VLADA REPUBLIKE HRVATSKE - MORH

108 09.10.2015 Odluka o donošenju Nacionalne strategije kibernetike sigurnosti i Akcijskog plana za provedbu Nacionalne strate2106
Na temelju lanka 1. stavka 2. i lanka 31. stavka 2. Zakona o Vladi Republike Hrvatske (»Narodne novine«, br. 150/11 i 119/14), a u svezi s tokom V. stavka 3. Odluke o osnivanju Povjerenstva za izradu Nacrta prijedloga nacionalne strategije kibernetike sigurnosti, klase: 022-03/14-04/136, urbroja: 50301-09/09-14-2, od 30. travnja 2014. godine, Vlada Republike Hrvatske je na sjednici odranoj 7. listopada 2015. godine donijela
ODLUKU
O DONOŠENJU NACIONALNE STRATEGIJE KIBERNETIKE SIGURNOSTI I AKCIJSKOG PLANA ZA PROVEDBU NACIONALNE STRATEGIJE KIBERNETIKE SIGURNOSTI
I.
Nacionalna strategija i Akcijski plan sastavni su dio ove Odluke.
II.
Zaduuju se javnopravna tijela i druga tijela odreena nositeljima i sunositeljima pojedinih mjera iz Akcijskog plana iz toke I. ove Odluke da u predvienim rokovima provedu mjere i aktivnosti iz svoje nadlenosti.
III.
Zaduuje se Ured Vijea za nacionalnu sigurnost da o donošenju ove Odluke obavijesti tijela iz toke II. ove Odluke.
IV.
Ova Odluka stupa na snagu danom donošenja, a objavit e se u »Narodnim novinama«.
Klasa: 022-03/15-07/81
Urbroj: 50301-09/09-15-5
1. UVOD
Tehnološki razvoj nigdje nije bio tako dinamian i sveobuhvatan kao što je u podruju komunikacijske i informacijske tehnologije. Teište je uvijek bilo na brzom razvoju i uvoenju novih usluga i proizvoda, dok su sigurnosni aspekti, u pravilu, imali vrlo mali utjecaj na široko prihvaanje novih tehnologija.
ivotni ciklusi suvremenih informacijskih sustava, od procesa planiranja, uvoenja, korištenja, do povlaenja iz uporabe, vrlo su kratki, pa njihovo sustavno testiranje esto nije mogue, odnosno naješe se primjenjuje kao izuzetak, u sluajevima koji su izrijekom propisani.
Korisnici naješe imaju minimalno znanje o tehnologiji koju koriste, a nain primjene tehnologije je takav da je vrlo teško procijeniti sigurnosna obiljeja veine komercijalnih proizvoda s obzirom na zaštitu povjerljivosti, odnosno privatnosti podataka korisnika. Sve je to dovelo do toga da se odnos korisnika prema komunikacijskoj i informacijskoj tehnologiji zasniva gotovo iskljuivo na slijepom povjerenju.
Suvremena društva duboko su proeta komunikacijskom i informacijskom tehnologijom. Ljudi su danas povezani putem raznovrsnih tehnologija za prijenos teksta, slike i zvuka, a u porastu je i povezivanje elektronikih ureaja u nepregledne mree na koje ovjek nema utjecaj.
Dok bi odstupanje u normalnom funkcioniranju jedne vrste komunikacijskog i informacijskog sustava moglo proi nezapaeno, neispravan rad nekih drugih sustava mogao bi imati teške posljedice na funkcioniranje drave, dovesti do gubitka ivota, zdravlja ljudi, velikih materijalnih šteta, oneišenja okoliša i drugih funkcionalnosti bitnih za kvalitetno funkcioniranje društva u cjelini.
Od poetaka razvoja komunikacijske i informacijske tehnologije do danas, odstupanja u njihovom ispravnom radu nastajala su zbog razliitih razloga, od ljudskih pogrešaka ili zlonamjernih postupaka, do tehnoloških grešaka ili organizacijskih propusta.
Stvaranjem Interneta i povezivanjem niza komunikacijskih i informacijskih sustava javnog, akademskog i gospodarskog sektora te graanstva, stvoren je suvremeni kibernetiki prostor koji sainjava ne samo ova meusobno povezana infrastruktura, ve i stalno rastua koliina raspoloivih podataka te korisnici koji meusobno komuniciraju u sve veem broju, pri emu koriste rastui broj razliitih usluga, neke potpuno nove, a neke tradicionalne, ali u novom, virtualnom obliku.
