Провера усаглашености са Законом о информационој безбедности у Републици Србији

Законом о информационој безбедности и подзаконским актима дефинисан је списак делатности у којима се користе ИКТ системи од посебног значаја и успостављена је обавеза (члан 6а Закона) да се сви Оператори ИКТ система од посебног значаја упишу у евиденцију коју води надлежно министарство као и да спроводе 28 мера заштите информационог систем (члан 7 Закона). Оператор ИКТ система је дужан да врши проверу ИКТ система, односно проверу усклађености примењених мера заштите са Актом о безбедности, мерама заштите прописаним Законом о информационој безбедности и Уредбом о мерама заштите, и да томе постоји сачињен извештај најмање једном годишње.

Провера може да се врши самостално или уз ангажовање спољних експерата.

Уредбом о утврђивању Листе делатности у областима у којима се обављају делатности од општег интереса и у којима се користе информационо-комуникациони системи од посебног значаја, дефинисано је су делатности у којима се користе ИКТ системи од посебног значаја.

Провером се оцењује адекватност нивоа информационе безбедности путем провере мера заштите, процедура и одговорности утврђених актом о безбедности, утврђује се угроженост или нарушавање информационе безбедности која настаје коришћењем неодговарајућих поступака и техничких средстава.

Чланом 7 Закона је дефинисано 28 мера заштите ИКТ система од посебног значаја а које су ближе уређене подзаконским актом „Уредба о ближем уређењу мера заштите информационо-комуникационих система од посебног значаја“ на основу кога се могу идентификовати 119 контролних захтева.

Такође, чланом 8 Закона је дефинисана обавеза ИКТ оператера од посебног значаја (у даљем тексту: ИКТ оператор) да донесе Акт о безбедности ИКТ система од посебног значаја а чији је садржај додатно уређен подзаконским актом „Уредбом о ближем садржају акта о безбедности информационо-комуникационих. система од посебног значаја, начину провере и садржаја извештаја о провери безбедности информационо-комуникационих система од посебног значаја“ на основу кога се могу идентификовати 9 контролних захтева. Чланом 9 Закона дефинисане су обавезе ИКТ оператера код поверавања активности у вези са ИКТ системом од посебног значаја трећим лицима, на основу кога се могу идентификовати 2 контролна питања. Чланом 11 Закона дефинисане су обавезе ИКТ оператера у вези обавештавања о инцидентима, односно 2 контролна захтева. Укупан број захтева из Закон-а и подзаконске акте је 134.

Како Deloitte може да помогне?

• Помажемо клијентима приликом израде и усклађивања Акт-а о безбедности информационог система у складу са регулаторним захтевима.
• Помажемо клијентима да ускладе управљање безбедношћу информационог система спровођењем детаљне ГЕП анализе усклађености у односу на наведене мере заштите и давањем препорука за побољшање.
• Спроводимо редовну годишњу проверу примена мера заштите у складу са обевезама из Закона.