Izrada Akta O Bezbednosti IKT Resursa
22. 12. 2017.
Zakonom o informacionoj bezbednosti je predviđena obaveza za sve Operatore IKT sistema od posebnog značaja da donesu akt o bezbednosti IKT sistema. Pod definicijom Operatora IKT sistema se podrazumeva pravno lice, organ javne vlasti ili organizaciona jedinica organa javne vlasti koji koristi IKT sistem u okviru obavljanja svoje delatnosti, odnosno poslova iz svoje nadležnosti. U okvirima Javnog sektora, ova obaveza se pre svega odnosi na jedinice lokalne samouprave u Republici Srbiji ali i na druga javna preduzeća koja se bave poslovima od šireg značaja. Pored samih ustanova javnog sektora, zakon se odnosi i na čitav niz preduzeća Privatnog sektora čija delatnost, takođe, spada u domen Opšteg značaja. Po sagledavanju samog Zakonodavca, broj ustanova i preduzeća, zakonskih obveznika u čitavoj Republici Srbiji, dostiže brojku od 30.000. Znajući ovaj podatak kao i dodatno prepoznajući globalni razvoj IKT resursa i njihovu sve veću primenu u operativnim procesima državne uprave kao niz primarnih zadataka državne vlasti u budućem periodu, obaveza je svih pravno-ekonomskih subjekata u detaljnijem upoznavanju i aktivnoj primeni svih zakona i propisa iz ovog segmenta.
Probleme s kojima se susreću zakonski obveznici u implementiranju Zakona o informacionoj bezbednosti a pri započinjanju procesa izrade Akta o bezbednosti IKT resursa, možemo podeliti u nekoliko segmenata.
TRENUTNO STANJE IKT SISTEMA
U većini ustanova Javnog sektora, opremanje IKT resursima je rađeno po planovima obezbeđenja funkcionalnosti u skladu sa trenutnim potrebama obavljanja predviđenih delatnosti. Dosadašnja nabavka IKT sistema i implementacija potrebnih IT servisa je vršena na osnovu ograničenih budžetskih sredstava bez šireg i stručnog osvrta na dodatne bezbedonosne sisteme zaštite i praćenja bezbednosnih rizika. U skoro svim ustanovama, primena zakona tj. obezbeđenje primene mera zaštite na način kako to definiše Zakon i Uredbe a Akt o bezbednosti IKT resursa propisuje, zahteva dodatna ulaganja u manjoj ili većoj meri.
STRUČNI LJUDSKI RESURSI
Stručnjaci iz domena IT tehnologija a posebno uskospecijalizovani inženjerski kadara iz oblasti IKT Bezbednosti je generalno deficitaran na tržištu radne snage u celoj Republici Srbiji. Kad na tu činjenicu dodamo i to da sam Privatni sektor daje bolje i atraktivnije uslove zaposlenja ovakvim profesionalnim profilima, Javni sektor ima velike probleme da radno angažuje stručna lica za obavljanje ovakvih stručnih poslova u svojim ustanovama. Dodatno, kako potražnja za ovakvim kadrovima raste, svakim danom se i trenutna stručna osposobljenost državnih institucija i ustanova osipa a nove zaposlene je sve teže naći ali i radno angažovati s obzirom na aktuelnost zabrane zapošljavanja novih lica u Javnom sektoru. Ovaj problem na direktan način utiče na uspostavljanje i primenu Akta i bezbednosti i samog Zakona. Iz svih tih razloga, pojedine ustanove posežu za posebnim ugovorima i poslovnim angažovanjima ovakvog stručnog kadra te tako obezbeđuju bar one minimalne preduslove za funkcionisanjem svojih IKT resursa.
