UPRAVLJANJE RIZIKOM
Akt o bezbednosti IKT sistema od posebnog značaja
Zakonski osnov: Zakon o informacionoj bezbednosti (Sl. Glasnik broj 6/2016 i 94/2017)
Informaciona bezbednost predstavlja skup mera koje omogućavaju da podaci kojima se rukuje putem IKT sistema budu zaštićeni od neovlašćenog pristupa, kao i da se zaštiti integritet, raspoloživost, autentičnost i neporecivost tih podataka, da bi taj sistem funkcionisao kako je predviđeno, kada je predviđeno i pod kontrolom ovlašćenih lica
IKT sistemi od posebnog značaja su sistemi koji se koriste:
- u obavljanju poslova u organima javne vlasti;
- za obradu podataka koji se, u skladu sa zakonom koji uređuje zaštitu podataka o ličnosti, smatraju naročito osetljivim podacima o ličnosti;
- u obavljanju delatnosti od opšteg interesa i to u oblastima:
- proizvodnja, prenos i distribucija električne energije;
- proizvodnja i prerada uglja;
- istraživanje, proizvodnja, prerada, transport i distribucija nafte i prirodnog i tečnog gasa;
- promet nafte i naftnih derivata; železničkog, poštanskog i vazdušnog saobraćaja;
- elektronska komunikacija;
- izdavanje službenog glasila Republike Srbije;
- upravljanje nuklearnim objektima;
- korišćenje, upravljanje, zaštita i unapređivanje dobara od opšteg interesa (vode, putevi, mineralne sirovine, šume, plovne reke, jezera, obale, banje, divljač, zaštićena područja);
- proizvodnja, promet i prevoz naoružanja i vojne opreme;
- upravljanje otpadom;
- komunalne delatnosti;
- poslovi finansijskih institucija;
- zdravstvena zaštita;
- usluge informacionog društva namenjene drugim pružaocima usluga informacionog društva u cilju omogućavanja pružanja njihovih usluga.
Operator IKT sistema od posebnog značaja dužan je da donese akt o bezbednosti IKT sistema.
Aktom se određuju mere zaštite, a naročito principi, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti sistema, kao i ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima IKT sistema od posebnog značaja.
Akt mora da bude usklađen s promenama u okruženju i u samom IKT sistemu.
Operator IKT sistema od posebnog značaja je dužan da samostalno ili uz angažovanje spoljnih eksperata vrši proveru usklađenosti primenjenih mera IKT sistema sa aktom iz stava 1. ovog člana i to najmanje jednom godišnje i da o tome sačini izveštaj.
Izrada strategije upravljanja rizikom
Upravljanje rizikom se ne može posmatrati segmentno u odnosu na organizaciju. Implementacija u poslovne procese i upravljanje rizikom na strateškom nivou je od prvorazrednog značaja za organizaciju. Na strateškom nivou se izrađuje vizija razvoja organizacije. Rizici su imanentno svojstvo svake organizacije, i stoga imaju prioritet u analiziranju i predizimanju mera tretmana.
S obzirom na postojanje različitih oblasti bezbednosti u organizaciji, neophodno je stvoriti širok okvir za upravljanje rizikom, međusobnu integraciju i optimizaciju procesa. Resursi koji će biti opredeljeni za sprovođenje mera za tretman rizika su od izuzetne važnosti. Blagovremenom pripremom, opredeljivanjem i angažovanjem negativne posledice rizika mogu da budu sprečene ili umanjene.
Strategija upravljanja rizikom omogućava sagledavanje, praćenje i reagovanje na rizike na najvišem-strateškom nivou. Efikasnost i efektivnost strateškog delovanja zavisi od usmeravanja kapaciteta ka optimalnim rešenjima i reakcijama.
Tim GloSec ima respektabilno iskustvo u izradi strategija upravljanja rizikom, bazirano na izradi različitih planskih i operativnih dokumenata. Integracija stečenih znanja i iskustava omogućava kvalitetnu pomoć javnim i privrednim subjektima u izradi strtaeških dokumenata.
Rezultat je dokument „Strategija upravljanja rizicima“, sa konkretnim rešenjima i predlozima.
Zahvaljujući strategiji upravljanja rizikom, moći ćete:
- Smanjiti rizik poslovanja
- Unaprediti poslovne procese
- Povećati sigurnost u poslovanju
- Uštedeti vreme i novac
- Smanjiti negativne posledice i iskoristiti prilike
Konsalting u oblasti upravljanja rizikom
Upravljanje rizikom znači upravljanje šansama ili mogućnostima. Rizik je u vezi sa neizvesnošću. To znači da su rizična stanja, ona u kojima nije sve kristalno jasno, ali postoje tragovi informacija koje ukazuju na rešenje. Upravljati rizikom znači, pronaći kritične takče u poslovanju, analizirati elemente koji utiču na njih i delovati preko tih elemenata u cilju sprečavanja ili smanjenja efekata negativnih događaja.
