Informaciona bezbednost

Razvojem informacione tehnologije razvilo se informaciono društvo a na taj način je ceo Svet ušao u novo Informaciono doba, koje upotrebom razvijene tehnologije i široko rasprostranjene mreže Interneta nosi svoje zakonitosti i rizike.

Rizici koji su se pojavili upotrebom informacione tehnologije su uslovile posebno razvijanje informacione bezbednosti, koja će zaštiti države, organizacije i pojedinca od štete od strane zlonamernih korisnika IKT (informaciono-komunikacione tehnologije).

S tim u vezi je Republika Srbija donela Zakon o informacionoj bezbednosti („Sl. glasnik RS“, br. 6/2016, 94/2017 i 77/2019), kojim se uređuju mere zaštite bezbednosnih rizika u informaciono- komunacionim sistemima, odgovornost pravnih lica prilikom upravljanja i korišćenje informaciono-komunikacionih sistema i određuju se nadležni organi za sprovođenje mera zaštite, koordinaciju između činilaca zaštite i praćenje pravilne primene propisanih mera zaštite.

Značenje pojedinih termina:

predstavlja skup mera koje omogućavaju da podaci kojima se rukuje putem IKT sistema budu zaštićeni od neovlašćenog pristupa, kao i da se zaštiti integritet, raspoloživost, autentičnost i neporecivost tih podataka, da bi taj sistem funkcionisao kako je predviđeno, kada je predviđeno i pod kontrolom ovlašćenih lica .

je tehnološko-organizaciona celina koja obuhvata:

  1. elektronske komunikacione mreže u smislu zakona koji uređuje elektronske komunikacije;
  2. uređaje ili grupe međusobno povezanih uređaja, takvih da se u okviru uređaja, odnosno u okviru barem jednog iz grupe uređaja, vrši automatska obrada podataka korišćenjem računarskog programa;
  3. podatke koji se vode, čuvaju, obrađuju, pretražuju ili prenose pomoću sredstava iz podtač. (1) i (2) ove tačke, a u svrhu njihovog rada, upotrebe, zaštite ili održavanja;
  4. organizacionu strukturu putem koje se upravlja IKT sistemom;
  5. sve tipove sistemskog i aplikativnog softvera i softverske razvojne alate.

je pravno lice, organ vlasti ili organizaciona jedinica organa vlasti koji koristi IKT sistem u okviru obavljanja svoje delatnosti, odnosno poslova iz svoje nadležnosti;

je svojstvo koje znači da podatak nije dostupan neovlašćenim licima.

znači očuvanost izvornog sadržaja i kompletnosti podatka.

je svojstvo koje znači da je podatak dostupan i upotrebljiv na zahtev ovlašćenih lica onda kada im je potreban.

je svojstvo koje znači da je moguće proveriti i potvrditi da je podatak stvorio ili poslao onaj za koga je deklarisano da je tu radnju izvršio.

predstavlja sposobnost dokazivanja da se dogodila određena radnja ili da je nastupio određeni događaj, tako da ga naknadno nije moguće poreći.

znači mogućnost narušavanja informacione bezbednosti, odnosno mogućnost narušavanja tajnosti, integriteta, raspoloživosti, autentičnosti ili neporecivosti podataka ili narušavanja ispravnog funkcionisanja IKT sistema.

su tehničke i organizacione mere za upravljanje bezbednosnim rizicima IKT sistema.

obuhvataju podatke u datotekama i bazama podataka, programski kôd, konfiguraciju hardverskih komponenata, tehničku i korisničku dokumentaciju, zapise o korišćenju hardverskih komponenti, podataka iz datoteka i baza podataka i sprovođenju procedura ako se isti vode, unutrašnje opšte akte, procedure i slično .

Podzakonski akti Zakona o informacionoj bezbednosti:

    • Uredba o bližem sadržaju akta o bezbednosti informaciono-komunikacionih sistema od posebnog značaja, načinu provere i sadržaju izveštaja o proveri bezbednosti informaciono-komunikacionih sistema od posebnog značaja („Sl. glasnik RS“, br. 94/2016);
    • Uredba o bližem uređenju mera zaštite informaciono-komunikacionih sistema od posebnog značaja („Sl. glasnik RS“, br. 94/2016);
    • Uredba o utvrđivanju Liste poslova u oblastima u kojima se obavljaju delatnosti od opšteg interesa i u kojima se koriste informaciono-komunikacioni sistemi od posebnog značaja („Sl. glasnik RS“, br. 94/2016);
    • Pravilnik o bližim uslovima za upis u Evidenciju posebnih centara za prevenciju bezbednosnih rizika u informaciono-komunikacionim sistemima („Sl. glasnik RS“, br. 12/2017).

Na koga se odnosi Zakon o informacionoj bezbednosti i koje organizacije su definisane kao IKT od posebnog značaja i koje moraju da ga primenjuju:

