Važnost donošenja Akta o bezbednosti IKT sistema

Ovim zakonom se uređuju mere zaštite od bezbednosnih rizika u informaciono komunikacionim sistemima, odgovornosti pravnih lica prilikom upravljanja i korišćenja informaciono komunikacionih sistema i određuju se nadležni organi za sprovođenje mera zaštite, koordinaciju između činilaca zaštite i praćenje pravilne primene propisanih mera zaštite.

Plašim se da će ova mera koja je trebala da poboljša stanje bezbednosti IKT (informacione i komunikacione tehnologije) sistema u našoj zemlji izazvati više problema nego što se trenutno očekuje i zbog toga sam odlučio da ovaj članak posvetim ovoj temi.

Kakav je to zakon i kada je donet?

Zakon o informacionoj bezbednosti je donet početkom 2016. godine dok je 5. februara 2016. godine počela njegova primena („Sl. glasnik RS“, br. 6/16) dok su akti koji omogućavaju primenu zakona usvojeni 17. novembra 2016. godine čime je omogućena primena ovog zakona.

Aktom o bezbednosti, u skladu sa zakonom, određuju se:

mere zaštite;
principi, načini i procedure postizanja i održavanja adekvatnog nivoa bezbednosti sistema;
ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima IKT sistema od posebnog značaja.

U izradi akta moraju se uzeti u obzir odredbe Uredbe o bližem uređenju mera zaštite informaciono komunikacionih sistema od posebnog značaja, kao i Uredbe o postupku dostavljanja podataka, listi, vrstama i značaju incidenata i postupku obaveštavanja o incidentima u informaciono komunikacionim sistemima od posebnog značaja, a koje su objavljene takođe u „Sl. glasniku RS“, br. 94/2016 i stupile su na snagu 2. decembra 2016. godine.

Šta se zakonom zahteva?

Navedenim zakonom zahteva se sledeće:

da se uspostavi sistem bezbednosti informacija – 28 zahteva (Član 7.);
da se uspostavi i dokumentuje Akt o bezbednosti IKT sistema (Član 8.);
da se minimum jednom godišenje vrši interna provera usklađenosti sa aktom i dokumentuje izveštaj, samostalno ili uz spoljne eksperte (Član 8.).

Koji su rokovi, kakav je nadzor, a kakve su sankcije?

Akt o bezbednosti IKT sistema se mora uspostaviti i dokumentovati u roku od 90 dana od dana stupanja na snagu zakona – (Član 33. zakona i Član 8. Uredbe o bližem sadržaju akta). Nadzor vrši inspekcija za informacionu bezbednost Ministarstva trgovine, turizma i telekomunikacija (Član 28. i 29.)

Novčana kazna iznosi od 50.000 do 2.000.000 RSD (Član 30. i 31.):

ne donese Akt o bezbednosti IKT sistema iz člana 8. stav 1. ovog zakona;
ne primeni mere zaštite određene Aktom o bezbednosti IKT sistema iz člana 8. stav 2. ovog zakona;
ne izvrši proveru usklađenosti primenjenih mera iz člana 8. stav 4. ovog zakona;
ne postupi po nalogu inspektora za informacionu bezbednost u ostavljenom roku iz člana 29. stav 1. tačka 1. ovog zakona.

Za navedene prekršaje kazniće se i odgovorno lice u pravnom licu novčanom kaznom u iznosu od 5.000 do 50.000 RSD.

Na koga se ovaj zakon odnosi, odnosno šta obuhvata primena?

Zakon se odnosi na operatore IKT sistema od posebnog značaja (Član 2. i 6.).

Organi javne vlasti na koje se zakon odnosi:

državni organ, organ autonomne pokrajine, organ jedinice lokalne samouprave;
organizacija kojoj je povereno vršenje javnih ovlašćenja;
pravno lice koje osniva Republika Srbija, autonomna pokrajina ili jedinica lokalne samouprave, kao i pravno lice koje se pretežno, odnosno u celini finansira iz budžeta;
pravna lica za obradu podataka (Zakona o zaštiti podataka o ličnosti);
pravna lica koja obavljaju delatnost od javnog interesa (Član 6. i Uredba o utvrđivanju liste poslova).

O čemu je potrebno posebno voditi računa i gde je problem?

Na sajtu RATEL-a možete preuzeti model Akta o bezbednosti IKT sistema koji se može koristiti kao prva pomoć, međutim, potrebno je dosta znanja da bi se posao obavio na kvalitetan način. Ono što predstavlja poseban problem jeste „resavska škola“ gde je veliki broj firmi preuzeo navedeni dokument i izvršio izmene u vidu naziva kompanije i datuma donošenja, dok je sve ostalo manje-više isto. Uskoro će početi provera ovog akta i to će raditi inspektorat. Ovaj akt na sajtu RATEL-a je napravljen u najboljoj nameri kako bi se pomoglo firmama da naprave ovaj dokument, međutim, niko nije želeo da se radi klasičan copy/paste i da se dokument ne prilagođava posebim potrebama svake firme.

Ko i kako bi trebalo da ovo radi?

Postoji velika zabluda vezana za ovo pitanje. Prvo i osnovno što treba naglasiti jeste da ovakav dokument nikako ne spada u sektor pravne službe jer oni nemaju potrebna IT (informacione tehnologije) znanja i poznavanje poslovnih procesa da bi mogli pravilno napisati. Druga stvar jeste da ovo nije nešto što bi trebalo da radi IT služba, jer ljudi u ovom sektoru ne poznaju dovoljno poslovne procese niti pravne aspekte. Treća stvar je rukovodstvo firme koje jeste odgovorno pred zakonom za sprovođenje mera iz ovog dokumenta, ali oni ne poznaju dovoljno specifičnosti IT sistema i postojeće opreme u firmi, ali je pitanje i koliko su upoznati sa pravnim aspektom. Kao što možete videti za pisanje ovog dokumenta idealno bi bilo da postoji radni tim koji bi morao da ima bar po jednog člana iz pravne službe, rukovodstva i IT službe. Ukoliko je ovo nemoguće realizovati zbog veličine firme ili smatrate da je potrebno da ovo urade ljudi koji to dobro poznaju, možete platiti konsultantskoj kući koja to može napraviti za vas na osnovu specifičnosti poslovanja firme.

Nadam se da sam ovim člankom uspeo da vas malo podstaknem na razmišljanje o ovoj temi, i ako niste do sada napisali ovaj akt, što pre to uradite, a ako jeste, izvršite proveru pre nego što dođu nadležni organi kako bi izbegli plaćanje propisane kazne. Iz tog razloga mi smo formirali tim koji se bavi ovom problematikom i koji vam može pomoći kako za pisanje akta tako i za skeniranje postojećeg stanja u vašoj organizaciji. Ukoliko imate bilo kakvih nedoumica ili pitanja vezano za navedenu temu slobodno nas možete kontaktirati putem e-mail-a [email protected].

Author: Igor Franc