Ova stranica sadrži informacije o institucionalnom okviru sajber bezbednosti u Srbiji
REGULATIVA
Strategija, zakon, podzakonski akti
U regulativi se ne koristi termin 'sajber', nego informaciona bezbednost
Utvrđuje ciljeve i mere za razvoj informacionog društva i informacione bezbednosti
U pogledu informacione bezbednosti, Strategija sadrži:
1) Opis postojećeg stanja:
- Realizacija Strategije razvoja informacione bezbednosti za period od 2017. do 2020. godine
- Stanje informacione bezbednosti (građana, privrede, IKT sistema od posebnog značaja)
2) Promene koja se postižu sprovođenjem Strategije
3) Ciljeve Strategije
4) Mehanizam za sprovođenje Strategije i način izveštavanja o rezultatima sprovođenja;
5) Sprovedene konsultacije sa zainteresovanim stranama;
6) Procenu finansijskih sredstava potrebnih za sprovođenje Strategije i analiza finansijskih efekata;
7) Akcioni plan za sprovođenje Strategije razvoja informacionog društva i informacione bezbednosti u Republici Srbiji za period od 2021. do 2026. godine;
8) Završni deo;
9) Tabelu Akcionog plana za realizaciju Strategije razvoja informacionog društva i informacione bezbednosti za period od 2021. do 2023. godine
Propisuje:
- šta su IKT sistemi od posebnog značaja
- koje su obaveze operatora IKT sistema od posebnog značaja, a naročito koje mere zaštite od bezbednosnih rizika su dužni da preduzmu, i šta su dužni da učine u slučaju incidenta
- ostvarivanje koordinacije između činilaca zaštite
- praćenje pravilne primene propisanih mera zaštite
- Uredba o utvrđivanju Liste delatnosti u oblastima u kojima se obavljaju delatnosti od opšteg interesa i u kojima se koriste informaciono-komunikacioni sistemi od posebnog značaja. Link
- Uredba o bližem uređenju mera zaštite informaciono-komunikacionih sistema od posebnog značaja. Link
- Uredba o postupku obaveštavanja o incidentima u informaciono-komunikacionim sistemima od posebnog značaja. Link
- Uredba o bližem sadržaju akta o bezbednosti informaciono-komunikacionih sistema od posebnog značaja, načinu provere i sadržaju izveštaja o proveri bezbednosti informaciono-komunikacionih sistema od posebnog značaja. Link
- Uredba o kriptobezbednosti i zaštiti od kompromitujućeg elektromagnetnog zračenja. Link
- Uredba o bezbednosti i zaštiti dece pri korišćenju informaciono-komunikacionih tehnologija. Link
- Pravilnik o podacima koje sadrži evidencija operatora informaciono-komunikacionih sistema od posebnog značaja. Link
- Pravilnik o vrsti, formi i načinu dostavljanja statističkih podataka o incidentima u informaciono-komunikacionim sistemima od posebnog značaja. Link
- Pravilnik o sadržaju, načinu upisa i vođenja evidencije posebnih centara za prevenciju bezbednosnih rizika u informaciono-komunikacionim sistemima. Link
- Odluka o obrazovanju Tela za koordinaciju poslova informacione bezbednosti. Link
Kako se ostvaruje informaciona bezbednost?
1) Propisane su mere zaštite od bezbednosnih rizika u informaciono-komunikacionim sistemima od posebnog značaja
2) Uređena je odgovornost pravnih lica prilikom upravljanja i korišćenja informaciono-komunikacionih sistema, propisivanjem
- obaveza u prevenciji i upravljanju rizicima
- obaveza u slučaju nastupanja incidenta
- prekršaja za nepostupanja po tim obavezama
3) Određene su institucije za koordinaciju i praćenje pravilne primene propisanih mera zaštite
POJMOVI
Informaciona bezbednost, incident, IKT sistem od posebnog značaja
Informaciona bezbednost predstavlja skup mera kojima se podacima , kojima se rukuje putem informaciono-komunikacionog sistema, omogućava
- zaštita od neovlašćenog pristupa
- zaštita integriteta
- zaštita raspoloživosti
- zaštita autentičnosti
- zaštita neporecivosti
da bi IKT funkcionisao
- kako je predviđeno
- kada je predviđeno
- pod kontrolom ovlašćenih lica
Šta je informaciono-komunikacioni sistem (IKT sistem)?
