Вести
23. 02. 2017.
Казне до два милиона динара због непоштовања Закона о информационој безбедности
SHARE Фондација је припремила Водич за ИКТ системе од посебног значаја, са циљем да разјасни недоумице у вези са применом Закона о информационој безбедности и представи добре праксе информационе безбедности. Иако су бројне обавезе предвиђене Законом о информационој безбедности већ ступиле на снагу, пред операторима информационих система у јавном и приватном сектору су многи изазови у примени закона.
На који начин се може побољшати примена закона, шта су проблематичне тачке и које су улоге државе, привреде и цивилног сектора биле су неке од тема другог
Cybersecurity meetup-a SHARE фондације, одржаног у понедељак, 20. фебруара, у Стартит центру у Београду.
Једна од важнијих обавеза оператора информационих система од посебног значаја јесте усвајање акта о безбедности до 2. марта. Казне за пробијање рока крећу се до два милиона динара. Процењује се да у Србији има око 11.000 субјеката само међу државним органима који треба да донесу овај акт и поставе опште оквире безбедности својих информационих система.
Министарству трговине, туризма и телекомуникација поверена је улога инспекцијског органа када је реч о примени закона и пратећих уредби. Представник министарства Милан Војводић истакао је важност законског уређивања информационе безбедности, али је указао и на проблем са капацитетима за адекватну примену закона.
“У министарству је у току промена систематизације, која би требало да предвиди посебну групу за информациону безбедност, у којој ће се налазити и инспектори”, наводи Војводић.
МУП Србије је основао један од првих посебних ЦЕРТ-ова, који је надлежан за ИКТ систем тог министарства, о чему је говорио Александар Максимовић, главни специјалиста правник за мрежну и информациону безбедност МУП ЦЕРТ-а.
“Сада се у МУП-у профилисала једна група људи која ће практично да надгледа цео процес и да га организује”, рекао је Максимовић и додао да МУП ЦЕРТ и даље гради организационе, техничке и кадровске капацитете.
Индустрија информационе безбедности такође има значајну улогу у процесу имплементације законских мера. Виктор Варга из компаније Уником Телеком истакао је да је информациона безбедност захтева сарадњу више актера ради што бољих резултата.
“Оно што видим као проблем јесте да мали проценат великих компанија може да примени закон на задовољавајућем нивоу. Захтеве треба прилагодити малим компанијама које немају ресурсе”, рекао је Варга.
Цивилно друштво и међународне организације су од самог почетка биле укључене у писање закона.
Милан Секулоски из Женевског центра за демократску контролу оружаних снага је напоменуо да су састанци представника државних органа, приватног и невладиног сектора и академске заједнице допринели том процесу.
“Имамо закон који иако није савршен може да се поправи, политика није било у овој области а сада се већ назиру, надамо се да ће бити формализоване и да ће се о њима дискутовати”, објашњава Секулоски.
SHARE Фондација је припремила Водич за ИКТ системе од посебног значаја, са циљем да разјасни недоумице у вези са применом закона и представи добре праксе информационе безбедности. Координатор SHARE Фондације за приватности и заштиту података о личности Данило Кривокапић такође је најавио формирање посебног SHARE CERT-a (Cyber Emergency Response Team) који ће уједно бити и ресурс центар намењен информационој безбедности онлајн медија у Србији.
“Покушали смо да објаснимо како је систем информационе безбедности постављен новим законом, који су органи надлежни и опишемо свих 28 мера заштите на практичан начин”, рекао је Кривокапић.
Пре Meetup-а одржана је радионица посвећена ризицима и проблемима са којима се медији сусрећу у погледу информационе безбедности, којој су присуствовали новинари, представници цивилног сектора и медијских удружења.
Коментари (1)
Остави коментар24.02.
2017.
Nepotpun Vodič za IKT sisteme od posebnog značaja
Prva recenica u podnaslovu ovog teksta glasi: "SHARE Fondacija je pripremila Vodič za IKT sisteme od posebnog značaja, sa ciljem da razjasni nedoumice u vezi sa primenom Zakona o informacionoj bezbednosti i predstavi dobre prakse informacione bezbednosti. ... "
ОдговориGlavni kuriozitet ovog zakona jeste taj da je donet pre Direktive o bezbednosti mreze i informacionih sistema (Directive on security of network and information systems) i da zato ima drugaciji naziv i sadrzaj od nje.
Zatim, u ovom zakonu se definise i upotreblljava termin "informaciono-komunikacioni sistem (IKT sistem)", pri cemu se u skracenom obliku (IKT sistem) koristi slovo "T" (tehnoloski), tako da je pun oblik trebao da glasi: "informaciono-komunikacioni tehnoloski sistem".
Sledece, u clanu 6. tacka 3) podtack (14) propisuje se da: "IKT sistemi od posebnog značaja su sistemi koji se koriste u obavljanju delatnosti od opšteg interesa i to u oblastima usluge informacionog društva namenjene drugim pružaocima usluga informacionog društva u cilju omogućavanja pružanja njihovih usluga". Tako su ovim zakonom, a ne posebnim zakonom, delatnosti usluga informacionog drustva proglasene za delatnosti od opsteg interesa.
U pomenutoj evropskoj direktivi definisu se i upotrebljavaju novi termini "digitalna usluga” i "pružalac digitalnih usluga”, koji se ne pominji niti koriste u ovom zakonu.
Ovoj zakon u cl. 14-16 sadrzi odredbe o Nacionalnm centru za prevenciju bezbednosnih rizika u IKT sistemima (Nacionalni CERT), tj. Regulatornoj agenciji za elektronske komunikacije i poštanske usluge RATEL), ciji se poslovi u velikoj meri poklapaju sa poslovima Tela za koordinaciju poslova informacione bezbednosti, kao i sa organom državne uprave nadležni za bezbednost IKT sistema, tj. ministarstvo. nadležnim za poslove informacione bezbednosti (u daljem tekstu: Nadležni organ).
Mslio sam da ce sluzba za informacionu bezbednost biti u sastavu Slube za kontrolu u RATEL-u, jer neko mora prakticno i konkretno da deluje, npr. da redovno i vanredno prati i kontrolise IK(T) saobracaj, a ne samo da "... prikuplja i razmenjuje informacije o rizicima za bezbednost IKT sistema, kao i događajima koji ugrožavaju bezbednost IKT sistema i u vezi toga obaveštava, upozorava i savetuje lica koja upravljaju IKT sistemima u Republici Srbiji, kao i javnost, a posebno: ...". Prevario sam se, kada sam video Javni konkurs za prijem u radni odnos na neodređeno vreme od 22.02.2017.
"Vodič za IKT sisteme od posebnog značaja" je neptpun, zato sto ne daje odgovore na mnoga gore navedena i druga pitanja.