Novi Zakon o informacionoj bezbednosti koristan industriji i građanima — Čeka se implementacija

Za sada je pravni okvir informacione bezbednosti ostao samo na usvojenom zakonu, koji ne može adekvatno da se primeni u praksi dok se povezani akti ne razrade.

Bojan Perkov - 26. Oktobar, 2016.

Zaštita informaciono-komunikacionih sistema konačno je našla svoje mesto u pravnom poretku Srbije usvajanjem prvog Zakona o informacionoj bezbednosti početkom ove godine. Ozbiljni propusti poput kompromitovanja matičnih brojeva građana na sajtu Agencije za privatizaciju, što se smatra najmasovnijim prodorom u privatnost građana Srbije, ukazali su na potrebu da se informaciona bezbednost što pre zakonski uredi.

Privatni i javni subjekti sada imaju zakonsku obavezu da primene odgovarajuće mere zaštite informacionih sistema. Recimo, zakon definiše IKT sisteme od posebnog značaja kao sisteme koji se koriste za poslove državnih organa, obradu naročito osetljivih podataka o ličnosti i obavljanje delatnosti od opšteg interesa, što između ostalog podrazumeva i elektronske komunikacije.

Od presudne važnosti je da informacioni sistemi koji kontrolišu kritičnu infrastrukturu, dakle snabdevanje vodom, električnom energijom, imaju odgovarajući nivo zaštite propisan zakonom, naročito u eri sofisticiranih tehničkih napada i ubrzanog razvoja sajber oružja.

Osnivanje Centara za prevenciju bezbednosnih rizika u IKT

Među najvažnijim novinama je svakako predviđeno osnivanje Nacionalnog centra za prevenciju bezbednosnih rizika u IKT sistemima (CERT), čija uloga jeste da unapredi informacionu bezbednost.

Zakonom su predviđeni i posebni CERT-ovi, koji bi trebalo da doprinesu prevenciji i zaštiti od bezbednosnih rizika informacionih sistema u okviru određene oblasti poslovanja, pa čak i posebnih kompanija ili grupe kompanija. Kao primer možemo da izdvojimo CERT republičkih organa. Nacionalni CERT još uvek nije formiran, te za sada nema konkretnih informacija o delovanju ove organizacije.

Članom 7 zakona propisano je 28 mera zaštite informacionih sistema od posebnog značaja, a zakon nalaže i niz obaveza, poput donošenja akta o bezbednosti koji se mora usklađivati u skladu sa promenama u digitalnom okruženju ili samom sistemu.

Ovi operatori su takođe dužni da bar jednom godišnje izvrše proveru usklađenosti mera zaštite informacionog sistema u odnosu na akt o bezbednosti i o tome napišu izveštaj. Obaveštavanje Ministarstva trgovine, turizma i telekomunikacija o incidentima koji mogu značajno da utiču na bezbednost informacionih sistema još jedna je obaveza operatora.

Zakon prilično detaljno govori o merama tehničke zaštite i drugim važnim obavezama hosting provajdera i drugih operatora informacionih sistema, ali neophodni podzakonski akti, dakle raznе uredbe Vlade koje se spominju u zakonu, još uvek nisu doneti.

Kašnjenje donošenja podzakonskih akata

Na sajtu nadležnog ministarstva dostupan je samo tekst zakona, iako je samim zakonom utvrđen rok od 6 meseci za donošenje podzakonskih akata. Nedostatak podzakonskih akata koji treba “bliže da urede” određene obaveze iz zakona, kao što je sadržaj akta o bezbednosti informacionih sistema od posebnog značaja, javlja se kao problem i kod drugih zakona.

Međutim, kada je reč o informacionim tehnologijama čiji razvoj ide vrtoglavom brzinom, zaostatak od skoro godinu dana u uređivanju pravnog okvira može da dovede državne organe, operatore informacionih sistema i korisnike u veoma nezgodnu situaciju u pogledu njihovih prava i obaveza.

Kašnjenje sa formiranjem nacionalnog CERT-a dodatno komplikuje stvari kada je reč o podizanju nivoa informacione bezbednosti i saradnji infosec zajednice sa kompanijama, civilnim društvom i drugim akterima. Ako prevencija i rano upozoravanje na incidente kasne, može se vrlo lako dogoditi nova “Agencija za privatizaciju” ili sličan bezbednosti propust sa teškim posledicama.

Za sada je pravni okvir informacione bezbednosti ostao samo na usvojenom zakonu, koji ne može adekvatno da se primeni u praksi dok se povezani akti ne razrade. Pružaocima usluga i operatorima informacionih sistema i drugim akterima na koje se zakon odnosi ostaje da se usklade sa opštim odredbama zakona i naknadno menjaju svoje akte i poslovanje sa daljim razvojem legislative, što u IT industriji nije jednostavno a često ni praktično.


Svi zainteresovani imaće priliku da učestvujtu u debati o informacionoj bezbednosti u Srbiji na predstojećem Cybersecurity meetup-u, koji Startit organizuje u saradnji sa SHARE Fondacijom. Uskoro ćemo objaviti tačne datume održavanja i agendu događaja.

Kategorija Bezbednost je pod pokroviteljstvom Data Guard Networka.

Pridruži se → prvo predstavljanje rada Tesla Nationa