Identifikacija takvih tragova, omogućava posebno edukovanim menadžerima rizika, da prepoznaju načine rešavanja nastalog ili potencijalnog problema i pomognu procesu donošenja odluka. Donošenje odluka je krajnji cilj svake organizacije. Odlukama se organizacija usmerava u pravcu rešenja postavljenih ciljeva.
Simptomi negativnih događaja se nalaze u okruženju organizacije. Edukovan i siguran menadžer rizika ih lako prepoznaje i sistematizuje. Primenom određnih metoda, menadžer rizika, vrlo efikasno istražuje nastale ili potencijalne okolnosti i zaključuje mere za delovanje ili prevenciju.
S4 GloSec Globalna bezbednost je lider na tržištu u oblasti upravljanja rizikom. Ostvarujemo saradnju sa drugim kompanijama i obrazovnim ustanovama u ovoj oblasti, u cilju stalnog poboljšavanja usluga i znanja.
GloSec tim može da izvrši analizu procesa u Vašoj organizaciji, identifikuje probleme i predloži rešenja. Takođe, možemo da uspostavimo sistem kriznog menadžmenta zasnovan na permanentnom upravljanju rizikom.
Plan obezbeđenja
Zakonski osnov: Zakon o privatnom obezbeđenju (Sl. Glasnik broj 104/2013, 42/2015 i 87/2018)
Referentni standard: SRPS A.L2.003 Bezbednost i otpornost društva – Procena rizika - Deo 5
Plan obezbeđenja je dokument sa planiranim uslugama obezbeđenja koje su predviđene u proceni rizika ili su kao mere zaštite zahtevane od korisnika usluga, u skladu sa ovim zakonom i pravilima struke.
Plan obezbeđenja se sastoji od sledećih delova:
- Uvod
- Prikaz postojećeg stanja obezbeđenja
- Mere i postupci za realizaciju usluga obezbeđenja
- Upravlјanje obezbeđenjem i vršenje obezbeđenja
- Plan fizičke i drugih mera zaštite
- Plan sistema tehničke zaštite
- Prilozi
Plan obezbeđenja se izrađuje na osnovu Akta o proceni rizika u zaštiti lica, imovine i poslovanja.
Izrada i implementacija Plana obezbeđenja pruža potpunu sigurnost u sprovođenju bezbednosnih procedura u obezđenju lica i imovine, pod potpunom kontrolom organizacije.
Koristeći se znanjem i iskustvom Glosec tim će izraditi jedinstven i efikasan Plan obezbedjenja koji obuhvata sve važne aspekte sigurnosti vašeg poslovanja. Izradom Plana obezbedjenja podižete stepen zaštite vašeg poslovanja na viši nivo.
Sistem smanjenja rizika od katastrofa
Sistem smanjenja rizika od katastrofa i upravljanja vanrednim situacijama je deo sistema nacionalne bezbednosti i predstavlja integrisani oblik upravljanja i organizovanja subjekata ovog sistema na sprovođenju preventivnih i operativnih mera i izvršavanju zadataka zaštite i spasavanja ljudi i dobara od posledica katastrofa, uključujući i mere oporavka od tih posledica.
Sistem smanjenja rizika od katastrofa sačinjavaju subjekti i snage sistema smanjenja rizika od katastrofa. Sistem se materijalizuje kroz izradu planske dokumentacije: procena rizika od katastrofa, Plan zaštite i spasavanja u vanrednim situacijama i plan smanjenja rizika od katatsrofa.
Plan smanjenja rizika od katastrofa
Planom smanjenja rizika od katastrofa utvrđuju se konkretne preventivne, organizacione, tehničke, finansijske, normativne, nadzorne, edukativne i druge mere i aktivnosti koje su nadležni državni organi i drugi subjekti, na osnovu procene pojedinih rizika, dužni da preduzmu u budućem periodu u cilju smanjenja rizika od katastrofa i ublažavanja njihovih posledica.
Plan smanjenja rizika od katastrofa se izrađuje i donosi za teritoriju Republike Srbije (Nacionalni plan smanjenja rizika od katastrofa), autonomne pokrajine (Pokrajinski plan smanjenja rizika od katastrofa) i jedinice lokalne samouprave (lokalni plan smanjenja rizika od katastrofa).