Odstupanja od ispravnog rada tih meusobno povezanih sustava ili njihovih dijelova više nisu samo tehnike smetnje, ve predstavljaju opasnost globalnih sigurnosnih razmjera. Njima se suvremena društva suprotstavljaju nizom razliitih aktivnosti i mjera
108 09.10.2015 Odluka o donošenju Nacionalne strategije kibernetike... http://narodne-novine.nn.hr/clanci/sluzbeni/2015_10_108_2106.html
1 of 40 9.2.2016. 13:36
koje skupno nazivamo »kibernetika sigurnost«.
Pojam »kibernetiki« uveden je u pravni poredak RH ratifikacijom Budimpeštanske konvencije o kibernetikom kriminalu[1] još 2002. godine. Slijedom toga, uvrijeilo se koristiti pojam »kibernetiki« u obliku pridjeva za nešto što ukljuuje, koristi ili je povezano s raunalima, a osobito s Internetom.
Izvorni pojam »kibernetika« nastao je sredinom prošlog stoljea i predstavlja znanost o sustavima automatskog upravljanja te openito procesima upravljanja u biološkim, tehnikim, ekonomskim i drugim sustavima. Pridjevska inaica »kibernetiki« danas se u hrvatskom jeziku uvrijeila na slian nain i s istim, prethodno uvedenim znaenjem kakvo ima i prefiks »cyber-« u engleskom jeziku. Pojam »kibernetika« danas se u hrvatskom jeziku vrlo malo koristi u svom izvornom znaenju, slino kao i pojam »cybernetics« u engleskom jeziku. U tehniki usmjerenim znanostima o upravljanju sustavima prevladava pojam »automatsko upravljanje«, a u širem smislu znaenja pojma kibernetika, o procesima upravljanja u razliitim sustavima, puno više se koristi »teorija sustava«, uvedena u drugoj polovini prošlog stoljea.
Prepoznavanje vanosti sigurnosti kibernetikog prostora kao zajednike odgovornosti svih segmenata društva, potaklo je izradu ove Strategije. Njena svrha je sustavno i koordinirano provoenje aktivnosti potrebnih za podizanje sposobnosti RH u podruju kibernetike sigurnosti, a s ciljem izgradnje sigurnog društva u kibernetikom prostoru. Cilj je, takoer, i korištenje svih trišnih potencijala informacijskog društva u cjelini te posebno proizvoda i usluga kibernetike sigurnosti.
S obzirom na to da se radi o prvoj sveobuhvatnoj Strategiji u RH u podruju kibernetike sigurnosti, primarni cilj Strategije je prepoznavanje organizacijskih problema u njezinoj provedbi te širenje razumijevanja vanosti ove problematike u društvu.
Poticanje koordinacije i suradnje svih dravnih tijela i pravnih osoba s javnim ovlastima, ali i drugih sektora društva, nuno je kako bi se uspostavile nove funkcionalnosti, podigla uinkovitost rada relevantnih aktera te uinkovitije koristilo ve postojee resurse i bolje planiralo potrebu i ostvarenje novih resursa.
Temeljna uloga Strategije stoga je u povezivanju i meusobnom razumijevanju ove sloene problematike u razliitim sektorima društva te meu razliitim tijelima i pravnim osobama kao dionicima ove Strategije koji imaju razliite nadlenosti, obveze, zadatke, potrebe, oekivanja i interese. Ovo je naroito vano za osiguravanje potrebne razine razumijevanja sloene operativne i tehnike problematike kibernetike sigurnosti, a koja je nuna nositeljima javne vlasti i odluivanja u svim sektorima društva, kao i za sigurnost graanstva i prosperitet društva u cjelini, a time i za konani cilj ove Strategije: provedbu zakona i poštivanja svih temeljnih ljudskih prava u novoj virtualnoj dimenziji društva.
Kako bi se obuhvatila vrlo široka i sloena problematika na koju se odnosi Strategija te uskladio zajedniki rad niza dionika koji su sudjelovali u izradi ove Strategije, upotrijebljena je metoda za razvoj sadraja Strategije koja se sastoji od definiranja osnovnih naela pristupa podruju kibernetike sigurnosti, zatim definiranja ciljeva Strategije te opsega primjene Strategije u odnosu na društvo u cjelini.
Nastavno na prethodno, utvrena su prioritetna podruja kibernetike sigurnosti za RH, koja su analizirana prvenstveno u odnosu na ope ciljeve Strategije, a na isti nain definirani su i posebni ciljevi svakog od utvrenih podruja kibernetike sigurnosti za koje e se detaljnije provedbene mjere razraditi akcijskim planom za provedbu Strategije. Na ovaj nain obuhvaene su i specifinosti svakog pojedinog podruja vezano za Strategijom definirane sektore društva i oblike meusobne suradnje i koordinacije razliitih dionika kibernetike sigurnosti.
