AKT O BEZBEDNOSTI IKT SISTEMA: Obaveza ili nasušna potreba?

Akt o bezbednosti IKT sistema jača nivo zaštite IKT infrastrukture i čini organizaciju otpornijom na rizike.

43
akt-o-bezbednosti-ikt-sistema-obaveza-ili-nasusna-potreba
- Sponzor članka -hikvision srbija

Savremeno poslovanje zahteva savremeni pristup. To podrazumeva korišćenje računarskih sistema koji imaju jednu ključnu svrhu, a to je da olakšaju svakodnevne poslovne operacije i da obezbede najbrži pristup za tražene informacije.

U to smo se svi lično uverili jer je rapidan razvoj tehnologije uslovio transformacije u svim aspektima funkcionisanja, hteli to ili ne. Tako da je u današnje vreme skoro nemoguće da kompanija posluje bez informaciono-komunikacionih tehnologija (IKT) zasnovanih na računarskom sistemu; bilo da se računarski sistemi koriste za kreiranje poslovnog sadržaja (ponuda, izveštaja i materijala) ili za analizu podataka i pokretanje baza podataka.

Akt o bezbednosti IKT sistema – jača nivo zaštite IKT sistema I čini organizaciju otpornijom na rizike.

Podsetnik!

  • Šta je IKT sistem?
  • Šta je uključeno u izgradnji IKT infrastrukture?
  • Zašto je IKT važan za poslovanje?
  • Kako organizacija ostvaruje svoje ciljeve implementacijom IKT sistema?

komponente IKT sistemaDa bi smo zaista bili upućeni zašto nam je potreban AKT o bezbednosti IKT sistema, koji je njegov značaj, uloga i šta dobijamo njegovom implementacijom, prvo bi trebalo da se podsetimo šta je to IKT sistem.

 U našem članku  Zašto je IKT infrastruktura važna za Vaš biznis? saznajte odgovore na prethodna pitanja, a u daljem tekstu pogledajte sa kojim rizicima se možete suočiti ako ne postoji Akt kojim se vrši sveobuhvatna procena i zaštita IKT sistema u vašoj organizaciji.

Akt o bezbednosti IKT sistema – Sve što treba da znate

Šta kaže Zakon o informacionoj bezbednosti („Sl. glasnik RS“, br. 6/2016, 94/2017 i 77/2019)? 

Ovim zakonom se uređuju mere zaštite od bezbednosnih rizika u informaciono-komunikacionim sistemima, odgovornosti pravnih lica prilikom upravljanja i korišćenja informaciono-komunikacionih sistema i određuju se nadležni organi za sprovođenje mera zaštite, koordinaciju između činilaca zaštite i praćenje pravilne primene propisanih mera zaštite.

U prevodu Akt je strateški dokument koji setom prilagođenih i standardnih procedura sveobuhvatno  propisuje način zaštite IKT sistema. Kada kažemo sveobuhvatno, mislimo pre svega na fizičko-tehničku zaštitu fizičkih komponenti IKT sistema: zaštita od fizičkih oštećenja – vlage, požara, krađa, nedozvoljenog pristupa, otuđenja, uništenja i slično, što je u tesnoj korelaciji sa Procenom rizika u zaštiti lica, imovine i poslovanja.

Sa druge strane imamo podjednako važnu zaštitu hardvera, softvera, mreže, dakle celokupnog sajber prostora od različitih zloupotreba budući da se na serverima pohranjuje veliki broj podataka koji može biti kompromitovan i ugrožen najčešće hakerskim upadom u sistem, metodama socijalnog inženjeringa ili na druge sofisticirane načine.

Svaka komponenta IKT infrastrukture ima svoju imanentnu zaštitu, a po svojoj prirodi zaštita treba biti kontinuirana jer i naizgled beznačajan napad može dovesti do katastrofalnih posledica koje se mogu negativno odraziti na rad čitave organizacije ili pak nacionalnu bezbednost, kao i na živote i zdravlje ljudi. Zato je neophodno implementirati Akt o bezbednosti IKT sistemajača nivo zaštite IKT sistema i čini organizaciju otpornijom na rizike.

Ko donosi Akt?

Obaveza donošenja se prvenstveno odnosi na one sisteme čije bi ugrožavanje i prekid funkcionisanja imalo ozbiljne posledice kako na samu organizaciju tako i za čitavu državu i stanovništvo. Kako je zakon definisao članom 6, to su sistemi od posebnog značaja.

IKT sistemi od posebnog značaja

IKT sistemi od posebnog značaja su sistemi koji se koriste:

1) u obavljanju poslova u organima vlasti;

2) za obradu posebnih vrsta podataka o ličnosti, u smislu zakona koji uređuje zaštitu podataka o ličnosti;

3) u obavljanju delatnosti od opšteg interesa i drugim delatnostima i to u sledećim oblastima:

(1) energetika:

– proizvodnja, prenos i distribucija električne energije;

– proizvodnja i prerada uglja;

– istraživanje, proizvodnja, prerada, transport i distribucija nafte i promet nafte i naftnih derivata;

– istraživanje, proizvodnja, prerada, transport i distribucija prirodnog i tečnog gasa;

(2) saobraćaj:

– železnički, poštanski, vodni i vazdušni saobraćaj;

(3) zdravstvo:

– zdravstvena zaštita;

(4) bankarstvo i finansijska tržišta:

– poslovi finansijskih institucija;