Planovi smanjenja rizika od katastrofa se izrađuju na osnovu predloga tretmana procenjenih rizika u odgovarajućoj proceni rizika od katastrofa.
Nosioci izrade Nacionalnog plana smanjenja rizika od katastrofa su organi državne uprave u čijoj su nadležnosti opasnosti identifikovane u Proceni rizika od katastrofa Republike Srbije.
Nosioci izrade pokrajinskih planova smanjenja rizika od katastrofa i lokalnih planova smanjenja rizika od katastrofa su nadležni organi autonomne pokrajine i jedinice lokalne samouprave.
Nacionalni plan smanjenja rizika od katastrofa donosi Vlada na predlog Ministarstva.
Pokrajinski plan smanjenja rizika od katastrofa, odnosno lokalni plan smanjenja rizika od katastrofa, donosi nadležni organ autonomne pokrajine, odnosno jedinice lokalne samouprave.
Planovi smanjenja rizika od katastrofa se donose za period od tri godine.
Planom smanjenja rizika od katastrofa se:
- izrađuje plan za svaku identifikovanu opasnost u Proceni rizika od katastrofa,
- stvaraju uslovi za analizu postojećeg i željenog stanja,
- definišukonkretne mere i aktivnosti za smanjenje rizika, subjekte odgovorne za sprovodjenje mera i aktivnosti, izveštavanje u toku sprovodjenja aktivnosti,
- definišu rokovi za završetak predvidjenih aktivnosti,
- definišu potrebna finansijska sredstva iI izvori finansiranja.
U skladu sa potrebama organizacije plan može sadržati i druge elemente Glosec tim pruža podršku u implementaciji mera Plana smanjenja rizika od katastrofa kako bi bili sigurni da je sistem zastite i spasavanja uvek na optimalnom nivou.
Plan zaštite i spasavanja u vanrednim situacijama
Zakonski osnov: Zakon o smanjenju rizika od katastrofa i upravljanju vanrednim situacijama (Sl. Glasnik broj 87/2018)
Planom zaštite i spasavanja se planiraju mere i aktivnosti za sprečavanje i umanjenje posledica katastrofa, snage i sredstva subjekata sistema smanjenja rizika od katastrofa i upravljanja vanrednim situacijama, njihovo organizovano i koordinirano angažovanje i delovanje u vanrednim situacijama u cilju zaštite i spasavanja ljudi, materijalnih i kulturnih dobara i obezbeđenja osnovnih uslova za život.
Plan zaštite i spasavanja obavezno sadrži sledeće celine:
- rano upozoravanje i pripravnost (spremnost);
- mobilizacija i aktiviranje;
- zaštita i spasavanje po vrstama opasnosti;
- mere civilne zaštite;
- upotreba snaga i subjekata zaštite i spasavanja.
Plan zaštite i spasavanja izrađuje se na osnovu procene rizika od katastrofa i usvaja najkasnije 90 dana nakon usvajanja procene rizika, a redovno se usklađuje sa izmenama procene rizika.
Plan zaštite i spasavanja Republike Srbije izrađuje Ministarstvo u saradnji sa drugim ministarstvima, posebnim organizacijama i drugim pravnim licima, a donosi Vlada.
Plan zaštite i spasavanja autonomne pokrajne i plan zaštite i spasavanja jedinica lokalne samouprave donose nadležni organi autonomne pokrajine, odnosno jedinice lokalne samouprave, po pribavljenoj saglasnosti Ministarstva, na predlog nadležnog štaba.
Plan zaštite i spasavanja se periodično ažurira u skladu sa potrebama i novim okolnostima, u celini se ponovo izrađuje i donosi svake treće godine, a ukoliko su se okolnosti u značajnoj meri promenile i ranije u skladu sa procenom rizika od katastrofa.
Plan zaštite i spasavanja su dužni da izrade i donesu svi subjekti koji imaju obavezu izrade procene rizika od katastrofa.
Plan zaštite i spasavanja se primenjuje i u ratnom i vanrednom stanju.
Izradom Plana zaštite i spasavanja organizacija će obezbediti spremnost za reagovanje u slučaju bilo koje opasnosti od elementarnih nepogoda i drugih nesreća.
Koristeći znanje i iskustvo stečeno kroz izradu preko 1000 planova zaštite i spasavanja za jedinice lokalne samouprave, subjekte od posebnog značaja, velike korporacije i mala privredna društva Glosec tim će izraditi efikasan plan zaštite i spasavanja kojim organizaciji obezbedjuje spremnost za zastitu ljudi, materijalnih i kulturnih dobara.