Tehnološko-organizaciona celina koja obuhvata:
(1) elektronske komunikacione mreže u smislu zakona koji uređuje elektronske komunikacije
(2) uređaje ili grupe međusobno povezanih uređaja, takvih da se u okviru uređaja, odnosno u okviru barem jednog iz grupe uređaja, vrši automatska obrada podataka korišćenjem računarskog programa
(3) podatke koji se vode, čuvaju, obrađuju, pretražuju ili prenose pomoću sredstava mreža i uređaja, a u svrhu njihovog rada, upotrebe, zaštite ili održavanja
(4) organizacionu strukturu putem koje se upravlja IKT sistemom
(5) sve tipove sistemskog i aplikativnog softvera i softverske razvojne alate
Incident je događaj koji ima stvaran negativan uticaj na bezbednost mrežnih i informacionih sistema
Na koje incidente se primenjuje ZIB?
ZIB se primenjuje samo na incidente
- u IKT sistemima od posebnog značaja
- koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti
Šta je IKT sistem od posebnog značaja ?
IKT sistemi koji se koriste:
Organ vlasti je:
- državni organ
- organ autonomne pokrajine
- organ jedinice lokalne samouprave
- organizacija i drugo pravno ili fizičko lice kome je povereno vršenje javnih ovlašćenja
Na ovaj način je dodatno proširen krug operatora IKT sistema od posebnog značaja na sva pravna lica, organe vlasti, organizacione jedinice organa vlasti koji vrše dozvoljenu obradu posebnih vrsta podataka o ličnosti.
Šta su posebne vrste podataka o ličnosti?
- podaci o rasnom poreklu
- podaci o etničkom poreklu
- podaci o političkom mišljenju
- podaci o verskom ili filozofskom uverenju
- podaci o članstvu u sindikatu
- genetski podaci
- biometrijski podaci u cilju jedinstvene identifikacije lica
- podaci o zdravstvenom stanju
- podaci o seksualnom životu ili seksualnoj orijentaciji fizičkog lica
U smislu čl. 17 ZZPL, obrada posebnih vrsta podataka o ličnosti je zabranjena
Izuzetno, obrada posebnih vrsta podataka o ličnosti je dozvoljena (čl. 17 ZZPL):
1) lice na koje se podaci odnose je dalo izričit pristanak za obradu za jednu ili više svrha obrade, osim ako je zakonom propisano da se obrada ne vrši na osnovu pristanka;
2) obrada je neophodna u cilju izvršenja obaveza ili primene zakonom propisanih ovlašćenja rukovaoca ili lica na koje se podaci odnose u oblasti rada, socijalnog osiguranja i socijalne zaštite, ako je takva obrada propisana zakonom ili kolektivnim ugovorom koji propisuje primenu odgovarajućih mera zaštite osnovnih prava, sloboda i interesa lica na koje se podaci odnose;
3) obrada je neophodna u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica, ako lice na koje se podaci odnose fizički ili pravno nije u mogućnosti da daje pristanak;
4) obrada se vrši u okviru registrovane delatnosti i uz primenu odgovarajućih mera zaštite od strane zadužbine, fondacije, udruženja ili druge nedobitne organizacije sa političkim, filozofskim, verskim ili sindikalnim ciljem, pod uslovom da se obrada odnosi isključivo na članove, odnosno bivše članove te organizacije ili lica koja imaju redovne kontakte sa njom u vezi sa ciljem organizacije, kao i da se podaci o ličnosti ne otkrivaju izvan te organizacije bez pristanka lica na koje se odnose;
5) obrađuju se podaci o ličnosti koje je lice na koje se oni odnose očigledno učinilo javno dostupnim;
6) obrada je neophodna u cilju podnošenja, ostvarivanja ili odbrane pravnog zahteva ili u slučaju kad sud postupa u okviru svoje nadležnosti;
7) obrada je neophodna u cilju ostvarivanja značajnog javnog interesa određenog zakonom, ako je takva obrada srazmerna ostvarivanju cilja, uz poštovanje suštine prava na zaštitu podataka o ličnosti i ako je obezbeđena primena odgovarajućih i posebnih mera zaštite osnovnih prava i interesa lica na koje se ovi podaci odnose;
8) obrada je neophodna u svrhu preventivne medicine ili medicine rada, radi procene radne sposobnosti zaposlenih, medicinske dijagnostike, pružanja usluga zdravstvene ili socijalne zaštite, odnosno upravljanja zdravstvenim ili socijalnim sistemima, na osnovu zakona ili na osnovu ugovora sa zdravstvenim radnikom, ako se obrada vrši od strane ili pod nadzorom zdravstvenog radnika ili drugog lica koje ima obavezu čuvanja profesionalne tajne propisane zakonom ili profesionalnim pravilima;
9) obrada je neophodna u cilju ostvarivanja javnog interesa u oblasti javnog zdravlja, kao što je zaštita od ozbiljnih prekograničnih pretnji zdravlju stanovništva ili obezbeđivanje visokih standarda kvaliteta i sigurnosti zdravstvene zaštite i lekova ili medicinskih sredstava, na osnovu zakona koji obezbeđuje odgovarajuće i posebne mere zaštite prava i sloboda lica na koje se podaci odnose, posebno u pogledu čuvanja profesionalne tajne;
10) obrada je neophodna u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja i u statističke svrhe, u skladu sa članom 92. stav 1. ovog zakona, ako je takva obrada srazmerna ostvarivanju ciljeva koji se nameravaju postići, uz poštovanje suštine prava na zaštitu podataka o ličnosti i ako je obezbeđena primena odgovarajućih i posebnih mera zaštite osnovnih prava i interesa lica na koje se ovi podaci odnose.