Kako bi se cjelovito obuhvatilo i one segmente kibernetike sigurnosti za koje je procijenjeno da su u velikoj mjeri zajedniki za sva, ili za veinu, prethodno utvrenih podruja kibernetike sigurnosti, definirane su poveznice podruja kibernetike sigurnosti. Poveznice podruja kibernetike sigurnosti bitne su za poboljšanje i uinkovitije ostvarenje ciljeva i mjera u podrujima kibernetike sigurnosti. Stoga se i u odnosu na poveznice podruja kibernetike sigurnosti Strategijom definiraju posebni ciljevi koji su procijenjeni kljunim za unaprjeenje razine sigurnosti u kibernetikom prostoru. Posebna panja i ovdje je usmjerena na definirane sektore društva i utjecaj svake poveznice podruja kibernetike sigurnosti na pojedine sektore društva i oblike suradnje i meusobne koordinacije rada dionika kibernetike sigurnosti.
2. NAELA
Integracija aktivnosti i mjera koje proizlaze iz razliitih podruja kibernetike sigurnosti i njihovo meusobno povezivanje i nadopunjavanje u cilju stvaranja sigurnijeg zajednikog kibernetikog prostora;
Proaktivni pristup stalnom prilagodbom aktivnosti i mjera, kao i povremenom odgovarajuom prilagodbom strateških okvira iz kojih one proizlaze;
Jaanje otpornosti, pouzdanosti i prilagodljivosti primjenom univerzalnih kriterija povjerljivosti, cjelovitosti i raspoloivosti odreenih skupina podataka i prepoznatih društvenih vrijednosti, uz poštivanje odgovarajuih obveza vezanih uz zaštitu privatnosti odnosno povjerljivosti, cjelovitosti i raspoloivosti, koje se nameu za pojedine skupine podataka, ukljuujui provedbu odgovarajue certifikacije i akreditacije kako razliite vrste ureaja i sustava, tako i poslovnih procesa u kojima se koriste takvi podaci.
Primjena osnovnih naela na kojima se temelji ureenje suvremenog društva i u podruju kibernetikog prostora kao virtualne dimenzije društva:
1. Primjena zakona u svrhu zaštite ljudskih prava i sloboda, osobito privatnosti, vlasništva i svih drugih bitnih obiljeja ureenog suvremenog društva;
2. Razvoj usklaenog zakonodavnog okvira kroz stalno poboljšavanje svih segmenata regulatornih mehanizama dravne i sektorskih razina te kroz usklaene inicijative svih sektora društva, odnosno tijela i pravnih osoba u ulozi dionika ove Strategije;
3. Primjena naela supsidijarnosti kroz sustavno razraen prijenos ovlasti za odluivanje i obavještavanje o pitanjima kibernetike sigurnosti na odgovarajue tijelo ija nadlenost najblie pokriva problem koji se rješava u podrujima vanim za kibernetiku sigurnost, od organizacije, preko koordinacije i suradnje, do tehnike problematike odgovora na raunalne ugroze odreene komunikacijske i informacijske infrastrukture;
4. Primjena naela proporcionalnosti kako bi razina poveanja zaštite i povezanih troškova za tu svrhu, u svakom podruju bila proporcionalna s povezanim rizicima i mogunostima ograniavanja prijetnji koje ih uzrokuju.
2 of 40 9.2.2016. 13:36
3. OPI CILJEVI STRATEGIJE
1. Sustavni pristup u primjeni i razvoju nacionalnog zakonodavnog okvira kako bi se uzela u obzir nova, kibernetika dimenzija društva, vodei rauna o usklaenosti s meunarodnim obvezama te globalnim trendovima kibernetike sigurnosti;
2. Provoenje aktivnosti i mjera u svrhu poveanja sigurnosti, otpornosti i pouzdanosti kibernetikog prostora, koje je s ciljem osiguravanja svojstava raspoloivosti, cjelovitosti i povjerljivosti odgovarajuih skupina podataka korištenih u okviru kibernetikog prostora, potrebno primijeniti kako na strani davatelja razliitih elektronikih i infrastrukturnih usluga, tako i na strani korisnika, odnosno svih pravnih i fizikih osoba iji su informacijski sustavi povezani s kibernetikim prostorom;
3. Uspostavljanje uinkovitijeg mehanizma razmjene, ustupanja i pristupa podacima potrebnim za osiguravanje više razine ope sigurnosti u kibernetikom prostoru, uz obvezu svakog dionika da pri tome, osobito u odnosu na pojedine skupine podataka, mora osigurati primjenu odgovarajuih i usklaenih normi zaštite podataka;
4. Jaanje svijesti o sigurnosti svih korisnika kibernetikog prostora kroz pristup koji razlikuje specifinosti javnog i gospodarskog sektora, pravnih i fizikih osoba te koji ukljuuje uvoenje potrebnih obrazovnih elemenata u okviru redovnih školskih, kao i drugih izvannastavnih programa, ali i organiziranje i provedbu razliitih aktivnosti usmjerenih osvješivanju šire javnosti o pojedinim aktualnim pitanjima iz ove domene;
5. Poticanje razvoja usklaenih obrazovnih programa u školama, visokim uilištima, kroz namjenske i specijalistike teajeve, povezivanjem akademskog, javnog i gospodarskog sektora;
6. Poticanje razvoja e-usluga kroz razvoj povjerenja korisnika u e-usluge definiranjem odgovarajuih minimalnih sigurnosnih zahtjeva;
7. Poticanje istraivanja i razvoja u svrhu aktiviranja potencijala i poticanja usklaenog rada akademskog, gospodarskog i javnog sektora;
8. Sustavni pristup meunarodnoj suradnji koji omoguava uinkovit prijenos znanja i koordiniranu razmjenu, ustupanje i pristup potrebnim podacima izmeu razliitih nacionalno nadlenih tijela, institucija i sektora društva, a s ciljem prepoznavanja i stvaranja sposobnosti za uspješno sudjelovanje u poslovnim aktivnostima u globalnom okruenju.