Procena rizika od katastrofa
Zakonski osnov: Zakon o smanjenju rizika od katastrofa i upravljanju vanrednim situacijama (Sl. Glasnik broj 87/2018)
Procenom rizika od katastrofa identifikuju se vrsta, karakter i poreklo pojedinih rizika od nastupanja katastrofa, stepen ugroženosti, faktori koji ih uzrokuju ili uvećavaju stepen moguće opasnosti, posledice koje mogu nastupiti po život i zdravlje ljudi, životnu sredinu, materijalna i kulturna dobra, obavljanje javnih službi i privrednih delatnosti, kao i druge pretpostavke od značaja za odvijanje uobičajenih životnih, ekonomskih i socijalnih aktivnosti.
Procenu rizika od katastrofa izrađuju i donose Republika Srbija, autonomna pokrajina, jedinica lokalne samouprave, subjekti od posebnog značaja za zaštitu i spasavanje, izuzev saveza, klubova i udruženja; privredna društva, zdravstvene ustanove izuzev apoteka; predškolske i školske ustanove i fakulteti za sve objekte u kojima borave deca, odnosno objekte u kojima se odvija nastava; ustanove socijalne zaštite za objekte u kojima borave korisnici.
Privredna društva i druga pravna lica koja u svom sastavu imaju organizacione celine čiji su kapaciteti, obim i značaj delatnosti od posebnog značaja za privredu Republike Srbije iz oblasti energetike, telekomunikacija, rudarstva i saobraćaja, izrađuju Procenu rizika i za te organizacione celine.
Procenu rizika izrađuju i donose i pravna lica koja upravljaju poslovnim, trgovačkim, sportskim, ugostiteljskim i smeštajnim objektima i objektima za razonodu kapaciteta više od 100 lica, a ako su objekti namenjeni za boravak dece do 14 godina, nezavisno od kapaciteta.
Spremnost je ključna u suočavanju s mogućim katastrofama i njihovim posledicama. S obzirom na to, procena rizika od katastrofa je značajan korak u obezbedjivanju spremnosti I sigurnosti poslovanja.
Glosec tim licenciranih menadžera rizika izlazi na teren, prikuplja informacije i vrsi identifikaciju, analizu i ocenu rizika od katastrofa. Glosec tim analizira poslovanje, uključujući infrastrukturu, procese i ljude, i izradjuje detaljan akt o proceni rizika od katastrofa.
Akt o Proceni rizika od katastrofa sadrži detaljan Izveštaj o vrstama rizika, scenarijima za neželjeni događaj sa najgorim mogućim posledicama, veličini i kategoriji rizika, kao i preporuke za smanjenje rizika. S procenom rizika od katastrofa, organizacija će moći da preduzme mere za smanjenje rizika od katastrofa koje se detaljnije razrađuju u Planu smanjenja rizika od katastrofa.
Uključujući procenu rizika od katastrofa u strategiju upravljanja rizikom i planom za nastavak kontinuiteta poslovanja, organizacija će biti spremna da smanji rizik i spremno reaguje u slučaju katastrofe.
Zaštita tajnosti informacija
Zaštita informacija podrazumeva obezbeđenje sledećih osobina informacije:
- poverlјivost,
- integritet,
- dostupnost,
- verodostojnost i
- neporecivost.
Zaštita informacija se postiže primenom odgovarajućeg skupa organizaciono-tehničkih mera i aktivnosti, uklјučujući nadzor i kontrolu, obuku, radne procedure, implementaciju tehničkih sistema zaštite, primenu fizičkih mera zaštite, uspostavlјanje organizacione strukture, primenu softverskih alata ili funkcija i slično.
Pri definisanju organizaciono-tehničkih mera zaštite podataka neophodno je poštovati osnovna pravila:
- razgraničenje dužnosti,
- pravilo „neophodno da zna“ (need-to-know),
- procena rizika,
- permanentna kontrola i
- permanentno usavršanje postojećih rešenja.
Procena rizika po IKT sistem predstavlja samu suštinu zaštite IKT sistema. Naime, identifikacijom kritičnih tačaka dolazi se do informacija o riziku narušavanja bezbednosti Ikt sistema. Definisanjem i preduzimanjem efikasnih i efektivnih mera, baziranih na proceni rizika, subjekta smanjuje verovatnoću narušavanja bezbednosti IKT sistema.
Obuke za lica koja rukuju sistemom zaštite IKT se održavaju u GloSec akademiji.
S obzirom na sve veći broj sigurnosnih incidenata, potreba za pouzdanom i efikasnom zaštitom informacija je sve veća.