Obrada posebnih vrsta podataka od strane nadležnih organa u posebne svrhe (u svrhe sprečavanja, istrage i otkrivanja krivičnih dela, gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija, uključujući sprečavanje i zaštitu od pretnji javnoj i nacionalnoj bezbednosti ) dozvoljena je (čl. 18 ZZPL):
- ako je to neophodno
- uz primenu odgovarajućih mera zaštite prava lica na koje se podaci odnose
- u jednom od sledećih slučajeva:
1) nadležni organ je zakonom ovlašćen da obrađuje posebne vrste podataka o ličnosti;
2) obrada posebnih vrsta podataka o ličnosti vrši se u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica;
3) obrada se odnosi na posebne vrste podataka o ličnosti koje je lice na koje se oni odnose očigledno učinilo dostupnim javnosti.
ZIB nabraja u kojim oblastima se obaljaju ove delatnosti, a detaljna lista delatnosti za svaku od ovih oblasti utvrđena je Uredbom.
Na ovaj način je krug operatora IKT sistema od posebnog značaja široko postavljen na veliki broj oblasti:
(1) energetika:
– proizvodnja, prenos i distribucija električne energije;
– proizvodnja i prerada uglja;
– istraživanje, proizvodnja, prerada, transport i distribucija nafte i promet nafte i naftnih derivata;
– istraživanje, proizvodnja, prerada, transport i distribucija prirodnog i tečnog gasa;
(2) saobraćaj:
– železnički, poštanski, vodni i vazdušni saobraćaj;
(3) zdravstvo:
– zdravstvena zaštita;
(4) bankarstvo i finansijska tržišta:
– poslovi finansijskih institucija;
– poslovi vođenja registra podataka o obavezama fizičkih i pravnih lica prema finansijskim institucijama;
– poslovi upravljanja, odnosno obavljanja delatnosti u vezi sa funkcionisanjem regulisanog tržišta;
(5) digitalna infrastruktura:
– razmena internet saobraćaja;
– upravljanje registrom nacionalnog internet domena i sistemom za imenovanje na mreži (DNS sistemi);
(6) dobra od opšteg interesa:
– korišćenje, upravljanje, zaštita i unapređivanje dobara od opšteg interesa (vode, putevi, mineralne sirovine, šume, plovne reke, jezera, obale, banje, divljač, zaštićena područja);
(7) usluge informacionog društva:
– usluge informacionog društvo (usluga u smislu zakona kojim se uređuje elektronska trgovina);
(8) ostale oblasti:
– elektronske komunikacije;
– izdavanje službenog glasila Republike Srbije;
– upravljanje nuklearnim objektima;
– proizvodnja, promet i prevoz naoružanja i vojne opreme;
– upravljanje otpadom;
– komunalne delatnosti;
– proizvodnja i snabdevanje hemikalijama;
koje osniva Republika Srbija, autonomna pokrajina ili jedinica lokalne samouprave za obavljanje delatnosti od opšteg interesa i drugim telatnostima (tačka 3)
Koji incidenti u IKT sistemima od posebnog značaja imaju značajan uticaj ?
1) incidenti koji dovode do prekida kontinuiteta vršenja poslova i pružanja usluga, odnosno znatnih teškoća u vršenju poslova i pružanju usluga
2) incidenti koji utiču na veliki broj korisnika usluga, ili traju duži vremenski period
3) incidenti koji dovode do prekida kontinuiteta, odnosno teškoća u vršenju poslova i pružanja usluga, koji utiču na obavljanje poslova i vršenje usluga drugih operatora IKT sistema od posebnog značaja ili utiču na javnu bezbednost
4) incidenti koji dovode do prekida kontinuiteta, odnosno teškoće u vršenju poslova i pružanju usluga i imaju uticaj na veći deo teritorije Republike Srbije
5) incidenti koji dovode do neovlašćenog pristupa zaštićenim podacima čije otkrivanje može ugroziti prava i interese onih na koje se podaci odnose
6) incidenti koji su nastali kao posledica incidenta u IKT sistemu u oblasti usluga informacionog društva, kada IKT sistem od posebnog značaja u svom poslovanju koristi informacione usluge IKT sistema iz ove oblasti
Kako i kome prijaviti incident?