4. SEKTORI DRUŠTVA I OBLICI SURADNJE DIONIKA KIBERNETIKE SIGURNOSTI
Definiranjem sektora društva i njihovog znaenja za potrebe ove Strategije, kao i naina suradnje dionika kibernetike sigurnosti, definiran je i opseg primjene ove Strategije.
Sektori društva i njihovo znaenje za potrebe ove Strategije su:
1. Javni sektor s razliitim nadlenim tijelima koja su dionici Strategije te ostalim dravnim tijelima, tijelima jedinica lokalne i podrune (regionalne) samouprave, odnosno pravnim osobama s javnim ovlastima te institucijama, koji na razliite naine predstavljaju korisnike kibernetikog prostora i obveznike primjene mjera koje proizlaze iz Strategije;
2. Akademski sektor u uskoj suradnji s nadlenim dravnim tijelima koja su dionici Strategije, kao i druge obrazovne institucije iz javnog i gospodarskog sektora koje na razliite naine predstavljaju korisnike kibernetikog prostora i obveznike primjene mjera koje proizlaze iz Strategije;
3. Gospodarski sektor u uskoj suradnji s nadlenim dravnim i regulatornim tijelima koja su dionici Strategije, napose pravne osobe koje su obveznici posebnih propisa o kritinim infrastrukturama i obrani, kao i sve druge pravne osobe, odnosno poslovni subjekti koji na razliite naine predstavljaju korisnike kibernetikog prostora i obveznike primjene mjera koje proizlaze iz Strategije, sa svim specifinostima tih pravnih osoba i subjekata, s obzirom na djelatnosti kojima se bave, broj zaposlenika koji imaju te trišta koja pokrivaju;
4. Graanstvo u cjelini koje predstavlja korisnike komunikacijskih i informacijskih tehnologija i usluga i na koje se na razliite naine reflektira stanje sigurnosti u kibernetikom prostoru. Odnosi se i na one graane koji ne koriste aktivno kibernetiki prostor, ali se njihovi osobni podaci nalaze u njemu.
Oblici suradnje dionika kibernetike sigurnosti predvieni ovom Strategijom su:
1. Koordinacija unutar javnog sektora;
2. Nacionalna suradnja javnog, akademskog i gospodarskog sektora;
3. Savjetovanje sa zainteresiranom javnošu i informiranje graanstva;
4. Meunarodna suradnja dionika kibernetike sigurnosti.
Svi ovi oblici suradnje provode se na sustavan i koordiniran nain, sukladno nadlenostima, sposobnostima, ciljevima i prema funkcionalno razraenim podrujima kibernetike sigurnosti.
5. PODRUJA KIBERNETIKE SIGURNOSTI
Podruja kibernetike sigurnosti definirana su sukladno procjeni prioritetnih potreba RH u trenutku izrade Strategije i obuhvaaju sigurnosne mjere u podruju komunikacijske i informacijske infrastrukture i usluga, u kojem razlikujemo javne elektronike komunikacije, elektroniku upravu i elektronike financijske usluge, kao infrastrukturu od primarnog strateškog interesa društva u cjelini.
Vrlo vano podruje kibernetike sigurnosti predstavlja i zaštita kritine komunikacijske i informacijske infrastrukture koja se moe nalaziti u svakom od prethodna tri infrastrukturna podruja, ali koja ima bitno razliita obiljeja te je potrebno utvrditi kriterije za prepoznavanje takvih obiljeja.