Koristeći najnovije tehnologije i alate za zaštitu informacija Glosec tim izradjuje detaljnu procenu rizika u poslovanju organizacije. Izveštaj Glosec tima sadrži preporuke za povećanje sigurnosti informacija, uključujući mere za zaštitu podataka, zaštitu mreža i zaštitu uređaja. Takođe Glosec tim pruža podršku u implementaciji mera za zaštitu informacija i sprovodi redovne revizije kako bi bili sigurni da je zaštita tajnosti informacija uvek na optimalnom nivou.
Procena rizika u zaštiti lica, imovine i poslovanja
Zakonski osnov: Zakon o privatnom obezbeđenju (Sl. Glasnik broj 104/2013, 42/2015 i 87/2018)
Referentni standard: SRPS A.L2.003 Bezbednost i otpornost društva – Procena rizika
Organizacija primenjuje praktične metode i sredstva za realizaciju procesa procene rizika, uklјučujući raspodelu odgovarajućih resursa za proces procene rizika.
Procena rizika mora da obuhvati sledeće:
- dokumentovane procese i procedure;
- informatičku podršku;
- osposoblјene lјudske resurse i
- ostale resurse neophodne za svaku fazu procesa procene rizika.
Organizacija koja pruža usluge procene rizika ili vrši procenu rizika za sopstvene potrebe, mora da:
- ispunjava svu relevantnu pravnu regulativu primenlјivu na delatnost organizacije;
- osigura sebe od odgovornosti za štetu koja bi mogla nastati u njenom radu;
- poseduje informatičku opremu i odgovarajući softver koji obezbeđuju nesmetanu, pravilnu i sistematičnu upotrebu obrazaca i alata za procenu rizika propisanih u ovom standardu i evidencije o procesu procene rizika;
- koristi dostupne evidencije, saznanja i baze podataka nadležnih organa o rizicima;
- imenuje osobu za poslove menadžera rizika;
- u proceni rizika obuhvati sledeće grupe rizika:
- rizike opštih poslovnih aktivnosti;
- rizike po bezbednost i zdravlјe na radu;
- pravne rizike;
- rizike od protivpravnog delovanja;
- rizike od požara;
- rizike od elementarnih nepogoda i drugih nesreća;
- rizike od eksplozija;
- rizike po životnu sredinu;
- rizike u procesu upravlјanja lјudskim resursima;
- rizike u oblasti informaciono-komunikaciono-telekomunikacionih sistema.
Organizaciji se preporučuje da u proceni rizika obuhvati i sledeću grupu rizika:
- rizike od neusaglašenosti sa standardima.
Proces procene rizika se završava izradom Akta o proceni rizika u zaštiti lica, imovine i poslovanja.
Obuke za izradu Procene rizika u zaštiti lica, imovine i poslovanja i priprema za polaganje stručnog ispita pred komisijom MUP, se realizuju u GloSec akademiji.
Standard 31000 Risk Management
Krovni standard za oblast upravljanja rizikom i procene rizika jeste ISO 31000 Risk management.
Ovim standardom su date smernice za implementaciju procesa procene rizika u organizacione procese.
Implementacijom principa ovog standarda u organizacione procese, organizacija podiže vlastite kapacitete za prevenciju opasnih događaja.
Savremeno poslovanje u velikoj meri zavisi od sistema kvaliteta. Standard ISO 9001 za menadžment kvalitetom je svoje postulate zasnovao na principima standarda ISO 31000 Risk management. To dokazuje važnost samog standarda za upravljanje rizikom i implementacije njegovih principa u organizacione procese.
S4 GloSec Globalna bezbednost doo poseduje međunarodni sertifikat za edukacije u oblasti primene standarda ISO 31000 Risk management i dugogodišnje iskustvo u ovoj oblasti. Tim GloSec vrši efektivnu analizu postojećih dokumenata kojima se dokazuje implemntacije sistema upravljanja rizikom u poslovne procese i vrši savetovanje u cilju njegove optimizacije, održivosti i unapređenja.
Usluga uvođenja standarda ISO 31000 obično uključuje aktivnosti kao što su obuka i svest, razvoj procesa upravljanja rizicima, podršku u implementaciji i stalno praćenje performansi. Glosec tim pomaže organizacijama da postignu kompletan i efikasan pristup upravljanju rizicima koji podržava njihove opšte ciljeve i zadatke usmerene na osnovno poslovanje.
Obuke za lica koja primenjuju standard ISO 31000 u organizaciji, se realizuju u GloSec Akademiji.