Prema najavama Federalnog ministarstva za promet i komunikacije, u najskorije vrijeme bi na Vladi FBiH trebao da bude utvrđen prijedlog Zakona o informacionoj sigurnosti i sigurnosti mrežnih i informacionih sistema i upućen Parlamentu FBiH na razmatranje.

O ovoj temi razgovarali smo sa mr Admirom Hukićem, dipl. ing. el., čija je uža specijalnost informaciona sigurnost i ISO standardi. Nakon završenog elektrotehničkog fakulteta 1986.g, završio je specijalistički studij informatike i računarstva 1990.g., a magistarski studij informatike i računarstva, završio je 2013.g. U magistarskom radu iz oblasti informacione sigurnosti, između ostalog, obradio je način implementacije sistema upravljanja sigurnošću informacija (ISMS-Information Security Management System) u organizacijama, primjenom serije standarda ISO/IEC 27000, koji su u fokusu ovog zakona, te dao prijedlog implementacije ISMS u JU Služba za zapošljavanje TK Tuzla u kojoj je zaposlen.

Šta je ustvari informaciona sigurnost?

Hukić: U današnjem poslovnom svijetu, zahtjevi i očekivanja svih zainteresovanih strana za tačnim i pravovremenim informacijama su sve veći, pa su informacije postale skoro najvredniji poslovni resurs svake organizacije. Pošto se nalaze u raznim oblicima, obrađuju, pohranjuju i prenose na razne načine, te kako ih koriste veliki broj korisnika, svakodnevno raste i broj prijetnji koje ugrožavaju ovaj resurs. Te prijetnje se mogu manifestovati krađom, nevlaštenim pristupom, modifikovanjem,  oštećenjem ili gubitkom informacija, što može dovesti do velikih poslovnih šteta, kao npr., poslovni gubitak, gubitak ugleda, neispunjenje zakonskih i regulatornih zahtjeva i sl. Savremeni informacioni sistemi, zasnovani na računarskoj i mrežno-komunikacionoj infrastrukturi, predstavljaju okosnicu skoro svih modernih organizacija i važan strateški faktor, bitan, kako za njenu konkurentnost, tako i za sam njen opstanak. Kako razvoj savremenih informacionih sistema, između ostalog, zavisi od informacionih tehnologija, to se povećavaju i prijetnje i ranjivosti kojima su ti informacioni sistemi izloženi. Zbog svega navedenog, kako bi se obezbijedilo normalno poslovanje organizacije, između ostalog, potrebno je obezbijediti adekvatnu zaštitu poslovnih informacija, odnosno informacionog sistema u cjelini, uspostavljajući adekvatan sistem informacione sigurnosti. Upravo, zaštita informacija od velikog broja prijetnji, kako bi se smanjio rizik i osigurao poslovni kontinuitet, definiše pojam informacione sigurnosti. Takođe, može se reći da je informaciona sigurnost proces osiguranja integriteta, povjerljivosti i raspoloživosti informacija. Potrebno je naglasiti i to da informaciona sigurnost nije IT sigurnost, odnosno da informacioni sistem nije IT sistem. IT sistem je dio(podskup) mnogo šireg, informacionog sistema.

Kako se postiže informaciona sigurnost?