Kibernetiki kriminalitet prisutan je u društvu ve dugo vremena u razliitim pojavnim oblicima, ali na današnjem stupnju razvoja virtualne dimenzije društva predstavlja stalnu i rastuu prijetnju razvoju i gospodarskom prosperitetu svake suvremene drave. Stoga se suzbijanje kibernetikog kriminaliteta, takoer, prepoznaje kao prioritetno podruje kibernetike sigurnosti za koje je nuno definirati strateške ciljeve u svrhu unaprjeenja u suzbijanju ovog oblika kriminaliteta u narednom razdoblju.
3 of 40 9.2.2016. 13:36
Podruje kibernetike obrane predstavlja dio strategije obrane za koje je zadueno ministarstvo nadleno za poslove obrane i ono je predmet zasebne obrade i rješavanja, pri emu e se koristiti svi potrebni elementi koji proizlaze iz ove Strategije. Kibernetiki terorizam i drugi kibernetiki aspekti nacionalne sigurnosti obrauju se u okviru manjeg broja nadlenih tijela sigurnosno- obavještajnog sustava te zahtijevaju zaseban pristup u rješavanju, pri emu e se, takoer, koristiti svi potrebni elementi koji proizlaze iz ove Strategije.
Podruja kibernetike sigurnosti analiziraju se u odnosu na ope ciljeve Strategije, radi identificiranja posebnih ciljeva usmjerenih na poboljšanje u svakom pojedinom podruju i mjera potrebnih za ostvarenje postavljenih ciljeva Strategije. Posebni ciljevi, kao i mjere koje e se detaljnije razraditi akcijskim planom za provedbu Strategije, utvruju se s osvrtom na definirane sektore društva i utjecaj podruja kibernetike sigurnosti na svaki pojedini sektor, ali i s osvrtom na oblike meusobne suradnje i koordinacije dionika kibernetike sigurnosti. Pri tome se kroz razradu podruja kibernetike sigurnosti prate naela definirana Strategijom.
5.1 Elektronika komunikacijska i informacijska infrastruktura i usluge
5.1.1 Javne elektronike komunikacije (A)
Javne elektronike komunikacije podrazumijevaju davanje na korištenje elektronike komunikacijske mree i/ili pruanje elektronike komunikacijske usluge. Elektronika komunikacijska i informacijska infrastruktura, obavljanje djelatnosti elektronikih komunikacijskih mrea i usluga, prostorno planiranje, gradnja, odravanje, razvoj i korištenje elektronikih komunikacijskih mrea, elektronike komunikacijske infrastrukture i druge povezane opreme te upravljanje i uporaba radiofrekvencijskog spektra, adresnog i brojevnog prostora, kao prirodno ogranienih opih dobara, od interesa su za RH.
Pravne, regulatorne i tehnike odredbe koje se usvoje na razini EU-a, u vezi sa zaštitom osobnih podataka, privatnosti i legitimnih interesa pravnih osoba u podruju elektronikih komunikacija, treba nastaviti trajno usklaivati kako bi se zajamilo da nee postojati zapreke promicanju i razvoju novih elektronikih komunikacijskih mrea i usluga izmeu drava lanica EU-a.
Osnovni ciljevi RH vezani uz kibernetiku sigurnost u podruju javnih elektronikih komunikacija su:
Cilj A.1 Nadzor tehnikih i ustrojstvenih mjera koje poduzimaju operatori za osiguranje sigurnosti svojih mrea i usluga, kao i usmjeravanje operatora javnih komunikacijskih mrea i/ili usluga u cilju osiguranja visoke razine sigurnosti i dostupnosti javnih komunikacijskih mrea i usluga.
Potrebno je obuhvatiti razliite zahtjeve koji se postavljaju prema operatorima, od kvalitete i dostupnosti mrea i usluga, preko zahtjeva vezanih za zaštitu osobnih podataka, zahtjeva za osiguravanje primjerene panje u provedbi sigurnosnih mjera na temelju odgovarajuih meunarodnih normi, zahtjeva za provedbu zakonskih obveza tajnog nadzora elektronikih komunikacijskih mrea i usluga, kao i potrebu razvijanja i stalnog unaprjeivanja sigurnosne suradnje i razmjene podataka s tijelima nadlenim za raunalne sigurnosne incidente u podruju javnih elektronikih komunikacija te tijelima kaznenog progona.
Cilj A.2 Neposredna tehnika koordinacija regulatornog tijela za podruje elektronikih komunikacija s nacionalnim i meunarodnim tijelima odgovornim za podruje informacijske sigurnosti.
