Informaciona bezbednost

Informaciona bezbednost

1. IZRADA AKTA O BEZBEDNOSTI IKT SISTEMA

Pitanje: Da li je neophodno izrađivati Akt o bezbednosti IKT sistema?

Odgovor: Veoma je važno da svaka organizacija, određena zakonom, izradi ovaj dokument i primeni ga u praksi.

Obrazloženje: Savremeno poslovanje, a sa njim i bezbednost IKT sistema, su veoma dinamični i kompleksni. Ovim Aktom organizacija dobija precizne podatke iz svog okruženja koji ukazuju na kritične tačke u procesima koje obuhvata IKT sistem. Za menadžera koji se brine o bezbednosti IKT sistema, od nemerljive je važnosti da poznaje i prima redovne, ažurne i tačne informacija o kritičnim tačkama.

Operator IKT sistema od posebnog značaja u skladu sa zakonom u obavezi je da:

  1. upiše IKT sistem od posebnog značaja kojim upravlja u evidenciju operatora IKT sistema od posebnog značaja;
  2. preduzme mere zaštite IKT sistema od posebnog značaja;
  3. donese akt o bezbednosti IKT sistema;
  4. vrši proveru usklađenosti primenjenih mera zaštite IKT sistema sa aktom o bezbednosti IKT sistema i to najmanje jednom godišnje;
  5. uredi odnos sa trećim licima na način koji obezbeđuje preduzimanje mera zaštite tog IKT sistema u skladu sa zakonom, ukoliko poverava aktivnosti u vezi sa IKT sistemom od posebnog značaja trećim licima;
  6. dostavlja obaveštenja o incidentima koji značajno ugrožavaju informacionu bezbednost IKT sistema;
  7. dostavi tačne statističke podatke o incidentima u IKT sistemu.

Izvršavanje navedenih obaveza, operator IKT sistema stvara uslove za prevencije vanrednih događaja, a samim tim i veći stepen zaštićenosti sistema.


2. KOJE SU MERE ZAŠTITE IKT SISTEMA

Pitanje: IKT sistem je skup zatvorenih elemenata, verovatno se može jednostavnim merama zaštiti?

Odgovor: IKT sistem je kompleksan sistem. Njegova najveća mana je „otvorenost“ na internetu i pristup lica koja rukuju sistemom. Samim tim postoji ranjivost sistema.

Obrazloženje: Zakon je definisao veliki set mera koje moraju da se realizuju. To govori o ozbiljnosti potrebe za zaštitom IKT sistema:

  1. uspostavljanje organizacione strukture, sa utvrđenim poslovima i odgovornostima zaposlenih, kojom se ostvaruje upravljanje informacionom bezbednošću u okviru operatora IKT sistema;
  2. postizanje bezbednosti rada na daljinu i upotrebe mobilnih uređaja;
  3. obezbeđivanje da lica koja koriste IKT sistem odnosno upravljaju IKT sistemom budu osposobljena za posao koji rade i razumeju svoju odgovornost;
  4. zaštitu od rizika koji nastaju pri promenama poslova ili prestanka radnog angažovanja lica zaposlenih kod operatora IKT sistema;
  5. identifikovanje informacionih dobara i određivanje odgovornosti za njihovu zaštitu;
  6. klasifikovanje podataka tako da nivo njihove zaštite odgovara značaju podataka u skladu sa načelom upravljanja rizikom iz člana 3. ovog zakona;
  7. zaštitu nosača podataka;
  8. ograničenje pristupa podacima i sredstvima za obradu podataka;
  9. odobravanje ovlašćenog pristupa i sprečavanje neovlašćenog pristupa IKT sistemu i uslugama koje IKT sistem pruža;
  10. utvrđivanje odgovornosti korisnika za zaštitu sopstvenih sredstava za autentikaciju;
  11. predviđanje odgovarajuće upotrebe kriptozaštite radi zaštite tajnosti, autentičnosti i integriteta podataka;
  12. fizičku zaštitu objekata, prostora, prostorija odnosno zona u kojima se nalaze sredstva i dokumenti IKT sistema i obrađuju podaci u IKT sistemu;
  13. zaštitu od gubitka, oštećenja, krađe ili drugog oblika ugrožavanja bezbednosti sredstava koja čine IKT sistem;
  14. obezbeđivanje ispravnog i bezbednog funkcionisanja sredstava za obradu podataka;
  15. zaštitu podataka i sredstva za obradu podataka od zlonamernog softvera;
  16. zaštitu od gubitka podataka;
  17. čuvanje podataka o događajima koji mogu biti od značaja za bezbednost IKT sistema;
  18. obezbeđivanje integriteta softvera i operativnih sistema;
  19. zaštitu od zloupotrebe tehničkih bezbednosnih slabosti IKT sistema;
  20. obezbeđivanje da aktivnosti na reviziji IKT sistema imaju što manji uticaj na funkcionisanje sistema;
  21. zaštitu podataka u komunikacionim mrežama uključujući uređaje i vodove;
  22. bezbednost podataka koji se prenose unutar operatora IKT sistema, kao i između operatora IKT sistema i lica van operatora IKT sistema;
  23. ispunjenje zahteva za informacionu bezbednost u okviru upravljanja svim fazama životnog ciklusa IKT sistema odnosno delova sistema;
  24. zaštitu podataka koji se koriste za potrebe testiranja IKT sistema odnosno delova sistema;
  25. zaštitu sredstava operatora IKT sistema koja su dostupna pružaocima usluga;
  26. održavanje ugovorenog nivoa informacione bezbednosti i pruženih usluga u skladu sa uslovima koji su ugovoreni sa pružaocem usluga;
  27. prevenciju i reagovanje na bezbednosne incidente, što podrazumeva adekvatnu razmenu informacija o bezbednosnim slabostima IKT sistema, incidentima i pretnjama;
  28. mere koje obezbeđuju kontinuitet obavljanja posla u vanrednim okolnostima.

