Plašim se da će ova mera koja je trebala da poboljša stanje bezbednosti IKT sistema u našoj zemlji izazvati više problema nego što se trenutno očekuje i zbog toga sam odlučio da ovaj post posvetim ovoj temi.
Kakav je to zakon i kada je donet?
Zakon o informacionoj bezbednosti je donet početkom 2016 godine dok je 5.02.2016. godine počela njegova primena („Sl. glasnik RS”, br. 6/16) dok su akti koji omogućavaju primenu Zakona usvojeni su 17.11 2016. čime je omogućena primena ovog Zakona.
Ovim zakonom se uređuju mere zaštite od bezbednosnih rizika u informaciono-komunikacionim sistemima, odgovornosti pravnih lica prilikom upravljanja i korišćenja informaciono-komunikacionih sistema i određuju se nadležni organi za sprovođenje mera zaštite, koordinaciju između činilaca zaštite i praćenje pravilne primene propisanih mera zaštite.
Aktom o bezbednosti, u skladu sa zakonom, određuju se:
- mere zaštite,
- principi, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti sistema,
- kao i ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima IKT sistema od posebnog značaja.
U izradi akta moraju se uzeti u obzir odredbe Uredbe o bližem uređenju mera zaštite informaciono-komunikacionih sistema od posebnog značaja, kao i Uredbe o postupku dostavljanja podataka, listi, vrstama i značaju incidenata i postupku obaveštavanja o incidentima u informaciono-komunikacionim sistemima od posebnog značaja, a koje su objavljene takođe u „Sl. glasniku RS“, br. 94/2016 i stupile su na snagu 2. decembra 2016. god.
Šta se zakonom zahteva?
Navedenim zakonom zahteva se sledeće:
- Da se uspostavi sistem bezbednosti informacija – 28 zahteva (Član 7.)
- Da se uspostavi i dokumentuje Akt o bezbednosti IKT sistema (Član 8.)
- Da se minimum jednom godišenje vrši interna provera usklađenosti sa Aktom i dokumentuje izveštaj, samostalno ili uz spoljne eksperte (Član 8.)
Koji su rokovi, kakav je nadzor a kakve su sankcije?
Akt o bezbednosti IKT sistema se mora uspostaviti i dokumentovati u roku od 90 dana od dana stupanja na snagu Zakona – (Član 33. Zakona i Član 8. Uredbe o bližem sadržaju Akta). Nadzor vrši inspekcija za informacionu bezbednost Ministarstva trgovine, turizma i telekomunikacija (Član 28. i 29.)
Novčana kazna iznosi od 50.000,00 do 2.000.000,00 RSD (Član 30. i 31.):
- ne donese Akt o bezbednosti IKT sistema iz člana 8. stav 1. ovog zakona;
- ne primeni mere zaštite određene Aktom o bezbednosti IKT sistema iz člana 8. stav 2. ovog zakona;
- ne izvrši proveru usklađenosti primenjenih mera iz člana 8. stav 4. ovog zakona
- ne postupi po nalogu inspektora za informacionu bezbednost u ostavljenom roku iz člana 29. stav 1. tačka 1. ovog zakona.
Za navedene prekršaje kazniće se i odgovorno lice u pravnom licu novčanom kaznom u iznosu od 5.000,00 do 50.000,00 dinara.
Na koga se ovaj zakon odnosi odnosno koga kači primena?
Zakon se odnosi na Operatore IKT sistema od posebnog značaja (Član 2. i 6.), a to su:
- Organi javne vlasti:
- državni organ, organ autonomne pokrajine, organ jedinice lokalne samouprave,
- organizacija kojoj je povereno vršenje javnih ovlašćenja,
- pravno lice koje osniva Republika Srbija, autonomna pokrajina ili jedinica lokalne samouprave, kao i pravno lice koje se pretežno, odnosno u celini finansira iz budžeta - Pravna lica za obradu podataka (u smislu Zakona o zaštiti podataka o ličnosti) i
- Pravna lica koja obavljaju delatnost od javnog interesa (Član 6. i Uredba o utvrđivanju liste poslova)
O čemu je potrebno posebno voditi računa i gde je problem?
Na sajtu RATEL-a možete preuzeti Model akta o bezbednosti IKT sistema koji se može koristiti kao prva pomoć, međutim potrebno je dosta znanja da bi se posao obavio valjano. Ono što predstavlja poseban problem jeste "resavska škola" gde je veliki broj firmi preuzeo navedeni dokument i izvršio izmene u vidu naziva kompanije i datuma donošenja dok je sve ostalo ostalo manje više isto. Ono o čemu niko ne vodi računa jer se išlo na to ajde da obavimo to kako tako da nas ne bi neko zbog toga kažnjavao jeste to što će se zapravo proveravati primena ovog akta što će raditi inspektorat i što bi trebalo da uskoro počne. Ovaj akt na sajtu RATEL-a je napravljen u najboljoj nameri kako bi se pomoglo firmama da naprave ovaj dokument međutim niko nije želeo da se radi klasičan copy/paste i da se dokument ne prilagođava posebim potrebama svake firme.
Ko i kako bi trebalo da ovo radi?
Postoji velika zabluda vezana za ovo pitanje. Prvo i osnovno što pre svega treba naglasiti jeste da ovakav dokument nikako ne spada u sektor pravne službe jer oni nemaju potrebna IT znanja i poznavanje poslovnih procesa da bi ovo mogli valjano napisati. Druga stvar jeste i da ovo nije nešto što bi trebalo da radi IT služba jer ljudi u ovom sektoru ne poznaju dovoljno poslovne procese niti pravne aspekte. Treća stvar jeste rukovodstvo firme koje jeste odgovorno pred zakonom za sprovođenje mera iz ovog dokumenta ali oni ne poznaju dovoljno specifičnosti IT sistema i postojeće opreme u firmi ali je pitanje i koliko su upoznati sa pravnim aspektom. Kao što možete videti za pisanje ovog dokumenta idealno bi bilo da postoji radni tim koji bi morao da ima bar po jednog člana iz pravne službe, rukovodstvo i IT službe. Ukoliko je ovo nemoguće realizovati zbog veličine firme ili smatrate da je potrebno da ovo urade ljudi koji to dobro poznaju možete ovo platiti konsultantskoj kući koja to može napraviti za vas a na osnovu specifičnosti poslovanja firme.
Nadam se da sam ovim postom uspeo da Vas malo podstaknem na razmišljanje o ovoj temi i da ako niste do sada napisali ovaj akt to što pre uradite a ako jeste da izvršite proveru pre nego što dođu nadležni organi kako ne bi rizikovali plaćanje propisane kazne. Iz tog razloga mi smo formirali tim koji se bavi ovom problematikom i koji Vam može pomoći kako za pisanje akta tako i za skeniranje postojećeg stanja u Vašoj organizaciji. Ukoliko imate bilo kakvih nedoumica ili pitanja vezano za navedenu temu slobodno nas možete kontakti na mail office@secitsecurity.com.