Potrebno je stvoriti i kontinuirano razvijati meusektorsku suradnju nacionalnih regulatornih tijela i tijela odgovornih za podruje informacijske sigurnosti i politike zaštite podataka te uspostaviti meusobnu koordinaciju i razmjenu iskustava u suradnji i zahtjevima koji proizlaze iz meunarodnih okvira.
Cilj A.3 Poticanje korištenja nacionalnog vora za meusobnu razmjenu internetskog prometa pruatelja javnih komunikacijskih mrea i/ili usluga za davanje usluga korisnicima u RH.
Neprofitna usluga Croatian Internet eXchange (CIX) osigurava meusobnu razmjenu internetskog prometa izmeu korisnika razliitih usluga najkraim komunikacijskim putem u okviru nacionalnog sustava javnih elektronikih komunikacija. Ovaj nain razmjene internetskog prometa predstavlja sigurnosni zahtjev za operatore koji pruaju usluge dravnim tijelima, ali i potrebu uinkovitog i ekonominog nacionalnog povezivanja svih drugih korisnika u gospodarskom sektoru i samog graanstva RH.
5.1.2 Elektronika uprava (B)
Elektronika uprava strateški je cilj RH kojim se osigurava brza, transparentna i sigurna usluga svim graanima putem kibernetikog prostora. U tu svrhu nuno je uspostaviti sustav javnih registara i njime upravljati kroz jasno definirana prava, obveze i odgovornosti nadlenih tijela javnog sektora. Za osiguranje potrebne razine sigurnosti podataka pohranjenih u takvim registrima nuno je korištenje zajednike osnovice za sigurnu razmjenu podataka unutar sustava dravne informacijske infrastrukture, zajednikog sustava identifikacije i autentifikacije. RH e i dalje razvijati i unaprjeivati elektroniku komunikaciju s graanima, kao i meusobno povezivanje dravnih tijela odnosno tijela javnog sektora openito. Osobita panja e se staviti na:
1. Dostupnost podataka iz javnih registara svim tijelima javnog sektora, graanima i drugim korisnicima sukladno propisima o zaštiti osobnih podataka, tajnosti podataka, informacijske sigurnosti te propisima o pravu na pristup informacijama;
2. Sustavni razvitak dravne informacijske infrastrukture ukljuujui i prostorno planiranje, gradnju, odravanje, razvoj i korištenje elektronikih komunikacijskih mrea i infrastrukture za potrebe javnog sektora;
3. Sustavnu zaštitu i sigurnost dravne informacijske infrastrukture sukladno propisima o sigurnosti informacijskih sustava;
4. Jedinstveno upravljanje Vlade RH razvitkom dravne informacijske infrastrukture na osnovi usuglašavanja potreba i prioriteta;
5. Usklaivanje planova i projekata informatizacije s normama i drugim odrednicama izgradnje informacijske infrastrukture u RH i EU;
6. Interoperabilnost, skalabilnost i ponovno korištenje;
7. Racionalizaciju izdataka za izgradnju i zaštitu informacijske infrastrukture na razini svih tijela javnog sektora.
Cilj B.1 Poticati povezivanje informacijskih sustava tijela javnog sektora meusobno i na javni Internet kroz dravnu informacijsku infrastrukturu.
Tijela javnog sektora koja nisu obuhvaena zakonom koji regulira podruje dravne informacijske infrastrukture, u suradnji s nadlenim dravnim tijelima za razvoj i sigurnost dravne informacijske infrastrukture, provest e analizu potreba i mogunosti
4 of 40 9.2.2016. 13:36
povezivanja na dravnu informacijsku infrastrukturu te u skladu s rezultatima analize planirati povezivanje na dravnu informacijsku infrastrukturu ili dodatne mjere zaštite.
Cilj B.2 Podii razinu sigurnosti informacijskih sustava javnog sektora.
Provest e se analiza postojeeg stanja u provedbi mjera sigurnosti informacijskih sustava tijela javnog sektora te e se definirati dinamika primjene sustava NIAS i odgovarajuih normi (ISO 27001 i sl.). Organizacijske i tehnike norme za povezivanje na dravnu informacijsku infrastrukturu, uvjeti i aktivnosti nuni za pokretanje, implementaciju, razvoj i nadzor projekata vezanih uz dravnu informacijsku infrastrukturu, nain upravljanja, razvoja te ostali elementi neophodni za rad dravne informacijske infrastrukture trajno e se procjenjivati kroz koordinaciju nadlenih tijela, ukljuujui i sigurnosna tijela.
Cilj B.3 Donošenje kriterija za korištenje pojedinih razina autentifikacije kod davatelja usluga elektronike uprave i davatelja vjerodajnica.