  • u obavljanju poslova u organima vlasti;
  • za obradu posebnih vrsta podataka o ličnosti, u smislu zakona koji uređuje zaštitu podataka o ličnosti;
  • u oblasti delatnosti od opšteg interesa i drugim delatnostima i to u sledećim oblastima:
    1. energetika:
      • proizvodnja, prenos i distribucija električne energije;
      • proizvodnja i prerada uglja;
      • istraživanje, proizvodnja, prerada, transport i distribucija nafte i promet nafte i naftnih derivata;
      • istraživanje, proizvodnja, prerada, transport i distribucija prirodnog i tečnog gasa;
    2. saobraćaj:
      • železnički, poštanski, vodni i vazdušni saobraćaj;
    3. zdravstvo:
      • zdravstvena zaštita;
    4. bankarstvo i finansijska tržišta:
      • poslovi finansijskih institucija;
      • poslovi vođenja registra podataka o obavezama fizičkih i pravnih lica prema finansijskim institucijama;
      • poslovi upravljanja, odnosno obavljanja delatnosti u vezi sa funkcionisanjem regulisanog tržišta;
    5. digitalna infrastruktura:
      • razmena internet saobraćaja;
      • upravljanje registrom nacionalnog internet domena i sistemom za imenovanje na mreži (DNS sistem);
    6. dobra od opšteg interesa:
      • korišćenje, upravljanje, zaštita i unapređivanje dobara od opšteg interesa (vode, putevi, mineralne sirovine, šume, plovne reke, jezera, obale, banje, divljač, zaštićena područja);
    7. usluge informacionog društva:
      • usluge informacionog društva u smislu zakona kojim se uređuje elektronska trgovina;
    8. ostale oblasti:
      • elektronske komunikacije;
      • izdavanje službenog glasila Republike Srbije;
      • upravljanje nuklearnim objektima;
      • proizvodnja, promet i prevoz naoružanja i vojne opreme;
      • upravljanje otpadom;
      • komunalne delatnosti;
      • proizvodnja i snabdevanje hemikalijama;
  • u pravnim licima i ustanovama koje osniva Republika Srbija, autonomna pokrajina ili jedinica lokalne samouprave za obavljanje delatnosti od opšteg interesa i drugih delatnostima i to uoblastima koje su date u prethodnoj tački.

Obaveze organizacija – operatora IKT sistema od posebnog značaja su da:

    • upiše IKT sistem od posebnog značaja kojim upravlja u evidenciju operatora IKT sistema od posebnog značaja;
    • preduzme mere zaštite IKT sistema od posebnog značaja;
    • donese Akt o bezbednosti IKT sistema;
    • vrši proveru usklađenosti primenjenih mera zaštite IKT sistema sa Aktom o bezbednosti IKT sistema i to najmanje jednom godišnje;
    • uredi odnos sa trećim licima na način koji obezbeđuje preduzimanje mera zaštite tog IKT sistema u skladu sa zakonom, ukoliko poverava aktivnosti u vezi sa IKT sistemom od posebnog značaja trećim licima;
    • dostavlja obaveštenja o incidentima koji značajno ugrožavaju informacionu bezbednost IKT sistema;
    • dostavi tačne statističke podatke o incidentima u IKT sistemu.

ISO/IEC 27001:2013

Sistemi menadžmenta bezbednošću informacija

Implementacijom sistema menadžmenta bezbednošću informacija u skladu sa zahtevima standarda ISO 27001, u potpunosti se primenjuju sva načela Zakona o informacionoj bezbednosti a primenom mera iz aneksa A se u potpunosti primenjuje Uredba o bližem uređenju mera zaštite IKT sistema od posebnog značaja.

Implementacijom zahteva standarda ISO 27001 organizacija poseduje sve alate kojima upravlja sistemom bezbednosti informacija, na način da organizacija ima primenjene sve mere za odbranu sistema koji poseduje a u odnosu na identifikovane i procenjene rizike. 

Cilj ovog sistema sastoji se u tome da osigurava kontrolni sistem u vezi važnih informacija, njihovu zaštitu i ograničen pristup informacijama, sve u svrhu zadovoljenja „zainteresovanih strana“.

Suština ovog standarda predstavlja celovit i harmonizovan pristup upravljanju rizicima kojima su izložene informacione vrednosti.

Savremene tehnologije i njihova primena stavljaju akcenat na problem sigurnosti informacija i njihovoj zaštiti od svih i na svim nivoima organizacije.

Šteta izazvana nenamernim ili namernim kvarovima u neadekvatno zaštićene sisteme može biti pogubna za neku organizaciju.

Značaj implementacije standarda ISO 27001:

    • Veliko smanjenje rizika u oblasti informacija;
    • Veliko poverenje klijenata, poslovnih partnera, korisnika usluga;
    • Poverenje zaposlenih i saradnika;
    • Argumentovana odgovornost za maksimalnu bezbednost informacija i podataka.

ISO 27001 zasnovan je na sledećim sigurnosnim principa:

    1. Politika sigurnosti;
    2. Organizaciona šema za sigurnost informacija;
    3. Upravljanje sigurnim resursima informacija;
    4. Upravljanje sigurnim ljudskim resursima;
    5. Upravljanje komunikacijama i operacijama;
    6. Kontrola pristupa;
    7. Upravljanje sigurnosnim incidentima;
    8. Upravljanje kontinuitetom poslovnih procesa;
    9. Usklađenost sa zakonima i drugim propisima;
    10. Nabavka i održavanje informacionih sistema;
    11. Fizička sigurnost.

Međunarodno priznat sertifikat za ISO/IEC 27001 sistem potvrda je pouzdanog partnera ne samo firmama iz oblasti informacionih tehnologija, nego i bankama, osiguravajućim kompanijama i drugim organizacijama gde informacija predstavlja vrednost.

Informišite se, edukujte, pronađite istinite, korisne, jasne i precizne informacije.

Osnovni linkovi

Kontakt info

Email:
info@iso-standardi.com

newsletter

Prijavite se na naš newsletter i budite uvek u toku sa našim aktivnostima i aktuelnim temama.

Prijavite se za Newsletter

© Sva prava zadržana – Portal ISO Standardi

Facebook Twitter Youtube