eno smer, npr. za posredovanje podatkov o vremenu ali o natančnem času (prek protokola NTP) iz javnega omrežja v zasebno omrežje. Kopiranje podatkov preko USB-naprav POROČILO