Standardna jednostupanjska autentifikacija, odnosno vjerodajnice razine 2 sukladno dokumentu »Kriteriji za odreivanje razine osiguranja kvalitete autentifikacije za NIAS«[2] nisu zadovoljavajue razine sigurnosti za pristup osjetljivim podacima. Zadovoljavajue rješenje u smislu smanjenja sigurnosnih rizika, prihvatljivo za korištenje u okviru usluga elektronike uprave, je korištenje vjerodajnica viših (razina 3) ili najviših (razina 4) razina sigurnosti. Nadlena tijela e provesti analizu i meusobnu koordinaciju u svrhu donošenja kriterija za korištenje pojedinih razina autentifikacije kod davatelja usluga elektronike uprave i davatelja vjerodajnica. U okviru ove analize obuhvatit e se i procjena mogunosti korištenja budue elektronike osobne iskaznice graana za potrebe elektronike uprave i drugih javnih i financijskih usluga. Takoer e se obuhvatiti i drugi aspekti povezani s nacionalnim mogunostima za uspostavu odgovarajuih akreditacijskih i certifikacijskih sposobnosti u podruju kvalificiranih elektronikih potpisa, sukladno EU zahtjevima.
5.1.3 Elektronike financijske usluge (C)
Informacijska tehnologija i njezine pogodnosti uvelike se koriste i u podruju pruanja financijskih usluga. Postizanje zadovoljavajue razine sigurnosti cilj je svake suvremene drave, a osnovni ciljevi RH vezani uz kibernetiku sigurnost u podruju elektronikih financijskih usluga su:
Cilj C.1 Provoenje aktivnosti i mjera u svrhu poveanja sigurnosti, otpornosti i pouzdanosti kibernetikog prostora, a s ciljem poticanja razvoja elektronikih financijskih usluga.
Kontinuirano poticati pruatelje elektronikih financijskih usluga na uvoenje novih te unaprjeivanje postojeih mehanizama zaštite od zlonamjernih aktivnosti, a sukladno aktualnim prijetnjama te procjeni rizika. Pri tome posebnu pozornost treba posvetiti identifikaciji i autentifikaciji korisnika elektronikih financijskih usluga, autorizaciji financijskih transakcija te pravovremenom otkrivanju i ograniavanju utjecaja neovlaštenih aktivnosti.
Cilj C.2 Unaprijediti razmjenu i ustupanje podataka o nastalim raunalnim sigurnosnim incidentima izmeu pruatelja elektronikih financijskih usluga, regulatornih i nadzornih tijela te ostalih relevantnih tijela.
Osigurati uvjete za provedbu uinkovite razmjene i ustupanja podataka ime se unaprjeuje rješavanje nastalih raunalnih sigurnosnih incidenata te ujedno osigurava sprjeavanje nastanka ili ograniavanje uinka takvih incidenata u budunosti. Pri tome posebnu pozornost treba posvetiti zaštiti osobnih, kao i drugih podataka na koje se odnose zakonska ogranienja vezana uz korištenje, pa tako i dijeljenje podataka, razvoju povjerenja izmeu ukljuenih strana te uspostavi protokola i mehanizama koji e osigurati uinkovito i sigurno prikupljanje, dijeljenje i razmjenu takvih podataka. Razmjena i ustupanje podataka o nastalim raunalnim sigurnosnim incidentima provodi se izmeu pruatelja elektronikih financijskih usluga, regulatornih i nadzornih tijela, kao i tijela nadlenih za raunalne sigurnosne incidente u podruju javnih elektronikih komunikacija te tijela kaznenog progona.
5.2 Kritina komunikacijska i informacijska infrastruktura i upravljanje kibernetikim krizama (D)
Donošenjem Zakona o kritinim infrastrukturama[3] i prateim podzakonskim aktima stvoreni su legislativni preduvjeti za uspješno upravljanje rizicima kritine komunikacijske i informacijske infrastrukture unutar utvrenih sektora kritine infrastrukture, u cilju:
1. poveanja otpornosti/smanjenja ranjivosti komunikacijskih i informacijskih sustava;
2. umanjivanja posljedica negativnih dogaaja (prirodne i tehniko-tehnološke nesree) i moguih napada (namjernih i nenamjernih);
3. omoguavanja brzog i uinkovitog oporavka te nastavka rada.
Odlukom Vlade RH[4] sektor komunikacijske i informacijske tehnologije utvren je kao jedan od sektora iz kojih središnja tijela dravne uprave primjenom odgovarajue metode identificiraju nacionalne kritine infrastrukture. Kao njegovi podsektori utvruju se: elektronike komunikacije, prijenos podataka, informacijski sustavi i pruanje audio i audio-vizualnih medijskih usluga. Ovi se podsektori dalje rašlanjuju na elektronike komunikacijske mree, infrastrukturu i povezanu opremu, informatiku infrastrukturu te sustave zemaljske radiodifuzije.
