Zakon o informacionoj bezbednosti: nacrt

Zakon o informacionoj bezbednosti

Ministarstvo trgovine, turizma i telekomunikacija objavilo je na svom sajtu Nacrt zakona o informacionoj bezbednosti, sačinjen od strane radne grupe koju su činili predstavnici institucija čiji su poslovi bliže povezani sa tom materijom.

Šta je informaciona bezbednost?

Prema definiciji u zakonu, informaciona bezbednost predstavlja skup mera koje omogućavaju da IKT sistem zaštiti tajnost, integritet, raspoloživost, autentičnost i neporecivost podataka kojima se rukuje putem tog sistema, da bi taj sistem funkcionisao kako je predviđeno, kada je predviđeno i pod kontrolom ovlašćenih lica.

Nadležni organ

Nadležni organ za informacionu bezbednost u Republici Srbiji je ministarstvo nadležno za poslove informacionog društva. Prema važećem Zakonu o ministarstvima, nadležni organ za informaciono društvo je Ministarstvo trgovine, turizma i telekomunikacija. Nacrt zakona predviđa da Ministarstvo predlaže podzakonske akte koje donosi Vlada i kojima se izvršavaju odredbe zakona, obavlja međunarodnu saradnju, prima informacije o incidentima koji mogu da značajno utiču na ugrožavanje informacione bezbednosti i o njima upozorava međunarodne partnere i vrši inspekcijski nadzor nad primenom zakona.

Rukovaoci IKT sistema od posebnog značaja

Kako sve više organa javne vlasti, privrednih i drugih subjekata obavlja svoje poslove putem IKT sistema, a imajući u vidu činjenicu da određeni poslovi zbog svoje prirode i važnosti moraju da se obavljaju u bezbednom okruženju, Nacrtom zakona predviđeni su IKT sistemi od posebnog značaja, koji moraju da preduzmu adekvatne tehničke i organizacione mere radi zaštite svojih sistema.

Nacrt zakona određuje IKT sisteme od posebnog značaja, i to one koji se koriste u:

  • obavljanju poslova u organima javne vlasti;
  • obavljanju delatnosti od opšteg interesa;
  • obavljanju poslova finansijskih institucija;
  • obavljanju poslova u zdravstvenoj zaštiti;
  • obavljanju delatnosti pružanja usluga informacionog društva kojima se omogućavaju druge usluge informacionog društva.

Vlada uredbom utvrđuje listu ovih IKT sistema u kojoj bi se konkretno nabrojali subjekti koji vrše ove poslove i delatnosti.

U cilju postizanja neophodnog nivoa informacione bezbednosti, rukovaoci ovih IKT sistema dužni su da preduzmu mere radi prevencije nastanka incidenata, odnosno minimizacije štete u slučaju incidenata. Oni treba da donesu Akt o bezbednosti IKT sistema, kojim se utvrđuje plan mera zaštite, i koji je usklađen s promenama u okruženju i u samom IKT sistemu, kao i da jednom godišnje vrše internu proveru svojih sistema i o tome sačine izveštaj.

Zakon uređuje i slučaj kada rukovaoci ovih IKT sistema poveravaju aktivnosti u vezi sa njim trećim licima, što nije retkost, imajući u vidu da mnogi subjekti imaju potrebu da angažuju spoljna lica radi održavanja sistema. Kada se IKT sistem poverava trećim licima, rukovalac IKT sistema od posebnog značaja dužan je da odnose sa tim trećim licima uredi tako da se obezbedi primena mera zaštite IKT sistema. To znači da se informaciona bezbednost mora održavati, bez obzira na lice koje vrši aktivnosti u sistemu. Takođe, Nacrt zakona predviđa da rukovalac IKT sistema odgovara u celini za bezbednost IKT sistema i kada poverava aktivnosti trećem licu, te se ne može osloboditi obaveza koje je dužan da vrši u skladu sa zakonom. Naravno, to ne isključuje odgovornost trećih lica kojima su poverene aktivnosti i koji mogu da odgovaraju shodno građanskopravnim pravilima o naknadi štete.

Incidenti koji se dešavaju u IKT sistemima zahtevaju brzu reakciju, kako bi se sanirale posledice, ali i sprečila opasnost da se prošire i da incident dosegne međunarodne razmere. Rukovaoci IKT sistema od posebnog značaja dužni su da obaveste Nadležni organ o incidentima u IKT sistemima koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti. Izuzetak od ove obaveze postoji za određene subjekte – rukovaoci IKT sistema za rad sa tajnim podacima obaveštenja upućuju organu nadležnom za obezbeđenje primene standarda i propisa u oblasti zaštite tajnih podataka, finansijske institucije obaveštenja upućuju Narodnoj banci Srbije, a telekomunikacioni operatori regulatornom telu za elektronske komunikacije.

