Usklađivanje s eu uredbom 2016/1148, zakonom i uredbom o kibernetičkoj sigurnosti
Što je kibernetička sigurnost?
S obzirom da se danas sve više organizacija usmjerava na digitalno poslovanje, količina podataka koja se na taj način generira i razmjenjuje između organizacija velikom brzinom raste te su organizacije postale meta kibernetičkih napada.
Jedna od mjera zaštite od kibernetičkih napada je primjena kontrola kibernetičke sigurnosti. Kibernetička sigurnost je sustav organizacijskih i tehničkih aktivnosti te mjera kojima se postiže autentičnost, povjerljivost, cjelovitost i dostupnost podataka, kao i mrežnih i informacijskih sustava u kibernetičkom prostoru, odnosno u virtualnom prostoru unutar kojeg se odvija komunikacija između mrežnih i informacijskih sustava te obuhvaća sve mrežne i informacijske sustave neovisno o tome jesu li povezani na Internet
U srpnju 2018. godine, Vlada Republike Hrvatske je temeljem Zakona o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga donijela Uredbu o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (NN br. 68/2018).
Uredbom se uređuju mjere za postizanje visoke razine kibernetičke sigurnosti operatora ključnih usluga, način njihove provedbe, kriteriji za određivanje incidenata koji imaju znatan učinak na pružanje ključnih usluga, sadržaj obavijesti i druga bitna pitanja za obavješćivanje o incidentima.
Tko mora postupati po Uredbi?
Sukladno Zakonu i Uredbi o kibernetičkoj sigurnosti operatera ključnih usluga i davatelja digitalnih usluga obvezni su postupati sljedeći sektori:
- Energetika (el. energija, nafta, plin)
- Prijevoz
- Bankarstvo
- Infrastrukture financijskog tržišta
- Zdravstvo
- Opskrba vodom za piće i njena distribucija
- Digitalna infrastruktura
- Poslovne usluge za državna tijela
Koje su odgovornosti operatora ključnih usluga sukladno Uredbi?
Kako bi se u potpunosti uskladili sa zahtjevima zakonske regulative u području kibernetičke sigurnosti, potrebno je provesti sljedeće aktivnosti:
- Analiza postojećeg stanja (AS-IS), odnosno trenutnog statusa zadovoljenja zahtjeva
- Izrada Politike upravljanja sigurnošću ključnih sustava
- Definiranje ciljeva i strateških smjernica očuvanja kontinuiteta poslovanja
- Imenovanje osobe odgovorne za uspostavu i upravljanje sigurnošću ključnih sustava
- Definiranje ovlasti i odgovornosti vezano za sigurnost ključnih sustava
- Definiranje procesa upravljanja rizicima ključnih sustava koji uključuje:
- Izradu Metodologije za procjenu i obradu rizika
- Identifikacija opreme, osoba i aktivnosti vezano za ključne sustave
- Provedba procjene rizika nad identificiranom opremom, osobama i aktivnostima
- Provedba obrade rizika te identifikacija mjera za umanjenje rizika sukladno ISO 27001 standardu
- Definiranje procesa upravljanja fizičkom sigurnosti i sigurnosti okruženja ključnih sustava
- Definiranje procesa osiguravanja sigurnosti opskrbe, odnosno dostupnosti opreme i drugih resursa nužnih za funkcioniranje i održavanje ključnih resursa
- Definiranje procesa upravljanja ugovornim odnosima vezano za ključne resurse
- Definiranje procesa upravljanja eksternalizacijom
- Definiranje procesa kontrole pristupa prostorima i ključnom sustavu
- Definiranje mjera potrebnih za fizičko i logičko razdvajanje ključnih sustava
- Definiranje potrebnih mjera za zaštitu podataka koji se obrađuju, pohranjuju i prenose u ključnom sustavu
- Definiranje mjera zaštite programskog koda
- Definiranje mjera zaštite od narušavanja raspoloživosti ključnih sustava
- Definiranje procesa razvoja i održavanja ključnih sustava
- Definiranje procesa upravljanja projektima
- Definiranje procesa upravljanja sklopovskom imovinom ključnog sustava
- Definiranje procesa upravljanja promjenama
- Definiranje procesa upravljanja konfiguracijom
- Definiranje procesa upravljanja kontinuitetom ključnih sustava
- Definiranje procesa upravljanja incidentima
- Definiranje procesa upravljanja pričuvnom pohranom
- Definiranje procesa preventivnih provjera ranjivosti ključnih sustava
- Definiranje procesa internih nadzora
- Provedba edukacija s ciljem podizanja svijesti o kibernetičkoj sigurnosti
Kako Vam ZIH može pomoći?
U navedenom području ZIH Vam nudi sljedeće usluge:
- Konzultantske usluge:
- Snimka trenutačnog stanja (AS-IS) i GAP analiza kojom se određuje razina trenutne sukladnosti/nesukladnosti Vaše organizacije sa zahtjevima Zakona i Uredbe o kibernetičkoj sigurnosti te se temeljem iste definira prijedlog potrebnih aktivnosti za potpuno usklađenje
- Implementacija projekta uspostave kibernetičke sigurnosti u Vašu organizaciju
Možda Vas interesiraju i ove naše usluge i edukacije:
Edukacija
Edukacija i certifikacija osobe odgovorne za praćenje usklađenosti poslovanja (Compliance Officer-a)
Zašto ZIH?
ZIH ima bogato iskustvo u projektima koji obuhvaćaju pripremu implementacije sustava za upravljanje dokumentacijom i sadržajem, kroz identifikaciju i modeliranje poslovnih procesa te izradu tehničke specifikacije sustava.
