Navodila za izpolnjevanje vprašalnikov za varnostno preverjanje in pripravo na uporabo Varnostne sheme

Ta dokument vsebuje podrobna navodila za izpolnjevanje Predhodnega vprašalnika (Priloga 1) za nove uporabnike centralnega aplikacijskega gradnika Varnostna shema, kot tudi splošna navodila za izpolnjevanje varnostnih vprašalnikov, ki so potrebni za pridobitev varnostnega preverjanja za dostop do tajnih podatkov. Predstavlja ključne korake, pogoje in zahteve, ki jih morajo uporabniki in preverjane osebe upoštevati.

Varnostna shema: Namen in postopki uporabe

Dokument je namenjen pridobitvi osnovnih informacij o centralnem aplikacijskem gradniku Varnostna shema. Varnostna shema predstavlja mehanizem za enotno prijavo uporabnikov ter integracijo drugih aplikacij. V Varnostni shemi so za vsako integrirano aplikacijo opredeljeni uporabniki, njihove vloge in pravice, s čimer se izognemo prijavi v vsako aplikacijo posebej. Shema je namenjena tako končnim kot tudi sistemskim uporabnikom (aplikacijam).

Diagram poteka enotne prijave preko Varnostne sheme

Postopek pridobitve in uporabe Varnostne sheme

1. Formalna pobuda Uporabnika

Če Uporabnik oceni, da je uporaba Varnostne sheme za njegove potrebe smiselna, posreduje Ministrstvu za javno upravo (MJU) zahtevek v obliki izpolnjenega Predhodnega vprašalnika o potrebah novega uporabnika centralnega aplikacijskega gradnika Varnostna shema (Priloga 1). MJU formalno obravnava zahtevek za uporabo Varnostne sheme.

2. Odgovor in uskladitev z MJU

MJU se z Uporabnikom uskladi glede morebitnih dopolnitev zahtevka ter pisno odgovori glede možnosti uporabe Varnostne sheme na infrastrukturi MJU. Alternativno lahko MJU zahtevo zavrne in ponudi Uporabniku možnost predaje kode in dokumentacije ter samostojne implementacije v informacijskem sistemu Uporabnika, skupaj z ostalo dokumentacijo.

3. Vzpostavitev povezave in testiranje

  • Pred začetkom razvoja se izvede usklajevalni sestanek.
  • Uporabnik mora prejeti in upoštevati vsa s strani MJU posredovana gradiva.
  • Med vzpostavitvijo povezave z Varnostno shemo je na strani MJU Uporabniku za morebitna dodatna vprašanja na voljo skrbnik Varnostne sheme.
  • Pred začetkom testiranja Uporabnik posreduje skrbniku Varnostne sheme vse podatke za pripravo testiranja, ki so zahtevani v Navodilih za razvoj in testiranje Varnostne sheme. Skrbnik Varnostne sheme preveri podatke, po potrebi lahko zahteva tudi dopolnitve ali pa se z Uporabnikom dogovori za vnos podatkov v uvajalno okolje Varnostne sheme na infrastrukturi MJU.
  • Pred predvidenim prehodom na produkcijsko delovanje Varnostne sheme mora Uporabnik posredovati skrbniku varnostne sheme na MJU vse zahtevane podatke za vnos v produkcijsko okolje. Skrbnik preveri podatke, po potrebi zahteva dopolnitve ter se dogovori z Uporabnikom za vnos podatkov v produkcijsko okolje Varnostne sheme.

Pogoji uporabe Varnostne sheme na infrastrukturi MJU

  • Na infrastrukturi MJU lahko Varnostno shemo uporabljajo za svoje informacijske sisteme organi državne uprave.
  • Uporabnik se zavezuje k spoštovanju dogovorjene stopnje razpoložljivosti in odzivnosti, ki jo bo Uporabniku zagotavljal MJU. Vzorec medorganizacijskega dogovora je priloga temu dokumentu.
  • Aplikacije morajo biti skladne s Splošnimi tehnološkimi zahtevami (GTZ), ki jih ima MJU definirane za aplikacije, postavljene na infrastrukturi MJU.
  • Uporabnik mora uporabljati zgolj določene vrste kvalificiranih digitalnih potrdil.
  • Uporabnik mora zagotoviti, da se lahko poveže z Varnostno shemo na infrastrukturi MJU. Povezava mora biti varna in stabilna.

