Закон о информационој безбедности: нацрт

Закон о информационој безбедности

Министарство трговине, туризма и телекомуникација објавило је на свом сајту Нацрт закона о информационој безбедности, сачињен од стране радне групе коју су чинили представници институција чији су послови ближе повезани са том материјом.

Шта је информациона безбедност?

Према дефиницији у закону, информациона безбедност представља скуп мера које омогућавају да ИКТ систем заштити тајност, интегритет, расположивост, аутентичност и непорецивост податaка којима се рукује путем тог система, да би тај систем функционисао како је предвиђено, када је предвиђено и под контролом овлашћених лица.

Надлежни орган

Надлежни орган за информациону безбедност у Републици Србији је министарство надлежно за послове информационог друштва. Према важећем Закону о министарствима, надлежни орган за информационо друштво је Министарство трговине, туризма и телекомуникација. Нацрт закона предвиђа да Министарство предлаже подзаконске акте које доноси Влада и којима се извршавају одредбе закона, обавља међународну сарадњу, прима информације о инцидентима који могу да значајно утичу на угрожавање информационе безбедности и о њима упозорава међународне партнере и врши инспекцијски надзор над применом закона.

Руковаоци ИКТ система од посебног значаја

Како све више органа јавне власти, привредних и других субјеката обавља своје послове путем ИКТ система, а имајући у виду чињеницу да одређени послови због своје природе и важности морају да се обављају у безбедном окружењу, Нацртом закона предвиђени су ИКТ системи од посебног значаја, који морају да предузму адекватне техничке и организационе мере ради заштите својих система.

Нацрт закона одређује ИКТ системе од посебног значаја, и то оне који се користе у:

  • обављању послова у органима јавне власти;
  • обављању делатности од општег интереса;
  • обављању послова финансијских институција;
  • обављању послова у здравственој заштити;
  • обављању делатности пружања услуга информационог друштва којима се омогућавају друге услуге информационог друштва.

Влада уредбом утврђује листу ових ИКТ система у којој би се конкретно набројали субјекти који врше ове послове и делатности.

У циљу постизања неопходног нивоа информационе безбедности, руковаоци ових ИКТ система дужни су да предузму мере ради превенције настанка инцидената, односно минимизације штете у случају инцидената. Они треба да донесу Акт о безбедности ИКТ система, којим се утврђује план мера заштите, и који је усклађен с променама у окружењу и у самом ИКТ систему, као и да једном годишње врше интерну проверу својих система и о томе сачине извештај.

Закон уређује и случај када руковаоци ових ИКТ система поверавају активности у вези са њим трећим лицима, што није реткост, имајући у виду да многи субјекти имају потребу да ангажују спољна лица ради одржавања система. Када се ИКТ систем поверава трећим лицима, руковалац ИКТ система од посебног значаја дужан је да односе са тим трећим лицима уреди тако да се обезбеди примена мера заштите ИКТ система. То значи да се информациона безбедност мора одржавати, без обзира на лице које врши активности у систему. Такође, Нацрт закона предвиђа да руковалац ИКТ система одговара у целини за безбедност ИКТ система и када поверава активности трећем лицу, те се не може ослободити обавеза које је дужан да врши у складу са законом. Наравно, то не искључује одговорност трећих лица којима су поверене активности и који могу да одговарају сходно грађанскоправним правилима о накнади штете.

Инциденти који се дешавају у ИКТ системима захтевају брзу реакцију, како би се санирале последице, али и спречила опасност да се прошире и да инцидент досегне међународне размере. Руковаоци ИКТ система од посебног значаја дужни су да обавесте Надлежни орган о инцидентима у ИКТ системима који могу да имају значајан утицај на нарушавање информационе безбедности. Изузетак од ове обавезе постоји за одређене субјекте – руковаоци ИКТ система за рад са тајним подацима обавештења упућују органу надлежном за обезбеђење примене стандарда и прописа у области заштите тајних података, финансијске институције обавештења упућују Народној банци Србије, а телекомуникациони оператори регулаторном телу за електронске комуникације.