3. ORGANIZACIJA SISTEMA ZAŠTITE IKT SISTEMA

Pitanje: Da li organiazcija zaštite IKT sistema može da bude u vlastitoj režiji ili se može poveriti eksternim organizacijama?

Odgovor: Operator IKT sistema od posebnog značaja može poveriti aktivnosti u vezi sa IKT sistemom trećim licima, u kom slučaju je obavezan da uredi odnos sa tim licima na način koji obezbeđuje preduzimanje mera zaštite tog IKT sistema u skladu sa zakonom.

Obrazloženje: Aktivnostima na zaštiti sistema IKT, smatraju se sve aktivnosti koje uključuju obradu, čuvanje, odnosno mogućnost pristupa podacima kojima raspolaže operator IKT sistema od posebnog značaja, a odnose se na njegovo poslovanje, kao i aktivnosti razvoja, odnosno održavanja softverskih i hardverskih komponenti od kojih neposredno zavisi njegovo ispravno postupanje prilikom vršenja poslova iz nadležnosti, odnosno pružanja usluga.

Pod trećim licem, smatra se i privredni subjekat koji je imovinskim i upravljačkim odnosima (lica sa učešćem, članice grupe društava kojoj taj privredni subjekt pripada i dr.) povezan sa operatorom IKT sistema od posebnog značaja.

Poveravanje aktivnosti vrši se na osnovu ugovora zaključenog između operatora IKT sistema od posebnog značaja i lica kome se te aktivnosti poveravaju ili posebnim propisom.


4. INCIDENTI U IKT SISTEMU

Pitanje: Koji događaji se smatraju incidentima u IKT sistemu?

Odgovor: Svaki incident koji ima značaj ili narušava funkcionisanje IKT je značajan sa aspekta bezbednosti IKT sistema.

Obrazloženje: Operator IKT sistema od posebnog značaja dužan je da prijavi sledeće incidente koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti:

  1. incidente koji dovode do prekida kontinuiteta vršenja poslova i pružanja usluga, odnosno znatnih teškoća u vršenju poslova i pružanju usluga;
  2. incidente koji utiču na veliki broj korisnika usluga, ili traju duži vremenski period;
  3. incidente koji dovode do prekida kontinuiteta, odnosno teškoća u vršenju poslova i pružanja usluga, koji utiču na obavljanje poslova i vršenje usluga drugih operatora IKT sistema od posebnog značaja ili utiču na javnu bezbednost;
  4. incidente koji dovode do prekida kontinuiteta, odnosno teškoće u vršenju poslova i pružanju usluga i imaju uticaj na veći deo teritorije Republike Srbije;
  5. incidente koji dovode do neovlašćenog pristupa zaštićenim podacima čije otkrivanje može ugroziti prava i interese onih na koje se podaci odnose;
  6. incidente koji su nastali kao posledica incidenta u IKT sistemu iz člana 6. stav 1. tačka 3) podtačka (7) ovog zakona, kada IKT sistem od posebnog značaja u svom poslovanju koristi informacione usluge IKT sistema iz člana 6. stav 1. tačka 3) podtačka (7) ovog zakona.

Operator IKT sistema od posebnog značaja dužan je da prijavi i incidente koji su doveli do značajnog povećanja rizika od nastupanja posledica.

BEZBEDNOST JE IMPERATIV SAVREMENOG DOBA!

E-mail:

office@glosec.rs

Adresa:

Baštovanska 1/6, Beograd

Telefon:

+381 69-195-97-45

Radno vreme:

PON – PET: 9 – 17

O nama

S4 GloSec Globalna bezbednost doo je privredno društvo specijalizovano za obavljanje poslova iz domena bezbednosti i kriznog menadžmenta.

Mapa sajta

GloSec NEWSLETTER

Prijavite se kako biste dobijali najnovije vesti i i informacije o uslugama.
Pogrešno uneta mejl adresa
Invalid Input
Vaša mejl adresa neće biti izložena spam-u.