AKTERI
Činioci zaštite informacione bezbednosti
Ministarstvo informisanja i telekomunikacija
Za bezbednost IKT sistema nedležno je Ministarstvo informisanja i telekomunikacija (Nadležni organ)
Prethodno je bilo nadležno Ministarstvo trgovine, turizma i telekomunikacija, u okviru kog je postojao Sektor za informaciono društvo i informacionu bezbednost
Sektor za informaciono društvo i informacionu bezbednost
- priprema i izrada nacrta zakona i drugih propisa iz delokruga Sektora
- priprema i izrada mišljenja na zakone i druge propise iz delokruga Sektora i priprema i izrada mišljenja na zakone i druge propise drugih državnih organa, koji su u vezi sa delokrugom Sektora
- preventivno delovanje i vršenje inspekcijskog nadzora nad primenom zakona i drugih propisa kojima se uređuju informaciona bezbednost
- pružanje stručne pomoći u izradi tenderske dokumentacije i obavljanje priprema za objavljivanje i sprovođenje konkursa
- analiziranje strukture baze podataka i formata za razmenu podataka
- zaštita podataka i informaciona bezbednost
- učešće u procesima koji su u vezi sa stručnim usavršavanjem državnih službenika u Sektoru i druge poslove iz delokruga Sektora
- Odsek za regulativu u oblasti informacionog društva
- Grupa za podršku radu Nacionalnog kontakt centra za bezbednost dece na Internetu
- Grupa za analizu i planiranje u oblasti informacionog društva
- Grupa za inspekcijski nadzor i kontrolu u oblasti elektronske identifikacije, usluga od poverenja i informacione bezbednosti za planiranje i pripremu mera zaštite IKT sistema
Ministarstvo odbrane
Ministarstvo odbrane je nadležno za poslove informacione bezbednosti koji se odnose na
- odobravanje kriptografskih proizvoda,
- distribuciju kriptomaterijala i
- zaštitu od kompromitujućeg elektromagnetnog zračenja
- druge poslove i zadatke u skladu sa zakonom i propisima donetim na osnovu zakona
1) organizuje i realizuje naučnoistraživački rad u oblasti kriptografske bezbednosti i zaštite od KEMZ;
2) razvija, implementira, verifikuje i klasifikuje kriptografske algoritme;
3) istražuje, razvija, verifikuje i klasifikuje sopstvene kriptografske proizvode i rešenja zaštite od KEMZ;
4) verifikuje i klasifikuje domaće i strane kriptografske proizvode i rešenja zaštite od KEMZ;
5) definiše procedure i kriterijume za evaluaciju kriptografskih bezbednosnih rešenja;
6) vrši funkciju nacionalnog organa za odobrenja kriptografskih proizvoda i obezbeđuje da ti proizvodi budu odobreni u skladu sa odgovarajućim propisima;
7) vrši funkciju nacionalnog organa za zaštitu od KEMZ;
8) vrši proveru IKT sistema sa aspekta kriptobezbednosti i zaštite od KEMZ;
9) vrši funkciju nacionalnog organa za distribuciju kriptomaterijala i definiše upravljanje, rukovanje, čuvanje, distribuciju i evidenciju kriptomaterijala u skladu sa propisima;
10) planira i koordinira izradu kriptoparametara (parametara kriptografskog algoritma), distribuciju kriptomaterijala i zaštite od kompromitujućeg elektromagnetnog zračenja u saradnji sa samostalnim operatorima IKT sistema;
11) formira i vodi centralni registar verifikovanog i distribuiranog kriptomaterijala;
12) formira i vodi registar izdatih odobrenja za kriptografske proizvode;
13) izrađuje elektronske sertifikate za kriptografske sisteme zasnovane na infrastrukturi javnih ključeva (Public Key Infrastructure – PKI);
14) predlaže donošenje propisa iz oblasti kriptobezbednosti i zaštite od KEMZ na osnovu ovog zakona;
15) vrši poslove stručnog nadzora u vezi kriptobezbednosti i zaštite od KEMZ;
16) pruža stručnu pomoć nosiocu inspekcijskog nadzora informacione bezbednosti u oblasti kriptobezbednosti i zaštite od KEMZ;
17) pruža usluge uz naknadu pravnim i fizičkim licima, izvan sistema javne vlasti, u oblasti kriptobezbednosti i zaštite od KEMZ prema propisu Vlade na predlog ministra odbrane;
18) sarađuje sa domaćim i međunarodnim organima i organizacijama u okviru nadležnosti uređenih ovim zakonom.