Nadgradnja Varnostne sheme

Če Uporabnik ugotovi, da bi bila za popolno izpolnjevanje zahtev potrebna nadgradnja Varnostne sheme, pripravi podrobne zahteve za dodatno funkcionalnost in jih posreduje skrbniku Varnostne sheme na MJU. Slednji bo ocenil primernost zahtev za nadgradnjo in Uporabniku podal odgovor o možnosti nadgradnje.

MJU odloči, ali bo stroške nadgradnje pokril MJU ali pa bo moral stroške nadgradnje pokriti Uporabnik. V primeru, ko bi nadgradnja centralne Varnostne sheme za potrebe Uporabnika presegala razpoložljiva sredstva MJU za tovrstne posege, lahko MJU Uporabniku predlaga skupno financiranje nadgradenj. Dogovor o financiranju se sklene med Uporabnikom in predstavnikom MJU na skupnem sestanku ali v pisni obliki (dopis).

Če je nadgradnja možna, se v odgovoru podajo morebitni dodatni pogoji glede nadgradnje in možen rok izvedbe nadgradnje. Če Varnostna shema ne omogoča enostavne razširitve za potrebe Uporabnika, je potreben predhodni dogovor z Uporabnikom glede reševanja takega problema.

Samostojna implementacija Varnostne sheme

Uporabniki lahko Varnostno shemo prilagodijo svojim potrebam ter jo samostojno implementirajo v svojem informacijskem sistemu. MJU po predaji kode in dokumentacije Varnostne sheme Uporabniku nima v zvezi s to kodo nobenih nadaljnjih obveznosti do Uporabnika. Uporabnik to kodo in dokumentacijo lahko uporablja, spreminja in vzdržuje popolnoma samostojno, na lastne stroške in na lastno odgovornost.

Shema poteka implementacije Varnostne sheme

Navodila za izpolnjevanje Predhodnega vprašalnika (Priloga 1)

Za uspešno uporabo Varnostne sheme je ključno natančno izpolnjevanje Predhodnega vprašalnika (Priloga 1), ki zajema naslednje podatke:

  • Število in vrste uporabnikov: Ocenite število uporabnikov vašega informacijskega sistema, ki bodo za prijavo uporabljali Varnostno shemo, kakšne vrste uporabnikov boste imeli, iz katerih institucij in predvideno frekvenco prijav (klicev) v Varnostno shemo.
  • Mehanizmi avtentikacije: Navedite, kakšni bodo mehanizmi avtentikacije uporabnikov v vašem informacijskem sistemu. Navedite, s katerimi digitalnimi certifikati se bo možno avtenticirati.
  • Dodeljevanje pravic: Navedite način dodeljevanja pravic v vašem informacijskem sistemu.
  • Podatki o krovni aplikaciji:
    • Naziv aplikacije
    • Opis aplikacije
    • Servisni URL * (po tem URL-ju Varnostna shema identificira aplikacijo, ki zahteva avtentikacijo)
  • Kontaktna oseba: Navedite priimek, ime, telefon in e-naslov kontaktne osebe.
  • Poročanje o prošnjah za dodelitev pravic: Navedite, ali bo poročanje tedensko ali takojšnje.
  • Vloge in skupine pravic: Vloge so organizirane v skupine, sestavljene pa so iz pravic. Najprej je potrebno generirati skupino pravic in jo ustrezno poimenovati. Skupine se uporabljajo za lažje administriranje vlog, ker imajo lahko nekatere aplikacije veliko število pravic za posamezno vlogo.
  • Roki vzpostavitve: Navedite roke vzpostavitve storitve za namene testiranja in za produkcijsko uporabo.
Primer izpolnjenega Predhodnega vprašalnika (Priloga 1)

Varnostno preverjanje za dostop do tajnih podatkov

Vsaka oseba, ki se lahko pri delu seznani s tajnimi podatki stopnje tajnosti ZAUPNO ali višje, mora biti pred dostopom do tajnih podatkov ustrezno varnostno preverjena. To zagotavlja varovanje občutljivih informacij in preprečuje nepooblaščen dostop.