POZICIJA ODGOVORNOG LICA
Dosadašnja iskustva u primenu ovog zakona i izradi samog akta pokazuju da kod Odgovornih lica (Upravitelji, Direktori, Predsednici,..) postoji tek minimalni nivo razumevanja za potrebe i načine primene zakona. U velikoj većini slučajeva, odgovornost za lokalno sprovođenje zakona se prenosi na lica zadužena za IT resurse i lokalne pravne službe/sekretare. Po pravilu, ova lica imaju velike probleme da sprovedu propisane zakonske procedure jer nemaju izvršnu vlast i nisu u poziciji da odlučuju o potrebnim dodatnim resursima i izvršnim radnjama. Same pravne službe, razumeju način i potrebu izrade samog Akta o bezbedosti IKT resursa i spremne su da pomognu u njihovoj izradi ali, mahom, nemaju spoznaju o načinima implementacije samog akta. U takvim slučajevima se dešava da se izradi i usvoji Akt koji nema nikakvu primenu već samo predstavlja fiktivno ispunjenu zakonsku normu.
Jedini način koji može obezbediti potrebnu efikasnost i punu primenu zakona je zajednički rad Uprave, Pravne i IT službe uz puno međusobno razumevanje i internu podelu prava i dužnosti.
NABAVKA I ULAGANJE
S obzirom na poznati sistem planiranja i izvršenja budžeta uz ograničenja aktiviranja neplaniranih investicija i nabavki sredstava, sve ustanove Javnog sektora imaju problem da i delimično inoviraju svoje IKT resurse na način kako to Zakon traži. I sam Zakonodavac je toga svestan i ne očekuje da se investiranja vrše na kompletan način i odmah ali preporučuje da se, u skladu sa mogućnostima svake ustanove, bar započne sa prioritetskim inovacijama koje će u najkraćem mogućem vremenu obezbediti minimum bezbednosnih uslova na IKT sistemima. Dodatno, predlaže se da se odmah krene sa planiranjem novih investicija u sledećem budžetskom periodu na načine kako to definiše budžetsko planiranje date državne uprave.
TEHNOLOŠKI PROBLEM
Za razliku od primene drugih IT inovacija u poslovanju, IKT Bezbednost NEMA VENDORSKO rešenje. To znači da je nemoguće nabaviti jedinstveno i uređeno tehnološko rešenje od datog proizvođača koje će obezbediti propisani nivo interne bezbednosti IKT resursa. Naime, sama implementacije internih bezbednosnih uslova podrazumeva kombinaciju novih tehnologija više proizvođača prilagođenih internom funkconalnom okruženju same ustanove. Samo definisanje potreba, liste potrebnih IT resursa, po stručnosti, veoma retko spada u opise poslova i nivoa znanja lokalnog IT osoblja ustanove i zahteva dodatno angažovanje posebnih stručnih lica i specijalizovanih IT preduzeća. Na dalje, ovo dodatno angažovanje znači i dodatni trošak ustanove, neplaniran budžetom, te se time nanovo upada u petlju koju je teško rešiti.
INTERNE BEZBEDNOSNE PROCEDURE
Mere i funkcionalne procedure koje Zakon i Uredbe definišu se, po navodima samog Zakonodavca, oslanjaju na Sistem menadžmenta bezbednošću informacija, ISO 27000. Sam sistem je nov i do sada je u minimalnom nivou uspeo da bude implementiran u ustanovama Javnog sektora ali i u samom Privatnom sektoru. No, i pored toga, primena dela ovog menadžmenta kvaliteta u svakoj ustanovi koja krene u primenu ovog Zakona nije nerešiv problem i svakako se može izvesti. Kao osnovni preduslov, zahteva se postojanje internog tima za implementaciju zakona i kreiranje Akta o bezbednosti IKT resursa koga čine, kao što smo već naveli, Uprava, Pravni i IT sektor. Dodatno i takođe neophodno razumevanje se odnosi na stav da je pitanje IKT Bezbednosti briga i radna obaveza SVIH ZAPOSLENIH u ustanovi. Na tim osnovama a po procedurama Sistema menadžmenta ISO 2700, izrađuju se dokumentovane, interne procedure, koje definišu načine svakodnevnog operativnog rada zaokružene Aktom o bezbednosti IKT resursa koji tek time postaje aktivno primenljiv i realan.