Telo za koordinaciju poslova informacione bezbednosti
Osnovala Vlada Odlukom na osnovu čl. 5 Zakona o informacionoj bezbednosti
- ostvarivanje saradnje i usklađenog obavljanja poslova u funkciji unapređenja informacione bezbednosti
- iniciranje i praćenje preventivnih i drugih aktivnosti u oblasti informacione bezbednosti
Odlukom o obrazovanju Tela za koordinaciju poslova informacione bezbednosti kao zadaci Tela navode se:
- ostvarivanje saradnje između organa i usklađivanje obavljanje poslova u funkciji unapređenja informacione bezbednosti
- iniciranje i praćenje preventivne i druge aktivnosti u oblasti informacione bezbednosti
- predlaganje mera za unapređenje informacione bezbednosti u Republici Srbiji
- davanje sugestija i predloga koji se odnose na pripremu strateških dokumenata, podzakonskih akata i politika informacione bezbednosti u Republici Srbiji
- utvrđivanje međusobne saradnju u slučaju incidenata koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti u Republici Srbiji.
Predstavnici
- ministarstava nadležnih za poslove informacione bezbednosti, odbrane, unutrašnjih poslova, spoljnih poslova, pravde
- službi bezbednosti
- Kancelarije Saveta za nacionalnu bezbednost i zaštitu tajnih podataka
- Generalnog sekretarijata Vlade
- Narodne banke Srbije
- Centra za bezbednost IKT sistema u organima vlasti
- Nacionalnog centra za prevenciju bezbednosnih rizika u IKT sistemima (Nacionalni CERT)
Nacionalni CERT
CERT (Computer Emergency Response Team) predstavlja centar za prevenciju i zaštitu od bezbednosnih rizika u IKT (informaciono-komunikacionim) sistemima
Nacionalni CERT obavlja poslove koordinacije prevencije i zaštite od bezbednosnih rizika u IKT sistemima na nacionalnom nivou
Poslove nacionalnog CERT-a obavlja Regulatorna agencija za elektronske komunikacije i poštanske usluge (RATEL)
Nacionalni CERT prikuplja i razmenjuje informacije o rizicima za bezbednost IKT sistema, kao i događajima koji ugrožavaju bezbednost IKT sistema i u vezi toga obaveštava, pruža podršku, upozorava i savetuje lica koja upravljaju IKT sistemima u Republici Srbiji, kao i javnost, a posebno:
1) prati stanje o incidentima na nacionalnom nivou;
2) pruža rana upozorenja, uzbune i najave i informiše relevantna lica o rizicima i incidentima;
3) reaguje po prijavljenim ili na drugi način otkrivenim incidentima u IKT sistemima od posebnog značaja, kao i po prijavama fizičkih i pravnih lica, tako što pruža savete i preporuke na osnovu raspoloživih informacija o incidentima i preduzima druge potrebne mere iz svoje nadležnosti na osnovu dobijenih saznanja;
4) kontinuirano izrađuje analize rizika i incidenata;
5) podiže svest kod građana, privrednih subjekata i organa vlasti o značaju informacione bezbednosti, o rizicima i merama zaštite, uključujući sprovođenje kampanja u cilju podizanja te svesti;
6) vodi evidenciju Posebnih CERT-ova;
7) izveštava Nadležni organ na kvartalnom nivou o preduzetim aktivnostima.
