Извештај са округлог стола Акт о безбедности | Друштво за информатику Србије

 

Друштво за информатику Србије организовало је 28. марта 2017. године округли сто на тему „Акт о безбедности – Закон о информационој безбедности“

У препуној сали „Виктор“ хотела „Jump Inn“ присуствовало је око 100 стручњака из државних органа и јавних предузећа. Поред ИТ стручњака, охрабрује чињеница да је присуствовао и велики број правника који су показали интересовање за ову тему.

 

 

Уводна излагања су имали Сава Савић, помоћник министра за информационо друштво, Министарства трговине, туризма и телекомуникација и др Владица Тинтор, директор РАТЕЛ-а.

Господин Савић је, у свом исцрпном излагању, нагласио да је потребно ширити свест о растућим ризицима за информациону безбедност и да посао информационе безбедности није само обавеза ИТ одељења већ посао целокупне организације, од менаџмента до корисника информационог система организације.

У свом излагању, господин Тинтор је рекао да је РАТЕЛ извршио све неопходне кораке за формирање Националног ЦЕРТ-а али да тај процес не иде задовољавајућом брзином јер је РАТЕЛ јавна организација на коју се односи ограничење у запошљавању и лимитирање зарада. Господин Тинтор је апострофирао да постоје јасно одређене процедуре за сарадњу између Националног ЦЕРТ-а и оператора ИКТ система као и смернице за понашање у случају појаве безбедносних инцидената.

Као помоћ операторима ИКТ система, у изради Акта о безбедности, РАТЕЛ је представио модел Акта о безбедности које је представила госпођица Александра Ристић из РАТЕЛ-а. Треба разумети да је овај модел само смерница у изради Акта а не документ који се може преписати.

Госпођица Ристић је препоручила да се не креће са амбициозним Актом о безбедности већ са сведеном верзијом која је оптимална за организацију и функционална. У склопу годишњих провера, вршити ревизију Акта и унапређивати га у пракси.

Као панелисти на округлом столу, учествовали су Драган Јеремић, ИТ консултант, Владан Којанић из Министарства пољопривреде и заштите животне средине и Раде Драговић, ИТ консултант.

Господин Јеремић је нагласио да је за подизање нивоа и имплементацију Закона о информационој безбедности потребна подршка целокупне организације и да ИТ одељење не поседује информације већ их само одржава.

Као човек који директно води ИТ одељење у Министарству пољопривреде, господин Којанић је рекао да је неопходно упознати руководиоце са Законом о информационој безбедности и обавезама које из њега произилазе и у складу са тиме, у систематизацији радних места предвидети радно место за послове информационе безбедности.

На крају је Раде Драговић дао низ практичних примера, како написати Акт о безбедности и принципима којих се треба држати. Подсетио је да се Акт базира на „ISO27000“ стандарду и да је ово увод у широку „причу“, да Акт, сам по себи, није статичан документ већ документ који ће се у будућности развијати и усавршавати.

Након уводних излагања, развила се дискусија на ову тему, са пуно питања али и коментара и запажања.

И даље је недоумица, ко треба да буде одговорно лице за спровођење Закона о информационој безбедности код оператора ИКТ система.

Сви су сагласни да недостаје административног капацитета за спровођење Закона о информационој безбедности али охрабрује чињеница да велики број присутних на овом скупу долази из правних служби.

Господин др Ненад Крајновић је изнео низ интересантних запажања која су привукла пажњу свих присутних а односе се на увођење или измену постојеће правне регулативе.

Модератор је био Саша Милашиновић из Друштва за информатику Србије.

Након излагања уводничара и дискусије присутних, можемо издвојити следеће закључке:

  • Потребно је подизати свест о информационој безбедности и перманентно образовање свих запослених, у циљу подизања и одржавања потребног нивоа свести о значају заштите ИКТ система
  • За информациону безбедност, потребна је подршка целокупне организације а нарочито од стране менаџмента организације / предузећа
  • Потребно је остварити сарадњу са Националним ЦЕРТ-ом у складу са прописаним процедурама
  • Извршити измену Уговора о раду, којима би се увеле нове обавезе и одговорности запослених у вези информационе безбедности
  • Извршити измену Правилника о систематизацији радних места у оквиру којих би се увеле нове дужности, права и обавезе запослених а које се односе на област заштите информационе безбедности
  • Увести или прилагодити постојеће Уговоре о поверљивости који треба да обухвати све категорије информација које се штите
  • Увести Правилник о мерама заштите ИКТ система који треба да обухвати све процедуре и мере у вези информационе безбедности и заштите података.

 

Овај документ, сваки запослени треба да добије, прочита и потпише да је упознат његовим садржајем и преузетим обавезама.

Друштво за информатику Србије ће наставити да обрађује ову тему и организује тематске скупове и саветовања у домену информационе безбедности.

 

Извештај о скупу на сајту РАТЕЛ-а >>>

Извештај у пдф формату можете преузети овде >>>