Nacionalni centar za prevenciju bezbednosnih rizika u IKT sistemima (Nacionalni CERT)

Brojne zemlje u svetu uvažile su potrebu za postojanjem tela za reakciju na incidente u IKT sistemima. Ovakva tela još uvek nemaju ujednačene nadležnosti, niti postoji istovetnost organizacione forme u kojoj rade, te se svaka država opredeljuje za model koji odgovara njenim kapacitetima, potrebama i sistemskom uređenju. Zakonom je predviđeno uspostavljanje Nacionalnog centra za prevenciju bezbednosnih rizika u IKT sistemima (Nacionalnog CERT-a), i to u okviru Regulatorne agencije za elektronske komunikacije i poštanski saobraćaj (RATEL). Nacionalni CERT obavlja sledeće poslove:

  • prati stanje o incidentima na nacionalnom nivou
  • pruža rana upozorenja, uzbune i najave i informiše relevantna lica o rizicima i incidentima
  • reaguje po prijavljenim incidentima, tako što pruža savete na osnovu raspoloživih informacija licima koja su pogođena incidentom i preduzima druge potrebne mere iz svoje nadležnosti na osnovu saznanja iz prijave
  • kontinuirano izrađuje analize rizika i incidenata, koje čini javno dostupnim
  • podiže svest kod građana, privrednih subjekata i organa javne vlasti o značaju informacione bezbednosti, o rizicima i merama zaštite, uključujući sprovođenje kampanja u cilju podizanja te svesti
  • vodi evidenciju Posebnih CERT-ova.

Pored Nacionalnog CERT-a, zakon predviđa postojanje CERT-a republičkih organa, ali i Posebnih CERT-ova koji se uspostavljaju u određenim oblastima poslovanja, grupi pravnih lica i slično.

Kriptobezbednost i zaštita od kompromitujućeg elektromagnetnog zračenja (KEMZ)

Zakon sadrži i oblast kojim se uređuje kriptobezbednost i zaštita od kompromitujućeg elektromagnetnog zračenja. Nadležni organ u ovoj oblasti je ministarstvo nadležno za poslove odbrane.

Kompromitujuće elektromagnetno zračenje (KEMZ) predstavlja nenamerne elektromagnetne emisije prilikom prenosa, obrade ili čuvanja podataka, čijim prijemom i analizom se može otkriti sadržaj tih podataka. Kada se u određenom IKT sistemu rukuje sa tajnim podacima, primenjuju se mere zaštite od KEMZ.

U pogledu mera kriptozaštite, njihova primena je neophodna kada se tajni podaci prenose sredstvima elektronske komunikacije izvan bezbednosne zone koja je utvrđena za čuvanje i postupanje sa odgovarajućim podacima. Takođe, mere krištozaštite se mogu primeniti i za podizanje stepena zaštite tajnih podataka. Ipak, treba napomenuti da rukovanje tajnim podacima u IKT sistemima nije predmet ovog zakona i da će se ta materija urediti u drugim propisima.

Samostalni rukovaoci IKT sistema

S obzirom da, zbog prirode svojih poslova, određeni državni organi imaju potrebu za većom nezavisnošću u pogledu uređivanja mera zaštite svojih IKT sistema, zakonom su određeni samostalni rukovaoci IKT sistema na koje se ne primenjuju pojedine odredbe ovog zakona. To su ministarstvo nadležno za poslove odbrane, ministarstvo nadležno za unutrašnje poslove, ministarstvo nadležno za spoljne poslove i službe bezbednosti.

Zašto nam treba Zakon o informacionoj bezbednosti

Živimo u vremenu kada korišćenje novih tehnologija postaje neophodnost. Nove tehnologije olakšavaju poslovanje, ubrzavaju procese, štede vreme, omogućavaju veliku dostupnost informacija i pružaju brojne druge mogućnosti zbog čega se javni i privredni subjekti obavezuju, ili opredeljuju da ih koriste u vršenju svojih poslova. Međutim postoje brojni rizici koji zahtevaju da informaciona bezbednost bude jedan od prioriteta tih subjekata, jer štete koje mogu nastati često mogu da imaju velike posledice po nacionalnu bezbednost, IKT infrastrukturu, pravo na privatnost i zaštitu podataka o ličnosti kao i druge društvene vrednosti.

Usled toga, kao i da bi išli u korak sa sličnim zakonodavnim inicijativama u EU, bilo je potrebno doneti propis kojim će se stvoriti uslovi da informaciona bezbednost dobije značaj koji joj pripada i koji će napraviti temelj za dalji razvoj zakonodavstva u ovoj oblasti.

Milan Vojvodić

Diplomirani pravnik sa fokusom na informacionu bezbednost. Radi u Ministarstvu trgovine, turizma i telekomunikacija - Sektor za informaciono društvo. Bio član delegacije R. Srbije na skriningu u okviru PG 10 - Informaciono društvo i mediji.