Hukić: Informaciona sigurnost se postiže primjenom odgovarajućih kontrola (mjera) na strukturu organizacije, procese, procedure, sigurnosnu politiku i funkcije računarske i mrežno-komunikacione opreme i računarskih programa. Ove kontrole je potrebno definisati, implementirati, održavati i poboljšavati, kako bi se osiguralo ispunjenje poslovnih i sigurnosnih zahtjeva organizacije i zadržala njena konkurentnost i poslovni ugled. Vjerovatno, svaka organizacija na neki način štiti svoje poslovne informacije. Međutim, postavlja se pitanje, da li je to i najefikasniji način? Tipična pojedinačna rješenja, što je vrlo čest slučaj, posebno kod nas i u našem okruženju, nisu najefikasnija, nego je potrebno stvoriti sistem zaštite, kao odgovor na sve prijetnje i izazove kojima su izložene poslovne informacije i informacioni sistem u cjelini. Upravo međunarodni standardi serije ISO/IEC 27000 pružaju okvir za formiranje jednog takvog sistema zaštite, te organizacijama pružaju smjernice za izradu, primjenu i provjeru sigurnosti informacionih sistema, čime se osigurava integritet, povjerljivost i raspoloživost informacija, informacionog sistema i procesa unutar organizacije. Iz serije standarda ISO/IEC 27000, posebno je interesantan standard  ISO/IEC 27001 koji specificira zahtjeve koji vode upravo ka formiranju sistema upravljanja sigurnošću informacija (ISMS).

Na koga će se odnositi Zakon o informacionoj sigurnosti?

Hukić: Odredbe ovog zakona odnosit će se na sve federalne i kantonalne organe uprave i upravne organizacije, organe jedinica lokalne samouprave, pravna lica koja vrše javna ovlaštenja, kao i sva druga pravna i fizička lica kojima je omogućen pristup elektronskim podacima ovih organa.

Koje mjere su pomenuti organi obavezni implementirati?

Hukić:Mjere informacione sigurnosti koje su organi i druga pravna i fizička lica pomenuta ovim zakonom obavezni provesti, trebaju se implementirati  na fizičkom, tehničkom i organizacionom nivou, što nameće zaključak, a potvrđuje i praksa, da informaciona sigurnost, kao vrlo kompleksno i složeno pitanje, nije samo pitanje osoblja koje se u organizaciji bavi informatičkim poslovima, nego uključuje i organizacijska pitanja, pitanja upravljanja ljudskim resursima, fizičku, tehničku i pravnu zašitu i sl. Dakle, tretiranje pitanja informacione sigurnosti u organizaciji zahtijeva multidiscipliniran pristup i pitanje, kojim se, i te kako, treba baviti najviše rukovodstvo organizacije. Informaciona sigurnost obuhvata mjere za fizičku zaštitu, zaštitu podataka i zaštitu informacionog sistema. Aneks A aktuelnog standarda ISO/IEC 27001:2013 predviđa čak 14 područja i 114 mogućih mjera (kontrola), a vrste i obim mjera utvrđuju se na  osnovu vrsta podataka, rizika  informacione sigurnosti i vrste zaštite.

Koje su još obaveze pomenutih organa?

Hukić: Organi i druga pravna i fizička lica ovog zakona, obavezni su prema ovom zakonu, uspostaviti posebnu organizacionu jedinicu ili imenovati stručne savjetnike iz oblasti informatike, koji će biti zaduženi za zaštitu informacionog sistema institucije u kojoj rade i organizovati prevenciju i zaštitu svojih informacionih sistema od računarskih sigurnosnih incidenata i drugih rizika sigurnosti tih sistema. Takođe, u roku od šest mjeseci od stupanja na snagu ovog zakona i donošenja odgovarajućih podzakonskih akata, obavezni su donijeti odgovarajuće propise iz svoje nadležnosti i organizaciono se prilagoditi njegovom provođenju, odnosno postojeće provedbene propise i organizaciju usaglasiti sa istim. Na kraju, potrebno je naglasiti da pitanju informacione sigurnosti  treba posvetiti posebnu pažnju i dati adekvatan značaj u organizaciji, što na žalost, do sada  nije bio slučaj, što zbog nerazumijevanja i neznanja najvišeg rukovodstva, što radi nedostatka adekvatnih kadrova koji se bave ovom tematikom. Da bi sistem upravljanja sigurnošću informacija  bio uspješno implementiran i kontrolisan, neophodna je podrška najvišeg rukovodstva i da taj zadatak vrše osobe koje su kompetentne i obučene adekvatnim načinima sigurnosti i zaštite informacija u skladu sa pravilima i standardima koji su prihvaćeni na međunarodnom nivou.

(TIP)