Национални центар за превенцију безбедносних ризика у ИКТ системима (Национални ЦЕРТ)

Бројне земље у свету уважиле су потребу за постојањем тела за реакцију на инциденте у ИКТ системима. Оваква тела још увек немају уједначене надлежности, нити постоји истоветност организационе форме у којој раде, те се свака држава опредељује за модел који одговара њеним капацитетима, потребама и системском уређењу. Законом је предвиђено успостављање Националног центра за превенцију безбедносних ризика у ИКТ системима (Националног ЦЕРТ-а), и то у оквиру Регулаторне агенције за електронске комуникације и поштански саобраћај (РАТЕЛ). Национални ЦЕРТ обавља следеће послове:

  • прати стање о инцидентима на националном нивоу
  • пружа рана упозорења, узбуне и најаве и информише релевантна лица о ризицима и инцидентима
  • реагује по пријављеним инцидентима, тако што пружа савете на основу расположивих информација лицима која су погођена инцидентом и предузима друге потребне мере из своје надлежности на основу сазнања из пријаве
  • континуирано израђује анализе ризика и инцидената, које чини јавно доступним
  • подиже свест код грађана, привредних субјеката и органа јавне власти о значају информационе безбедности, о ризицима и мерама заштите, укључујући спровођење кампања у циљу подизања те свести
  • води евиденцију Посебних ЦЕРТ-ова.

Поред Националног ЦЕРТ-а, закон предвиђа постојање ЦЕРТ-а републичких органа, али и Посебних ЦЕРТ-ова који се успостављају у одређеним областима пословања, групи правних лица и слично.

Криптобезбедност и заштита од компромитујућег електромагнетног зрачења (КЕМЗ)

Закон садржи и област којим се уређује криптобезбедност и заштита од компромитујућег електромагнетног зрачења. Надлежни орган у овој области је министарство надлежно за послове одбране.

Компромитујуће електромагнетно зрачење (КЕМЗ) представља ненамерне електромагнетне емисије приликом преноса, обраде или чувања података, чијим пријемом и анализом се може открити садржај тих података. Када се у одређеном ИКТ систему рукује са тајним подацима, примењују се мере заштите од КЕМЗ.

У погледу мера криптозаштите, њихова примена је неопходна када се тајни подаци преносе средствима електронске комуникације изван безбедносне зоне која је утврђена за чување и поступање са одговарајућим подацима. Такође, мере криштозаштите се могу применити и за подизање степена заштите тајних података. Ипак, треба напоменути да руковање тајним подацима у ИКТ системима није предмет овог закона и да ће се та материја уредити у другим прописима.

Самостални руковаоци ИКТ система

С обзиром да, због природе својих послова, одређени државни органи имају потребу за већом независношћу у погледу уређивања мера заштите својих ИКТ система, законом су одређени самостални руковаоци ИКТ система на које се не примењују поједине одредбе овог закона. То су министарство надлежно за послове одбране, министарство надлежно за унутрашње послове, министарство надлежно за спољне послове и службе безбедности.

Зашто нам треба Закон о информационој безбедности

Живимо у времену када коришћење нових технологија постаје неопходност. Нове технологије олакшавају пословање, убрзавају процесе, штеде време, омогућавају велику доступност информација и пружају бројне друге могућности због чега се јавни и привредни субјекти обавезују, или опредељују да их користе у вршењу својих послова. Међутим постоје бројни ризици који захтевају да информациона безбедност буде један од приоритета тих субјеката, јер штете које могу настати често могу да имају велике последице по националну безбедност, ИКТ инфраструктуру, право на приватност и заштиту података о личности као и друге друштвене вредности.

Услед тога, као и да би ишли у корак са сличним законодавним иницијативама у ЕУ, било је потребно донети пропис којим ће се створити услови да информациона безбедност добије значај који јој припада и који ће направити темељ за даљи развој законодавства у овој области.

Милан Војводић

Дипломирани правник са фокусом на информациону безбедност. Ради у Министарству трговине, туризма и телекомуникација - Сектор за информационо друштво. Био члан делегације Р. Србије на скринингу у оквиру ПГ 10 - Информационо друштво и медији.