Postopek varnostnega preverjanja in izpolnjevanja vprašalnikov

  1. Ko preverjana oseba da pisno soglasje za začetek varnostnega preverjanja in podpiše izjavo o seznanitvi s predpisi s področja tajnih podatkov, ji predlagatelj izroči ustrezne varnostne vprašalnike za varnostno preverjanje.
  2. Preverjana oseba vrne izpolnjene varnostne vprašalnike predlagatelju v zaprti ovojnici.
  3. Če preverjana oseba ne da soglasja za začetek postopka varnostnega preverjanja, se varnostno preverjanje ne opravi.

Dokumenti, ki jih je potrebno priložiti predlogu za varnostno preverjanje

Predlagatelj mora predlogu priložiti:

  • pisno soglasje preverjane osebe za varnostno preverjanje,
  • potrdilo o opravljenem osnovnem oziroma dodatnem usposabljanju s področja tajnih podatkov, ki ne sme biti starejše od dveh let,
  • pisno izjavo o seznanitvi s predpisi, ki urejajo področje tajnih podatkov,
  • ter zaprto ovojnico z izpolnjenim varnostnim vprašalnikom preverjane osebe.

Medorganizacijski dogovor o uporabi Varnostne sheme

Ta oddelek povzema ključne točke medorganizacijskega dogovora, ki ureja uporabo centralnega aplikacijskega gradnika Varnostna shema (v nadaljnjem besedilu: storitev), ki jo zagotavlja Ponudnik storitve.

Splošne določbe

  1. Dogovor opredeljuje pogoje in odgovornosti za uporabo storitve.
  2. Skrbniki dogovora spremljajo izvajanje dogovora in rešujejo morebitna neskladja in kršitve dogovora. Posamezne specifikacije dogovora se lahko izvedejo v okviru dogovora skrbniške skupine.
  3. Uporabnik zagotavlja, da imajo pooblaščene osebe dostop do te dokumentacije.

Obravnava incidentov

  1. V primeru incidenta v zvezi z delovanjem storitve Ponudnik storitve izvaja obravnavo incidentov in odpravo napak glede na resnost incidenta. Ponudnik storitve se zaveže k reševanju incidenta ter zagotoviti njegovo rešitev v skladu s predvidenimi roki.
  2. Incident se javi glavnemu skrbniku Uporabnika storitve.
  3. Ponudnik storitve v primeru, da ne more rešiti incidenta v dogovorjenem roku, o tem pravočasno obvesti skrbnike dogovora in predlaga morebitne ukrepe.

Upravljanje sprememb

  1. Spremembe se izvajajo v skladu s procesom upravljanja sprememb, ki ga dogovorijo skrbniki podpisnikov dogovora. Te morajo biti načrtovane in napovedane vnaprej. Predhodno mora biti izdelana tudi analiza vpliva na izvajanje storitve.
  2. Proces predvideva, da se mora v primeru neuspešno izvedenih sprememb vzpostaviti stanje, kot je bilo pred uvedbo spremembe.

Odstop od dogovora in spremembe določil

  1. Vsak podpisnik lahko odstopi od dogovora. Odstop nastopi šest (6) mesecev od dneva prejema pisne izjave o odstopu.
  2. Določbe tega dogovora se lahko spremenijo s pisnim soglasjem obeh podpisnikov.

tags: #vprasalnik #za #varnostno #preverjanje #priloga #1