TEMA: SAVJETNIK ZA INFORMACIJSKU SIGURNOST – TREND ILI POTREBA

1. TEMA: SAVJETNIK ZA INFORMACIJSKU SIGURNOST – TREND ILI POTREBA Predavač: dr.sc. Anita Perešin

2. NACIONALNA SIGURNOSNA POLITIKA U PODRUČJU INFORMACIJSKE SIGURNOSTI Sadržaj • obveza RH • uređenje područja informacijske sigurnosti • usklađivanje s NATO i EU sigurnosnom politikom • definiranje nacionalne sigurnosne politike • REGULATIVNI OKVIR INFORMACIJSKE • SIGURNOSTI U RH • obveza implementacije • državna tijela • tijela jedinica lokalne i područje (regionalne) samouprave • pravne osobe s javnim ovlastima • pravne osobe (tvrtke)

3. REGULATIVNI OKVIR INFORMACIJSKE SIGURNOSTI U RH Sadržaj • hijerarhija propisa • nadležnosti tijela LEGISLATIVNI OKVIR (Sigurnosna politika) IMPLEMENTACIJSKI OKVIR (Provedbena politika)

4. REGULATIVNI OKVIR INFORMACIJSKE SIGURNOSTI U RH Sadržaj

5. LEGISLATIVNI OKVIR – Sigurnosna politika • multilateralni i bilateralni ugovori • zakoni i podzakonski akti: • Zakon o sigurnosno-obavještajnom sustavu (NN 79/06 i 105/06) • Zakon o tajnosti podataka (NN 79/07) • Uredba o načinu označavanja klasificiranih podataka, sadržaju i izgledu uvjerenja o • obavljenoj sigurnosnoj provjeri i izjave o postupanju s klasificiranim podacima (NN 102/07) • Zakon o informacijskoj sigurnosti (NN 79/07) • Uredba o informacijskoj sigurnosti (NN 46/08) • Pravilnik o standardima sigurnosne provjere • Pravilnik o standardima fizičke sigurnosti • Pravilnik o standardima sigurnosti podataka • Pravilnik o standardima organizacije i upravljanja područjem sigurnosti informacijskih sustava • Pravilnik o standardima sigurnosti poslovne suradnje • Pravilnik o kriterijima za ustrojavanje radnih mjesta savjetnika za informacijsku sigurnost (NN 100/08) • Zakon o sigurnosnim provjerama (NN 85/08) • Uredba o sadržaju, izgledu, načinu ispunjavanja i postupanju s upitnikom za sigurnosnu • provjeru (NN 114/08)

6. IMPLEMENTACIJSKI OKVIR – Provedbena politika • Pravilnici ZSIS-a: • Pravilnik o standardima sigurnosti informacijskih sustava • Pravilnik o postupanju s kriptografskim dokumentima i kriptografskom opremom za • zaštitu klasificiranih podataka • Pravilnik o prevenciji i odgovoru na računalno-sigurnosne ugroze • Pravilnik o sigurnosnoj akreditaciji • Pravilnik o radu NCERT-a • naputci i upute UVNS-a • interni akti pojedinih tijela: • Pravilnik o klasificiranju podataka (čl. 10. i 31. ZTP-a); • Popis poslova i dužnosti za koje je potreban certifikat (čl. 31 ZTP-a); • Pravilnik o provedbi mjera i standarda informacijske sigurnosti (čl. 24. ZoIS-a); • Odluka o imenovanju savjetnika za informacijsku sigurnost (čl. 2. Pravilnika o • kriterijima za ustrojavanje radnih mjesta savjetnika za informacijsku sigurnost).

7. PRIMJENA PROPISA U PRAVNIM OSOBAMA • klasificirani ugovor s državnim tijelom • obveza primjene propisanih mjera i standarda • za njihovu zaštitu • Uputa za primjenu mjera i standarda informacijske sigurnosti u pravnim osobama • UVNS • ugovor o certificiranju između UVNS-a i pravne osobe

8. NADLEŽNA TIJELA • Zakon o informacijskoj sigurnosti (NN 79/07) • Ured Vijeća za nacionalnu sigurnost • Zavod za sigurnost informacijskih sustava • CARNet – Nacionalni CERT

9. NADLEŽNA TIJELA – OVLASTI (1/3) • Ured Vijeća za nacionalnu sigurnost (UVNS), www.uvns.hr • Središnje državno tijelo za informacijsku sigurnost • National Security Authority (NSA) • Designated Security Authority (DSA) • propisuje mjere i standarde informacijske sigurnosti • koordinira uvođenje i nadzire primjenu propisanih mjera i standarda • izdaje sigurnosne certifikate za fizičke i pravne osobe (nacionalne, NATO, EU) • Središnji registar • koordinacija rada i sigurnosna akreditacija Sustava registara RH • koordinira i usklađuje rad savjetnika za informacijsku sigurnost, provodi edukaciju (u tijelima i pravnim osobama) • provodi nadzor postupanja s nacionalnim i međunarodnim klasificiranim podacima • zaključuje međunarodne multilateralne i bilateralne ugovore o zaštiti klasificiranih podataka • sudjeluje u nacionalnoj normizaciji područja informacijske sigurnosti

