Informacijska sigurnost u Republici Hrvatskoj

Sigurnost je osnovna ljudska potreba. Tehnološkim razvojem društva raste i potreba za sigurnošću društva u cjelini, a naročito u IT sektoru. Svakim danom naša zajednica postaje sve više ovisna o ispravnom funkcioniranju informacijske i komunikacijske tehnologije. Globalizacija i tehnološki razvoj društva postavili su informacije i informacijske sustave kao vrijednosne potencijale cjelokupnoga društva. Sustav informacijske sigurnosti obuhvaća ljude, procese, organizaciju i tehnologiju. Taj se sustav sastoji od uravnoteženog skupa sigurnosnih mjera: sigurnosne provjere osoblja, fizičke sigurnosti, sigurnosti podataka te sigurnosti informacijskih sustava. Osim navedenog uključuje i koordinirano uvođenje formalnih procedura poput procjene rizika, certifikacije osoblja i uređaja, kao i akreditacije tehničkih sustava za primjenu u određenom segmentu poslovnog procesa državne uprave. Uravnoteženost i koordinacija bitnih mjera i postupaka postižu se organizacijom i upravljanjem informacijskom sigurnošću.

Ovaj dokument donosi pregled svih najvažnijih institucija informacijske sigurnosti u Republici Hrvatskoj, svih zakona vezanih uz navedenu tematiku te svih ostalih važnih Vladinih odredbi, pravilnika i programa koji utvrđuju sustav i propise informacijske sigurnosti.

 

 

Informacijska sigurnost se definira kao očuvanje:

  • povjerljivosti – osiguranje da je informacija dostupna samo onima koji imaju ovlašteni pristup istoj, 
  • integriteta – zaštita postojanja, točnosti i kompletnosti informacije kao i procesnih metoda i
  • raspoloživosti – osiguranje da autorizirani korisnici imaju mogućnost pristupa informaciji i pripadajućim sredstvima kada se usluga zahtijeva.

Proces upravljanja informacijskom sigurnošću odgovoran je za trajno usavršavanje zakonskog okvira počevši od sigurnosne politike, preko provedbenih uredbi, pravilnika i smjernica, do detaljnih procedura postupanja pojedinih tijela državne uprave. Upravljanje informacijskom sigurnošću obuhvaća postupke kao što su identifikacija resursa, klasifikacija podataka, upravljanje rizikom, planiranje i implementacija mjera, postupci certifikacije osoblja i uređaja, postupci akreditacije sustava za rad, nadzor implementacije i učinkovitosti mjera i postupaka, praćenje informacijskih sustava tijekom životnog ciklusa te sustavnu edukaciju. Na Slici 1. prikazan je procesni pogled na informacijsku sigurnost, prema kojem je vidljiv gornji desni dio koji karakteriziraju proaktivne mjere informacijske sigurnosti. Proaktivne mjere su mjere koje se primjenjuju prije nego se dogode sigurnosni incidenti i cilj im je spriječiti njihovu pojavu. Ovaj dio mjera predstavlja suštinu sustava informacijske sigurnosti, a sastoji se od sigurnosne politike i provedbenih akata, organizacijskih i tehničkih normi, procjene  i upravljanja rizikom te periodičnih revizijskih procesa. U donjem lijevom dijelu Slike 1. prikazane su reaktivne mjere. Reaktivne mjere su one koje se primjenjuju nakon što se dogode sigurnosni incidenti te im je cilj izvršiti procjenu i oporavak od štete uzrokovane tim incidentima, revidirati organizacijske i tehničke dijelove sustava u svrhu budućeg sprječavanja sličnih incidenata te provesti prikupljanje dokaznog materijala za otkrivanje i zakonsko procesuiranje počinitelja određenog sigurnosnog incidenta. Dobro organiziran sustav upravljanja informacijskom sigurnošću jedne zemlje ima neposredno preventivni utjecaj na ukupno stanje sigurnosti zemlje te čini temelj za razvoj učinkovitih represivnih postupaka suvremenog informacijskog društva.

Slika 1. Prikaz procesnog pogleda na informacijsku sigurnost
Izvor: Nacionalni program informacijske sigurnosti

 

Najvažnije institucije informacijske sigurnosti u Republici Hrvatskoj su: Nacionalni CERT, CARNet CERT, Ured Vijeća za nacionalnu sigurnost, Zavod za sigurnost informacijskih sustava, Agencija za zaštitu osobnih podataka, Agencija za podršku informacijskim sustavima i informacijskim tehnologijama te Središnji ured za e-Hrvatsku.

Stanje informacijske sigurnosti u Republici Hrvatskoj na poprilično je visokim granama ponajviše zbog velikog napretka u posljednjih nekoliko godina. Zakonska je regulativa najvećim dijelom utvrđena početkom ovog stoljeća, a u zadnjih par godina dorađena je s izmjenama i dopunama određenih zakona te dodatnim smjernicama poput Vladinih uredbi i UVNS-ovih pravilnika. Zakoni su jasni, detaljni i utvrđuju sve važne komponente informacijske sigurnosti. Vladine uredbe i UVNS-ovi pravilnici ih adekvatno i kvalitetno slijede i nadopunjuju. U posljednjih par godina ustrojena je jasna hijerarhija institucija informacijske sigurnosti te neka važna i prijeko potrebna tijela poput Nacionalnog CERT-a. Jasno su definirane obveze i dužnosti institucija informacijske sigurnosti te njihova međusobna suradnja i koordinacija. Sve u svemu, može se zaključiti da su načela ustroja i provedbe informacijske sigurnosti u Republici Hrvatskoj kvalitetno i jednoznačno definirana. Također je postignut napredak na području edukacije i razvoja sigurnosne kulture kroz niz održanih seminara i konferencija na temu informacijske sigurnosti.

Cijeli dokument (u PDF formatu) ""Informacijska sigurnost u Republici Hrvatskoj" preuzmite ovdje.