Page 40 - Ujčič, Anton, in Viktorija Florjančič, 2017. Javna uprava v računalniškem oblaku. Koper: Založba Univerze na Primorskem.
P. 40
Javna uprava v računalniškem oblaku
da bi največjo korist certificiranih storitev imele organizacije javnega sek-
torja z manj kot 1.000 zaposlenimi, za celoten javni sektor pa tako meni
79 % vprašanih (KPMG 2012, 17).
Zavedanje, da informacijska varnost in zaupnost podatkov v računal-
niških oblakih predstavlja glavno oviro za njegovo širšo uporabo, je spod-
budilo vse zainteresirane deležnike k pripravi smernic in standardov, ki bi
ta tveganja primerno obravnavala in obvladovala.
NIST (Jansen in Grance 2011, 52) je pripravil Smernice za varnost
in zasebnost v javnih računalniških oblakih. Dokument vsebuje pregled
tveganj varnosti in zasebnosti v javnih računalniških oblakih, ki jih mo-
rajo organizacije vključevati pri zunanjem najemanju storitev obdelave
podatkov, rabe programskih rešitev in infrastrukture v javnih računal-
niških oblakih. V smernicah poudarjajo (prav tam), da se odgovornost za
40 varnost in zasebnost v javnih računalniških oblakih ne more prenesti na
ponudnika, ampak ostaja v celoti obveznost uporabnika. Državne agen-
cije morajo zagotoviti, da je izbrana rešitev javnega računalniškega obla-
ka nameščena, nastavljena in upravljana tako, da zadosti zahtevam var-
nosti, zasebnosti in drugim zahtevam organizacij, organizacijski podatki
pa morajo biti zaščiteni na način, ki je skladen s politikami, ne glede na
to, ali so shranjeni v računalniškem oblaku ali v internem podatkovnem
centru. Organizacija mora zagotoviti, da se kontrole varnosti in zasebno-
sti pravilno izvajajo in delujejo, kot so bile načrtovane, v celotnem sistemu
in v celotnem življenjskem ciklu.
Brezavšček in Moškon (2010) ugotavljata, da je uspešnost izvajanja
poslovnih procesov v organizacijah odvisna od učinkovitosti delovanja
informacijskega sistema. Odpoved ali zmanjšana sposobnost delovanja
informacijskega sistema lahko vodi do odpovedi ključnih poslovnih pro-
cesov, kar lahko organizaciji povzroči veliko poslovno škodo. Ugotavlja-
ta (prav tam), da je potrebno vzpostaviti primeren sistem upravljanja in-
formacijske varnosti, v katerem na sistematičen način dosežemo ustrezno
raven varnosti ter na ta način zmanjšamo tveganja za odpoved delovanja
informacijskega sistema. Kot primer navajata (prav tam) standard ISO/
IEC 27001 (ISO 2013), ki tak sistem vzpostavlja na načelih procesnega
pristopa. Uporaba omenjenega standarda se je v praksi najbolj uveljavila.
Razvoj standardov za sisteme upravljanja informacijske varnosti se
je z leti širil in mednarodna organizacija za standardizacijo (angl. Inter-
national Organization for Standardization – ISO) jih je umestila v t. i.
družino 27000, znotraj katere se obravnavajo različni vidiki informacij-
ske varnosti. Carter in Zheng (2015) navajata, da je družina standardov
27000 zrasla v mednarodno sprejet celovit in vsestranski okvir za sistem
da bi največjo korist certificiranih storitev imele organizacije javnega sek-
torja z manj kot 1.000 zaposlenimi, za celoten javni sektor pa tako meni
79 % vprašanih (KPMG 2012, 17).
Zavedanje, da informacijska varnost in zaupnost podatkov v računal-
niških oblakih predstavlja glavno oviro za njegovo širšo uporabo, je spod-
budilo vse zainteresirane deležnike k pripravi smernic in standardov, ki bi
ta tveganja primerno obravnavala in obvladovala.
NIST (Jansen in Grance 2011, 52) je pripravil Smernice za varnost
in zasebnost v javnih računalniških oblakih. Dokument vsebuje pregled
tveganj varnosti in zasebnosti v javnih računalniških oblakih, ki jih mo-
rajo organizacije vključevati pri zunanjem najemanju storitev obdelave
podatkov, rabe programskih rešitev in infrastrukture v javnih računal-
niških oblakih. V smernicah poudarjajo (prav tam), da se odgovornost za
40 varnost in zasebnost v javnih računalniških oblakih ne more prenesti na
ponudnika, ampak ostaja v celoti obveznost uporabnika. Državne agen-
cije morajo zagotoviti, da je izbrana rešitev javnega računalniškega obla-
ka nameščena, nastavljena in upravljana tako, da zadosti zahtevam var-
nosti, zasebnosti in drugim zahtevam organizacij, organizacijski podatki
pa morajo biti zaščiteni na način, ki je skladen s politikami, ne glede na
to, ali so shranjeni v računalniškem oblaku ali v internem podatkovnem
centru. Organizacija mora zagotoviti, da se kontrole varnosti in zasebno-
sti pravilno izvajajo in delujejo, kot so bile načrtovane, v celotnem sistemu
in v celotnem življenjskem ciklu.
Brezavšček in Moškon (2010) ugotavljata, da je uspešnost izvajanja
poslovnih procesov v organizacijah odvisna od učinkovitosti delovanja
informacijskega sistema. Odpoved ali zmanjšana sposobnost delovanja
informacijskega sistema lahko vodi do odpovedi ključnih poslovnih pro-
cesov, kar lahko organizaciji povzroči veliko poslovno škodo. Ugotavlja-
ta (prav tam), da je potrebno vzpostaviti primeren sistem upravljanja in-
formacijske varnosti, v katerem na sistematičen način dosežemo ustrezno
raven varnosti ter na ta način zmanjšamo tveganja za odpoved delovanja
informacijskega sistema. Kot primer navajata (prav tam) standard ISO/
IEC 27001 (ISO 2013), ki tak sistem vzpostavlja na načelih procesnega
pristopa. Uporaba omenjenega standarda se je v praksi najbolj uveljavila.
Razvoj standardov za sisteme upravljanja informacijske varnosti se
je z leti širil in mednarodna organizacija za standardizacijo (angl. Inter-
national Organization for Standardization – ISO) jih je umestila v t. i.
družino 27000, znotraj katere se obravnavajo različni vidiki informacij-
ske varnosti. Carter in Zheng (2015) navajata, da je družina standardov
27000 zrasla v mednarodno sprejet celovit in vsestranski okvir za sistem