Nadzor nad radom Nacionalnog CERT-a u vršenju poslova poverenih ovim zakonom vrši Nadležni organ (Ministarstvo informisanja i telekomunikacija), preko Grupe za inspekcijski nadzor i kontrolu, formirane u okviru Sektora za informaciono društvo i informacionu bezbednost
Periodično se, a najmanje jednom godišnje, proverava da li
- Nacionalni CERT raspolaže odgovarajućim resursima
- organizuje najmanje tri puta godišnje sastanke Nacionalnog CERT, CERT-ova organa vlasti i CERT-ova samostalnih operatora IKT sistema, kao i i po potrebi u slučaju incidenata koji značajno ugrožavaju informacionu bezbednost u Republici Srbiji
- kontroliše učinak uspostavljenih procesa za upravljanje sigurnosnim incidentima
Posebni CERT-ovi
Poseban centar za prevenciju bezbednosnih rizika u IKT sistemima (Poseban CERT) obavlja poslove prevencije i zaštite od bezbednosnih rizika u IKT sistemima u okviru određenog pravnog lica, grupe pravnih lica, oblasti poslovanja i slično
Poseban CERT je pravno lice ili grupa pravnih lica, ili organizaciona jedinica u okviru pravnog lica koja je upisana u evidenciju posebnih CERT-ova u Nacionalnom CERT-u
Evidenciju posebnih CERT-ova vodi Nacionalni CERT
Procedura za upis u Registar posebnih CERT-ova utvrđena je u Pravilniku o sadržaju, načinu upisa i vođenja evidencije posebnih centara za prevenciju bezbednosnih rizika u informaciono-komunikacionim sistemima
Obrazac prijave za upis u Registar posebnih CERT-ova
CERT organa vlasti
Centar za bezbednost IKT sistema u organima vlasti obavlja poslove koji se odnose na zaštitu od incidenata u IKT sistemima organa vlasti, izuzev IKT sistema samostalnih operatora
- Organ vlasti je državni organ, organ autonomne pokrajine, organ jedinice lokalne samouprave, organizacija i drugo pravno ili fizičko lice kome je povereno vršenje javnih ovlašćenja
Poslove CERT-a organa vlasti obavlja organ nadležan za projektovanje, razvoj, izgradnju, održavanje i unapređenje računarske mreže republičkih organa
Poslovi CERT-a organa vlasti obuhvataju:
1) zaštitu Jedinstvene informaciono-komunikacione mreže elektronske uprave
2) koordinaciju i saradnju sa operatorima IKT sistema koje povezuje jedinstvena mreža u prevenciji incidenata, otkrivanju incidenata, prikupljanju informacija o incidentima i otklanjanju posledica incidenata
3) izdavanje stručnih preporuka za zaštitu IKT sistema organa vlasti, osim IKT sistema za rad sa tajnim podacima
CERT-ovi samostalnih operatora IKT sistema
Samostalni operatori IKT sistema su
- ministarstvo nadležno za poslove odbrane
- ministarstvo nadležno za unutrašnje poslove
- ministarstvo nadležno za spoljne poslove
- službe bezbednosti
Dužni su da formiraju sopstvene CERT-ove radi upravljanja incidentima u svojim sistemima, kao organizacione jedinice
CERT-ovi samostalnih operatora IKT sistema međusobno razmenjuju informacije o incidentima, kao i sa nacionalnim CERT-om i sa CERT-om organa vlasti, a po potrebi i sa drugim organizacijama
Delokrug CERT-a može obuhvatati:
1) izradu internih akata u oblasti informacione bezbednosti
2) izbor, testiranje i implementaciju tehničkih, fizičkih i organizacionih mera zaštite, opreme i programa
3) izbor, testiranje i implementaciju mera zaštite od KEMZ (kompromitujuće elektromagnetno zračenje)
4) nadzor implementacije i primene bezbednosnih procedura
5) upravljanje i korišćenje kriptografskih proizvoda
6) analizu bezbednosti IKT sistema u cilju procene rizika
7) obuku zaposlenih u oblasti informacione bezbednosti
Inspekcija za informacionu bezbednost
Poslove inspekcije obavlja Ministarstvo informisanja i telekomunikacija preko inspektorata za informacionu bezbednost.
