1. IZRADA AKTA O BEZBEDNOSTI IKT SISTEMA
Pitanje: Da li je neophodno izrađivati Akt o bezbednosti IKT sistema?
Odgovor: Veoma je važno da svaka organizacija, određena zakonom, izradi ovaj dokument i primeni ga u praksi.
Obrazloženje: Savremeno poslovanje, a sa njim i bezbednost IKT sistema, su veoma dinamični i kompleksni. Ovim Aktom organizacija dobija precizne podatke iz svog okruženja koji ukazuju na kritične tačke u procesima koje obuhvata IKT sistem. Za menadžera koji se brine o bezbednosti IKT sistema, od nemerljive je važnosti da poznaje i prima redovne, ažurne i tačne informacija o kritičnim tačkama.
Operator IKT sistema od posebnog značaja u skladu sa zakonom u obavezi je da:
- upiše IKT sistem od posebnog značaja kojim upravlja u evidenciju operatora IKT sistema od posebnog značaja;
- preduzme mere zaštite IKT sistema od posebnog značaja;
- donese akt o bezbednosti IKT sistema;
- vrši proveru usklađenosti primenjenih mera zaštite IKT sistema sa aktom o bezbednosti IKT sistema i to najmanje jednom godišnje;
- uredi odnos sa trećim licima na način koji obezbeđuje preduzimanje mera zaštite tog IKT sistema u skladu sa zakonom, ukoliko poverava aktivnosti u vezi sa IKT sistemom od posebnog značaja trećim licima;
- dostavlja obaveštenja o incidentima koji značajno ugrožavaju informacionu bezbednost IKT sistema;
- dostavi tačne statističke podatke o incidentima u IKT sistemu.
Izvršavanje navedenih obaveza, operator IKT sistema stvara uslove za prevencije vanrednih događaja, a samim tim i veći stepen zaštićenosti sistema.
2. KOJE SU MERE ZAŠTITE IKT SISTEMA
Pitanje: IKT sistem je skup zatvorenih elemenata, verovatno se može jednostavnim merama zaštiti?
Odgovor: IKT sistem je kompleksan sistem. Njegova najveća mana je „otvorenost“ na internetu i pristup lica koja rukuju sistemom. Samim tim postoji ranjivost sistema.
Obrazloženje: Zakon je definisao veliki set mera koje moraju da se realizuju. To govori o ozbiljnosti potrebe za zaštitom IKT sistema:
- uspostavljanje organizacione strukture, sa utvrđenim poslovima i odgovornostima zaposlenih, kojom se ostvaruje upravljanje informacionom bezbednošću u okviru operatora IKT sistema;
- postizanje bezbednosti rada na daljinu i upotrebe mobilnih uređaja;
- obezbeđivanje da lica koja koriste IKT sistem odnosno upravljaju IKT sistemom budu osposobljena za posao koji rade i razumeju svoju odgovornost;
- zaštitu od rizika koji nastaju pri promenama poslova ili prestanka radnog angažovanja lica zaposlenih kod operatora IKT sistema;
- identifikovanje informacionih dobara i određivanje odgovornosti za njihovu zaštitu;
- klasifikovanje podataka tako da nivo njihove zaštite odgovara značaju podataka u skladu sa načelom upravljanja rizikom iz člana 3. ovog zakona;
- zaštitu nosača podataka;
- ograničenje pristupa podacima i sredstvima za obradu podataka;
- odobravanje ovlašćenog pristupa i sprečavanje neovlašćenog pristupa IKT sistemu i uslugama koje IKT sistem pruža;
- utvrđivanje odgovornosti korisnika za zaštitu sopstvenih sredstava za autentikaciju;
- predviđanje odgovarajuće upotrebe kriptozaštite radi zaštite tajnosti, autentičnosti i integriteta podataka;
- fizičku zaštitu objekata, prostora, prostorija odnosno zona u kojima se nalaze sredstva i dokumenti IKT sistema i obrađuju podaci u IKT sistemu;
- zaštitu od gubitka, oštećenja, krađe ili drugog oblika ugrožavanja bezbednosti sredstava koja čine IKT sistem;
- obezbeđivanje ispravnog i bezbednog funkcionisanja sredstava za obradu podataka;
- zaštitu podataka i sredstva za obradu podataka od zlonamernog softvera;
- zaštitu od gubitka podataka;
- čuvanje podataka o događajima koji mogu biti od značaja za bezbednost IKT sistema;
- obezbeđivanje integriteta softvera i operativnih sistema;
- zaštitu od zloupotrebe tehničkih bezbednosnih slabosti IKT sistema;
- obezbeđivanje da aktivnosti na reviziji IKT sistema imaju što manji uticaj na funkcionisanje sistema;
- zaštitu podataka u komunikacionim mrežama uključujući uređaje i vodove;
- bezbednost podataka koji se prenose unutar operatora IKT sistema, kao i između operatora IKT sistema i lica van operatora IKT sistema;
- ispunjenje zahteva za informacionu bezbednost u okviru upravljanja svim fazama životnog ciklusa IKT sistema odnosno delova sistema;
- zaštitu podataka koji se koriste za potrebe testiranja IKT sistema odnosno delova sistema;
- zaštitu sredstava operatora IKT sistema koja su dostupna pružaocima usluga;
- održavanje ugovorenog nivoa informacione bezbednosti i pruženih usluga u skladu sa uslovima koji su ugovoreni sa pružaocem usluga;
- prevenciju i reagovanje na bezbednosne incidente, što podrazumeva adekvatnu razmenu informacija o bezbednosnim slabostima IKT sistema, incidentima i pretnjama;
- mere koje obezbeđuju kontinuitet obavljanja posla u vanrednim okolnostima.