INTERNE PRAVNE IMPLIKACIJE
Neophodno je navesti da će primena ovog zakona zasigurno uticati na promenu trenutno važećih internih akata svake organizacije koja ima obavezu da ga sa mogućnostima svake ustanove, bar započne sa prioritetskim inovacijama koje će u najkraćem mogućem vremenu obezbediti minimum bezbednosnih uslova na IKT sistemima.
Dodatno, predlaže se da se odmah krene sa planiranjem novih investicija u sledećem budžetskom periodu na načine kako to definiše budžetsko planiranje date državne uprave.
TEHNOLOŠKI PROBLEM
Za razliku od primene drugih IT inovacija u poslovanju, IKT Bezbednost NEMA VENDORSKO rešenje. To znači da je nemoguće nabaviti jedinstveno i uređeno tehnološko rešenje od datog proizvođača koje će obezbediti propisani nivo interne bezbednosti IKT resursa. Naime, sama implementacije internih bezbednosnih uslova podrazumeva kombinaciju novih tehnologija više proizvođača prilagođenih internom funkconalnom okruženju same ustanove. Samo definisanje potreba, liste potrebnih IT resursa, po stručnosti, veoma retko spada u opise poslova i nivoa znanja lokalnog IT osoblja ustanove i zahteva dodatno angažovanje posebnih stručnih lica i specijalizovanih IT preduzeća. Na dalje, ovo dodatno angažovanje znači i dodatni trošak ustanove, neplaniran budžetom, te se time nanovo upada u petlju koju je teško rešiti.
INTERNE BEZBEDNOSNE PROCEDURE
Mere i funkcionalne procedure koje Zakon i Uredbe definišu se, po navodima samog Zakonodavca, oslanjaju na Sistem menadžmenta bezbednošću informacija, ISO 27000. Sam sistem je nov i do sada je u minimalnom nivou uspeo da bude implementiran u ustanovama Javnog sektora ali i u samom Privatnom sektoru. No, i pored toga, primena dela ovog menadžmenta kvaliteta u svakoj ustanovi koja krene u primenu ovog Zakona nije nerešiv problem i svakako se može izvesti. Kao osnovni preduslov, zahteva se postojanje internog tima za implementaciju zakona i kreiranje Akta o bezbednosti IKT resursa koga čine, kao što smo već naveli, Uprava, Pravni i IT sektor. Dodatno i takođe neophodno razumevanje se odnosi na stav da je pitanje IKT Bezbednosti briga i radna obaveza SVIH ZAPOSLENIH u ustanovi. Na tim osnovama a po procedurama Sistema menadžmenta ISO 2700, izrađuju se dokumentovane, interne procedure, koje definišu načine svakodnevnog operativnog rada zaokružene Aktom o bezbednosti IKT resursa koji tek time postaje aktivno primenljiv i realan.
INTERNE PRAVNE IMPLIKACIJE
Neophodno je navesti da će primena ovog zakona zasigurno uticati na promenu trenutno važećih internih akata svake organizacije koja ima obavezu da ga primeni. Počevši sa pravima i obavezama internih sprovodilaca definisanih procedura pa do svakog zaposlenog ponaosob. Osnovne obaveze koje proizilaze iz zakona i koje se reflektuju na svakog zaposlenog su one o čuvanju podataka i dokumenata, striktnom pridržavanju donešenih bezbedonosnih internih procedura i dr. Ove procedure postaju poslovna obaveza sa zakonskom odgovornošću i kao takve bi trebale ući kako u interna akta tako i u same ugovore o radu svakog zaposlenog. Ovo podrazumeva i posebne nivoe edukacije i konkretne obuke kroz koje svako od zaposlenih mora da prođe.