U okviru Sektora za informaciono društvo i informacionu bezbednost formirana je Grupa za inspekcijski nadzor i kontrolu u oblasti elektronske identifikacije, usluga od poverenja i informacione bezbednosti za planiranje i pripremu mera zaštite IKT sistema
Inspekcija za informacionu bezbednost vrši inspekcijski nadzor nad
- primenom Zakona o informacionoj bezbednosti i
- radom operatora IKT sistema od posebnog značaja
Inspekcija za informacionu bezbednost ne vrši inspekcijski nadzor nad radom
- samostalnih operatora IKT sistema (ministarstvo nadležno za poslove odbrane, ministarstvo nadležno za unutrašnje poslove, ministarstvo nadležno za spoljne poslove i službe bezbednost)
- IKT sistema za rad sa tajnim podacima (IKT sistem koji je u skladu sa Zakonom o tajnosti podataka)
Inspektor za informacionu bezbednost utvrđuje da li su ispunjeni uslovi propisani Zakonom o informacionoj bezbednosti i propisima donetim na osnovu tog zakona
Postupa u skladu sa Zakonom o inspekcijskom nadzoru
U sprovođenju inspekcijskog nadzora, pored ovlašćenja iz Zakona o inspekcijskom nadzoru (čl. 21-34), Inspektor je ovlašćen i da:
1) naloži otklanjanje utvrđenih nepravilnosti i za to ostavi rok
2) zabrani korišćenje postupaka i tehničkih sredstava kojima se ugrožava ili narušava informaciona bezbednost i za to ostavi rok
Operator IKT sistema od posebnog značaja
- Pravno lice
- Organ vlasti
- Organizaciona jedinica organa vlasti
koji koristi IKT sistem u okviru obavljanja svoje delatnosti, odnosno poslova iz svoje nadležnosti
Da bi se shvatilo koga sve treba smatrati operatorom takvog sistema, treba poći od toga šta se sve podrazumeva pod IKT sistemom od posebnog značaja
Na taj način se dolazi do širokog kruga pravnih lica, organa vlasti i njihovih organizacionih jedinica
ODGOVORNOST
Obaveze operatora IKT sistema od posebnog značaja i posledice nepostupanja po tim obavezama
Koje su obaveze operatora IKT sistema od posebnog značaja?
Na osnovu čl. 6a ZIB operator IKT sistema od posebnog značaja dužan je da:
Evidenciju vodi Nadležni organ (Ministarstvo informisanja i telekomunikacija)
Evidencija sadrži podatke određene čl. 6 b ZIB
Bliži uslovi za vođenje evidencije propisani su Pravilnikom
Ako operator ne izvrši upis u evidenciju u roku od 90 dana od dana usvajanja Pravilnika, čini prekršaj iz čl. 30 st. 1 tač. 1 ZIB
Merama zaštite se obezbeđuje prevencija od nastanka incidenata, odnosno prevencija i smanjenje štete od incidenata koji ugrožavaju vršenje nadležnosti i obavljanje delatnosti, a posebno u okviru pružanja usluga drugim licima.
Čl. 7 ZIB propisano je na šta se odnose mere zaštite
Pojedine mere zaštite bliže su uređene Uredbom
Operator u aktu o bezbednosti IKT sistema određuje mere zaštite, na način utvrđen Uredbom
Ako operator ne primeni mere zaštite određene aktom, čini prekršaj iz čl. 30 st. 1 tač. 3 ZIB
Aktom se određuju mere zaštite, a naročito principi, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti sistema, kao i ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima IKT sistema od posebnog značaja
Bliži sadržaj akta propisan je Uredbom
Ako operator ne donese akt, čini prekršaj iz čl. 30 st. 1 tač. 2 ZIB
Operator je dužan da samostalno ili uz angažovanje spoljnih eksperata vrši proveru i da o tome sačini izveštaj
Način provere IKT sistema od posebnog značaja i sadržaj izveštaja o proveri propisan je Uredbom
Ako operator ne izvrši proveru usklađenosti primenjenih mera, čini prekršaj iz čl. 30 st. 1 tač. 4 ZIB
Operator može da poveriti aktivnosti u vezi sa IKT sistemom trećim licima, ali je obavezan da uredi odnos sa tim licima na način koji obezbeđuje preduzimanje mera zaštite tog IKT sistema u skladu sa zakonom.
Treće lice je i privredni subjekat koji je imovinskim i upravljačkim odnosima (lica sa učešćem, članice grupe društava kojoj taj privredni subjekt pripada i dr.) povezan sa operatorom IKT sistema od posebnog značaja.