3. ORGANIZACIJA SISTEMA ZAŠTITE IKT SISTEMA
Pitanje: Da li organiazcija zaštite IKT sistema može da bude u vlastitoj režiji ili se može poveriti eksternim organizacijama?
Odgovor: Operator IKT sistema od posebnog značaja može poveriti aktivnosti u vezi sa IKT sistemom trećim licima, u kom slučaju je obavezan da uredi odnos sa tim licima na način koji obezbeđuje preduzimanje mera zaštite tog IKT sistema u skladu sa zakonom.
Obrazloženje: Aktivnostima na zaštiti sistema IKT, smatraju se sve aktivnosti koje uključuju obradu, čuvanje, odnosno mogućnost pristupa podacima kojima raspolaže operator IKT sistema od posebnog značaja, a odnose se na njegovo poslovanje, kao i aktivnosti razvoja, odnosno održavanja softverskih i hardverskih komponenti od kojih neposredno zavisi njegovo ispravno postupanje prilikom vršenja poslova iz nadležnosti, odnosno pružanja usluga.
Pod trećim licem, smatra se i privredni subjekat koji je imovinskim i upravljačkim odnosima (lica sa učešćem, članice grupe društava kojoj taj privredni subjekt pripada i dr.) povezan sa operatorom IKT sistema od posebnog značaja.
Poveravanje aktivnosti vrši se na osnovu ugovora zaključenog između operatora IKT sistema od posebnog značaja i lica kome se te aktivnosti poveravaju ili posebnim propisom.
4. INCIDENTI U IKT SISTEMU
Pitanje: Koji događaji se smatraju incidentima u IKT sistemu?
Odgovor: Svaki incident koji ima značaj ili narušava funkcionisanje IKT je značajan sa aspekta bezbednosti IKT sistema.
Obrazloženje: Operator IKT sistema od posebnog značaja dužan je da prijavi sledeće incidente koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti:
- incidente koji dovode do prekida kontinuiteta vršenja poslova i pružanja usluga, odnosno znatnih teškoća u vršenju poslova i pružanju usluga;
- incidente koji utiču na veliki broj korisnika usluga, ili traju duži vremenski period;
- incidente koji dovode do prekida kontinuiteta, odnosno teškoća u vršenju poslova i pružanja usluga, koji utiču na obavljanje poslova i vršenje usluga drugih operatora IKT sistema od posebnog značaja ili utiču na javnu bezbednost;
- incidente koji dovode do prekida kontinuiteta, odnosno teškoće u vršenju poslova i pružanju usluga i imaju uticaj na veći deo teritorije Republike Srbije;
- incidente koji dovode do neovlašćenog pristupa zaštićenim podacima čije otkrivanje može ugroziti prava i interese onih na koje se podaci odnose;
- incidente koji su nastali kao posledica incidenta u IKT sistemu iz člana 6. stav 1. tačka 3) podtačka (7) ovog zakona, kada IKT sistem od posebnog značaja u svom poslovanju koristi informacione usluge IKT sistema iz člana 6. stav 1. tačka 3) podtačka (7) ovog zakona.
Operator IKT sistema od posebnog značaja dužan je da prijavi i incidente koji su doveli do značajnog povećanja rizika od nastupanja posledica.