– poslovi vođenja registra podataka o obavezama fizičkih i pravnih lica prema finansijskim institucijama;

– poslovi upravljanja, odnosno obavljanja delatnosti u vezi sa funkcionisanjem regulisanog tržišta;

(5) digitalna infrastruktura:

– razmena internet saobraćaja;

– upravljanje registrom nacionalnog internet domena i sistemom za imenovanje na mreži (DNS sistemi);

(6) dobra od opšteg interesa:

– korišćenje, upravljanje, zaštita i unapređivanje dobara od opšteg interesa (vode, putevi, mineralne sirovine, šume, plovne reke, jezera, obale, banje, divljač, zaštićena područja);

(7) usluge informacionog društva:

– usluge informacionog društva u smislu člana 2. tačka 25) ovog zakona;

(8) ostale oblasti:

– elektronske komunikacije;

– izdavanje službenog glasila Republike Srbije;

– upravljanje nuklearnim objektima;

– proizvodnja, promet i prevoz naoružanja i vojne opreme;

– upravljanje otpadom;

– komunalne delatnosti;

– proizvodnja i snabdevanje hemikalijama;

4) u pravnim licima i ustanovama koje osniva Republika Srbija, autonomna pokrajina ili jedinica lokalne samouprave za obavljanje delatnosti iz tačke 3) ovog stava.

Vlada, na predlog ministarstva nadležnog za poslove informacione bezbednosti, utvrđuje listu delatnosti iz stava 1. tačka 3) ovog člana.

Šta zahteva zakon?

Shodno članu 6a, Operator IKT sistema od posebnog značaja dužan je da:

  • upiše IKT sistem od posebnog značaja kojim upravlja u evidenciju operatora IKT sistema od posebnog značaja;
  • preduzme mere zaštite IKT sistema od posebnog značaja;
  • donese akt o bezbednosti IKT sistema;
  • Operator IKT sistema od dužan je da samostalno ili uz angažovanje spoljnih eksperata vrši proveru usklađenosti primenjenih mera zaštite IKT sistema sa aktom o bezbednosti IKT sistema i to najmanje jednom godišnje;
  • uredi odnos sa trećim licima na način koji obezbeđuje preduzimanje mera zaštite tog IKT sistema u skladu sa zakonom, ukoliko poverava aktivnosti u vezi sa IKT sistemom od posebnog značaja trećim licima;
  • dostavlja obaveštenja o incidentima koji značajno ugrožavaju informacionu bezbednost IKT sistema;
  • dostavi tačne statističke podatke o incidentima u IKT sistemu.

AKT o bezbednosti IKT & GDPR

Informacije su neophodne za pružanje usluga, poboljšanje korisničkog iskustva ili donošenje boljih odluka. Bez obzira na svrhu ovih podataka, od suštinske je važnosti da ih organizacije štite. Ako se neovlašćeni akteri dočepaju informacija, bilo da su to sajber napadi ili povrede privatnosti, to će prouzrokovati trajnu štetu.

GDPR/ Zakon o zaštiti podataka o ličnosti naglasio je važnost efikasne zaštite informacija. Dakle upravljanje IKT infrastrukturom mora biti u skladu i sa zakonom o zaštiti ličnih podataka, posebno kada je reč o obrađivaču podataka. Tu vidimo koliko je zapravo sve povezano i da se korporativna bezbednost ne može posmatrati izolovano jer jedan rizik povlači drugi, a primena jedne mere nužno povlači primenu drugih bezbednosnih mera.

Šta može da se desi ako ne posedujem akt?

Posledice mogu biti brojne i lančane usled neadekvatne zaštite – domino efekat. Pa da vidimo i koje:

  • teškoće ili prekid kontinuiteta u radu – pružanja usluga
  • reflektovanje teškoća na korisnike usluga, partnere
  • incidenti koji mogu uticati na obavljanje poslova i vršenje usluga drugih operatora IKT sistema od posebnog značaja ili mogu da utiču na javnu bezbednost
  • incidenti koji imaju uticaj na veći deo teritorije Republike Srbije;
  • incidenti koji dovode do neovlašćenog pristupa zaštićenim podacima čije otkrivanje može ugroziti prava i interese onih na koje se podaci odnose (upravljanje ličnim podacima)
  • zakonske kazne u slučaju neispunjenja Zakona o informacionoj bezbednosti i njemu srodnih zakona poput ZZPL, Zakona o privatnom obezbeđenju i sl.
  • lošije investicije, finansijski obrt i gubitak poslovnih šansi (razvoj, integracije)
  • pad kredibiliteta, loš imidž

Kolike su kazne?

Ukoliko se kompanije ne usaglase sa ovim Zakonom, novčane kazne se kreću od 50.000 do 2.000.000 RSD.

Zaključak:

Iz navedenog vidimo da Akt o bezbednosti IKT sistema ne može biti papir kojim ćemo zamahnuti i pokazati da smo se „zakonski uskladili“. Usklađivanje je nastalo iz stvarne potrebe da se zaštiti IKT  infrastruktura i podrazumeva implementaciju, odnosno praktičnu primenu svih bezbednosnih mera koje su propisane Aktom. Zbog toga je važno da svi akteri na koje se Zakon i odnosi ozbiljno shvate problematiku i naprave prvi korak ka jačanju bezbednosnih performansi i otpornosti svoje organizacije.

Obavezno pročitajte:

Etičko hakovanje VS test penetracije: Koja je razlika?

5/5 - (1 vote)