Информациона безбедност у Србији: стратешки и регулаторни оквир

Информациона безбедност у Србији

Информациона безбедност уопште

Информациона безбедност представља скуп мера које омогућавају да ИКТ систем заштити тајност, интегритет, расположивост, аутентичност и непорецивост податaка којима се рукује путем тог система и да би тај систем функционисао како је предвиђено, када је предвиђено и под контролом овлашћених лица.

Информациона безбедност у Србији

Информациона безбедност у Србији је област у којој свеобухватно стратешко и регулаторно уређење тек треба да се успостави. Стога, у наредном периоду очекује се припрема и доношење одговарајуће регулативе, што, пре свега, подразумева усвајање Закона о информационој безбедности и одговарајућих подзаконских аката. Иако тај закон, као системски у овој области, још није донет, у одредбама различитих закона постоје норме које се односе на информациону безбедност, као што су Кривични законик и Закон о електронским комуникацијама.

Стратешки приоритет

Стратегија чији је искључиви предмет информациона безбедност није донета, те је и њено усвајање један од будућих корака које треба предузети. Међутим, то не значи да информациона безбедност није утврђена као стратешки приоритет, будући да је Стратегијом развоја информационог друштва у Републици Србији до 2020. године информациона безбедност препозната као једна од шест приоритетних области развоја.

У Стратегији је наведено да развој и унапређење информационе безбедности треба постићи кроз унапређење правног и институционалног оквира, заштиту критичне информационе инфраструктуре, борбу против високотехнолошког криминала и научно–истраживачки рад. У Стратегији националне безбедности закључено је да је тенденција повећаног коришћења информационо-комуникационих технологија праћена константним повећањем ризика од високотехнолошког криминала и угрожавања информационих и телекомуникационих система.

Неопходност доношења Закона о информационој безбедности

У циљу унапређења правног оквира, потребно је, најпре, донети Закон о информационој безбедности. Законом би требало да се утврде мере које државни органи и приватни сектор морају да предузму ради очувања безбедности својих ИКТ система. Тим одредбама би се од њих захтевало постојање плана поступања ради превенције инцидената у информационим системима, чиме би се постигло да се информационој безбедности прида одговарајући значај и предвиде мере и процедуре за превенцију сајбер напада.

Поред тога, у закону је потребно прописати и обавезну пријаву инцидената у информационим системима у случају њиховог знатног угрожавања и опасности настанка штете, јер је ширење информација о инцидентима у ИС битно за адекватну превенцију и реакцију на инциденте.

Национални центар за брзо реаговање у случају инцидента

Такође, важно је да се законом установи Национални центар за брзо реаговање у случају инцидената везаних за ИС (енглески израз би био Computer Response Emergency Team – CRET). Законом би требало одредити надлежност Центра.

Центар би био тело чија би превасходна улога била подршка при појави инцидената у ИКТ системима, као и ширење свести и едукација јавности о потреби заштите ИКТ система и могућим ризицима. Приликом израде закона, треба имати у виду стратешке смернице Европске уније, а важно је пратити и процес усвајања Директиве о мрежној и информационој безбедности (NIS Directive).

Прилагођавање Кривичног законика

Што се тиче кривичноправне материје, а у вези са борбом против високотехнолошког криминала, треба истаћи да се у посебној глави Кривичног законика утврђују кривична дела против безбедности рачунарских података (чл.298-304а). Прописивањем ових кривичних дела је установљен основ за санкционисање починилаца штетних радњи у сајбер простору, што је веома значајно, будући да сајбер претње и инциденти константно расту, да могу имати веома штетне последице по државу и грађане, и да могу угрозити различита добра, пре свега имовину, приватност и бројне врсте информација. Поред кривичних дела против рачунарских података, Кривични законик инкриминише и искоришћавање рачунарске мреже или комуникације другим техничким средствима за извршење кривичних дела против полне слободе према малолетном лицу (члан 185б), као и кривична дела против интелектуалне својине (чл. 198-202.)

Наш законодавац је прописивањем наведених кривичних дела усвојио решења из Конвенције о високотехнолошком криминалу, којом су се државе потписнице, међу којима је и Србија, обавезале да ће у својим прописима предвидети кривична дела из домена високотехнолошког криминала. Одредбе КЗ-а су у већем делу усаглашене и са Директивом ЕУ о нападима на информационе системе, а за потпуну усклађеност са овим актом потребно је пооштрити санкције за поједина кривична дела против безбедности рачунарских програма и прописати теже облике одређених кривичних дела.

Информациона безбедност у Србији и принцип транспарентности

Пријављивање инцидената и обавештавање јавности о сајбер нападима представља једну од основних мера политике информационе безбедности. Као што смо већ навели, Законом о информационој безбедности требало би да се уреди ко ће, на који начин и под којим околностима пријављивати инциденте у ИС.

Према постојећим прописима, оператори имају обавезу пријављивања инцидената у њиховим комуникационим мрежама. Сходно Директиви 2009/140/EC којом је измењен регулаторни оквир ЕУ у области електронских комуникација, наш Закон о електронским комуникацијама обавезује операторе да предузму све радње неопходне за очување безбедности и интегритета јавних комуникационих мрежа и услуга, као и да обавесте претплатнике о постојању посебног ризика за њихово нарушавање.

У случају да је такав ризик ван опсега мера које је оператор дужан да примени, оператор мора да обавести претплатнике о могућим мерама заштите и трошковима у вези са применом тих мера. Такође, оперетор мора да обавести РАТЕЛ о повредама безбедности и интегритета мреже, а посебно ако су повреде за последицу имале нарушавање заштите података о личности или нарушавање приватности претплатника или корисника. РАТЕЛ је овлашћен да обавести јавност о повреди безбедности и интегритета мрежа и услуга, или да тражи од оператора да то сам уради.

Закон о електронском потпису и подзаконски акти донети на основу њега садрже одредбе којима се од стране сертификационих тела захтева испуњење одређених техничко-технолошких критеријума неопходних, између осталог, и за постизање и очување безбедности квалификованог електронског сертификата.

На основу наведеног, може се закључити да је материја која се односи на безбедност ИС обрађена у одредбама наших прописа. Исто тако је јасно да је у овој области потребно регулисање на ширем плану. Ризици и претње које постоје у сајбер простору треба да се схвате озбиљно, и зато је потребно предузети координисане и системске мере и активности како би се друштво у целини боље припремило за инциденте у сајбер простору и како би се постигла адекватна реакција када се догоди угрожавање информационих система.

Милан Војводић

Дипломирани правник са фокусом на информациону безбедност. Ради у Министарству трговине, туризма и телекомуникација - Сектор за информационо друштво. Био члан делегације Р. Србије на скринингу у оквиру ПГ 10 - Информационо друштво и медији.