Mogu se poveriti sledeće aktivnosti:
- aktivnosti koje uključuju obradu, čuvanje, odnosno mogućnost pristupa podacima kojima raspolaže operator IKT sistema od posebnog značaja, a odnose se na njegovo poslovanje
- aktivnosti razvoja, odnosno održavanja softverskih i hardverskih komponenti od kojih neposredno zavisi njegovo ispravno postupanje prilikom vršenja poslova iz nadležnosti, odnosno pružanja usluga
Poveravanje se vrši se na osnovu ugovora ili posebnim propisom
Operatori su dužni da Nadležnom organu (Ministarstvu informisanja i telekomunikacija) ili Nacionalnom CERT-u dostave:
- obaveštenje o incidentu
- nakon prijave incidenta, ukoliko je incident i dalje u toku, obaveštenja o bitnim događajima u vezi sa incidentom i aktivnostima koje preduzimaju do prestanka incidenta
- završni izveštaj o incidentu u roku od 15 dana od dana prestanka incidenta (izveštaj obavezno sadrži vrstu i opis incidenta, vreme i trajanje incidenta, posledice koje je incident izazvao, preduzete aktivnosti radi otklanjanja posledica incidenta i, po potrebi, druge relevantne informacije)
Postupak obaveštavanja o incidentima bliže je uređen Uredbom
Obaveza obaveštavanja odnosi se samo na
- incidente koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti (posledica), a koji su nabrojani u čl. 11a
- incidente koji su doveli do značajnog povećanja rizika od nastupanja posledica
Ako operator ne dostavi obaveštenje o incidentu, čini prekršaj iz čl. 31 st. 1 tač. 1 ZIB
Ako operator ne dostavi obaveštenja o incidentu koji još uvek traje, čini prekršaj iz čl. 31 st. 1 tač. 2 ZIB
Ako operator ne dostavi izveštaj o incidentu, čini prekršaj iz čl. 31 st. 1 tač. 3 ZIB
Obaveza prijavljivanja incidenta na opisan način ne odnosi se na:
- samostalne operatore IKT sistema (ministarstvo nadležno za poslove odbrane, ministarstvo nadležno za unutrašnje poslove, ministarstvo nadležno za spoljne poslove, službe bezbednosti)
- operatore IKT sistemima za rad sa tajnim podacima
Operator je dužan je da dostavi Nacionalnom CERT-u statističke podatke o svim incidentima u prethodnoj godini, koji objedinjene te podatke, dostavlja ih Nadležnom organu (Ministarstvu informisanja i telekomunikacija) i objavljuje na veb stranici Nacionalnog CERT-a
Podaci se dostavljaju najkasnije do 28. februara tekuće godine
Ako operator ne dostavi obaveštenje o incidentu, čini prekršaj iz čl. 30 st. 1 tač. 5 ZIB
Vrsta, forma i način dostavljanja statističkih podataka utvrdđena su u Pravilniku Nacionalnog CERT-a
Na sajtu Nacionalnog CERT-a su dostupni statistički podaci za 2021 i 2020
Šta ako operator IKT sistema od posebnog značaja ne postupi po ovim obavezama?
> Ako operator ne postupa po utvrđenim obavezama, čini prekršaje iz čl. 30 i 31 ZIB.
Ako:
1) ne izvrši upis u evidenciju u roku iz člana 6b stav 4. ovog zakona;
2) ne donese Akt o bezbednosti IKT sistema iz člana 8. stav 1. ovog zakona;
3) ne primeni mere zaštite određene Aktom o bezbednosti IKT sistema iz člana 8. stav 2. ovog zakona;
4) ne izvrši proveru usklađenosti primenjenih mera iz člana 8. stav 4. ovog zakona;
5) ne dostavi statističke podatke iz člana 11b stav 1. ovog zakona;
6) ne postupi po nalogu inspektora za informacionu bezbednost u ostavljenom roku iz člana 29. stav 1. tačka 1. ovog zakona.
- operator IKT sistema od posebnog značaja kazniće se novčanom kaznom u iznosu od 50.000,00 do 2.000.000,00 dinara
- odgovorno lice u operatoru IKT sistema od posebnog značaja kazniće se novčanom kaznom u iznosu od 5.000,00 do 50.000,00 dinara
Ako:
1) o incidentima u IKT sistemu ne obavesti organe iz člana 11. st. 1, 3. i 7. ovog zakona;
2) ne dostavlja obaveštenja o bitnim događajima u vezi sa incidentom i aktivnostima iz člana 11. stav 5. ovog zakona;
3) ne dostavi završni izveštaj u roku iz člana 11. stav 6. ovog zakona.
- operator IKT sistema od posebnog značaja kazniće se novčanom kaznom u iznosu od 50.000,00 do 500.000,00 dinara
- odgovorno lice u operatoru IKT sistema od posebnog značaja kazniće se novčanom kaznom u iznosu od 5.000,00 do 50.000,00 dinara.
Prekršajni postupak se pokreće po zahtevu:
- ovlašćenog organa (Inspekcija za informacionu bezbednost)
- oštećenog lica
> Ako bi operator propustio da primeni mere zaštite, moglo bi se govoriti i o krivičnoj odgovornosti
Međutim, Krivični zakonik za sada ne propisuje krivično delo pod koje bi se moglo podvesti propuštanje operatora IKT od posebnog značaja
> Ako se usled incidenta ostvare elementi krivičnog dela, moglo bi se raditi o nekom od krivičnih dela obuhvaćenim pojmom visokotehnološkog kriminala
Prvenstveno bi se moglo raditi o delima protiv bezbednosti računarskih podataka (čl. 298-304a KZ), ali i o drugim krivičnim delima