10. NADLEŽNA TIJELA – OVLASTI (2/3) • Središnje državno tijelo za tehnička područja sigurnosti informacijskih sustava • standardi sigurnosti informacijskih sustava • sigurnosne akreditacije klasificiranih informacijskih sustava • upravljanje kriptomaterijalima koji se koriste u razmjeni klasificiranih podataka • koordinacija prevencije i odgovora na računalne ugroze sigurnosti informacijskih sustava u državnom sektoru – Vladin CERT • nacionalna normizacija područja sigurnosti informacijskih sustava www.zsis.hr

11. NADLEŽNA TIJELA – OVLASTI (3/3) • Nacionalni CERT (NCERT) / CARNet • nacionalno tijelo za prevenciju i zaštitu od računalnih ugroza sigurnosti javnih informacijskih sustava u RH • usklađuje postupanja u slučaju sigurnosnih računalnih incidenata na javnim informacijskim sustavima • usklađuje rad tijela koja rade na prevenciji i zaštiti od računalnih ugroza sigurnosti javnih informacijskih sustava • određuje pravila i načine zajedničkog rada • sudjeluje u izradi preporuka i normi u RH iz područja informacijskih sustava www.cert.hr

12. SAVJETNIK ZA INFORMACIJSKU SIGURNOST • regulativni okvir informacijske sigurnosti u RH • organizacijski ustroj nadležnih tijela u području informacijske • sigurnosti

13. SAVJETNIK ZA INFORMACIJSKU SIGURNOST • obveznici imenovanja savjetnika za informacijsku sigurnost • državna tijela • tijela jedinica lokalne i područne (regionalne) samouprave • pravne osobe s javnim ovlastima • KLASIFICIRANI PODACI • 4) pravne osobe – tvrtke (klasificirani ugovor)

14. SAVJETNIK ZA INFORMACIJSKU SIGURNOST • Pravilnik o kriterijima za ustrojavanje radnih mjesta savjetnika za informacijsku sigurnost • (NN 100/08) • visoka stručna sprema • zaposlen na neodređeno vrijeme • najmanje dvije godine radnog iskustva u tijelu ili pravnoj osobi • aktivno poznavanje engleskog jezika • posjedovanje odgovarajućeg certifikata za pristup klasificiranim podacima UVNS obavijest o imenovanju

15. SAVJETNIK ZA INFORMACIJSKU SIGURNOST • obveze savjetnika za informacijsku sigurnost • usklađivanje i koordinacija provedbe mjera i standarda informacijske sigurnosti • pravilnici UVNS-a: • sigurnosna provjera • fizička sigurnost • sigurnost podataka • sigurnost informacijskih sustava (+ pravilnici ZSIS-a) • sigurnost poslovne suradnje • Uputa za provedbu mjera i standarda informacijske sigurnosti u pravnoj osobi • provođenje internog nadzora • nadzor organizacije, provedbe i učinkovitosti propisanih mjera i standarda • najmanje 2 puta godišnje EDUKACIJA UVNS-a

16. SAVJETNIK ZA INFORMACIJSKU SIGURNOST • izvješće o provedenom nadzoru • čelniku tijela ili pravne osobe i UVNS-u • procjena provedenih mjera i standarda • opis uočenih nedostataka • prijedlog mjera za uklanjanje nedostataka • nadzorne liste

17. KOORDINATIVNA I NADZORNA ULOGA UVNS-a • UVNS • izdaje sigurnosni certifikat i provodi sigurnosno informiranje • organizira edukaciju savjetnika • kontinuirano usklađuje rad savjetnika • Nadzor UVNS-a • članak 30. Zakona o tajnosti podataka (NN 79/07) • najmanje jednom u 2 godine – VT, T, POV • najmanje jednom u 4 godine – OGR, NEKLASIFICIRANO

18. KOORDINATIVNA I NADZORNA ULOGA UVNS-a • Nadzor UVNS-a • utvrđuje činjenično stanje • daje upute u svrhu uklanjanja utvrđenih nedostataka i nepravilnosti • pokreće postupak utvrđivanja odgovornosti • Izvješće o provedenom nadzoru • čelniku tijela ili pravne osobe • upute i rok za otklanjanje nedostataka i nepravilnosti • moguće očitovanje tijela ili pravne osobe (u roku od 15 dana) • savjetnik za informacijsku sigurnost – u koordinaciji s UVNS-om provodi predložene mjere za uklanjanje nedostataka i nepravilnosti

19. ZAKLJUČAK • članstvo u NATO-u i Europskoj uniji • usklađenost s NATO i EU sigurnosnim direktivama • koordinativna i nadzorna uloga u tijelu ili pravnoj osobi • PoC središnjim državnim tijelima POTREBA TREND - POTREBA

20. HVALA !