Od strateškog je interesa nastaviti s poduzimanjem aktivnosti u podruju zaštite kritine komunikacijske i informacijske infrastrukture, u svrhu osiguravanja svih potrebnih uvjeta za njihov rad i kontinuirano djelovanje.
Kritinu komunikacijsku i informacijsku infrastrukturu predstavljaju oni komunikacijski i informacijski sustavi koji upravljaju kritinom infrastrukturom ili su bitni za njezino funkcioniranje, neovisno o kojem sektoru kritine infrastrukture je rije.
Stoga je identificiranje kritine komunikacijske i informacijske infrastrukture i propisivanje obveznih tehnikih i organizacijskih mjera, ukljuujui i postupke izvješivanja o raunalnim sigurnosnim incidentima, potrebno provesti u koordinaciji središnjih dravnih tijela za pojedine sektore kritine infrastrukture, vlasnika/upravitelja kritine infrastrukture te nadlenih tehnikih i sigurnosnih dravnih tijela.
Takoer, uspostavljanje sustava upravljanja kibernetikim krizama koji e osigurati pravovremenu i uinkovitu reakciju/odgovor na prijetnju i osigurati oporavak infrastrukture ili usluge od naroitog je sigurnosnog interesa RH.
Sustav upravljanja u kibernetikim krizama u RH potrebno je uspostaviti u skladu sa sljedeim zahtjevima:
1. usklaenost s nacionalnim rješenjima upravljanja u krizama,
5 of 40 9.2.2016. 13:36
2. obuhvaanje zaštite kritine nacionalne komunikacijske i informacijske infrastrukture,
3. usklaenost s meunarodnim sustavima upravljanja u kibernetikim krizama EU i NATO-a,
4. usklaenost s nacionalnim nadlenostima tijela zakonom zaduenih za koordinaciju prevencije i odgovora na raunalne ugroze sigurnosti informacijskih sustava.
U tom smislu, potrebno je:
Cilj D.1 Utvrditi kriterije za prepoznavanje kritine komunikacijske i informacijske infrastrukture.
Kriteriji za prepoznavanje kritine komunikacijske i informacijske infrastrukture moraju pratiti i dalje razraivati Zakonom o kritinoj infrastrukturi predvienu metodologiju pristupa. Pri tome se kritina komunikacijska i informacijska infrastruktura utvruje u okvirima sektora utvrenih ranije spomenutom Odlukom Vlade RH o odreivanju sektora iz kojih središnja tijela dravne uprave identificiraju nacionalne kritine infrastrukture te listom redoslijeda sektora kritinih infrastruktura. Kriteriji koji se definiraju za utvrivanje kritine komunikacijske i informacijske infrastrukture moraju proizlaziti iz metodologije koju primjenjuje Zakon o kritinim infrastrukturama te se, prema potrebi koja proizlazi iz analize stanja, mogu dodatno razraditi i propisati odgovarajuim podzakonskim aktima.
Cilj D.2 Utvrditi obvezujue sigurnosne mjere koje primjenjuju vlasnici/upravitelji utvrene kritine komunikacijske i informacijske infrastrukture.
Potrebno je utvrditi skup sigurnosnih mjera koje na sustavan nain primjenjuju svi utvreni vlasnici/upravitelji kritine komunikacijske i informacijske infrastrukture, kao i potrebnu vezu prema opim propisima informacijske sigurnosti u segmentima kao što su zahtjevi sigurnosnog provjeravanja osoba ili potreba klasificiranja podataka.
Cilj D.3 Ojaati prevenciju i zaštitu kroz upravljanje rizikom.
Prioritetna aktivnost je osigurati provedbu odredbi Zakona o kritinim infrastrukturama u dijelovima koji se odnose na sektorsku procjenu rizika kritine komunikacijske i informacijske infrastrukture, sektorske planove osiguranja rada kritine komunikacijske i informacijske infrastrukture i sigurnosne planove vlasnika/upravitelja kritine komunikacijske i informacijske infrastrukture.
Sektorska procjena rizika ukljuuje:
2. identifikaciju prijetnji;
4. analizu i prioritetiziranje rizika;
5. utvrivanje prihvatljivog rizika i obradu rizika.
Sektorski planovi osiguranja rada kritine infrastrukture i sigurnosni planovi vlasnika/upravitelja ove kritine infrastrukture sadre mjere i aktivnosti za pripravnost, prevenciju, zaštitu, odgovor i oporavak u sluaju raunalnih sigurnosnih incidenata koji imaju negativan utjecaj na funkcioniranje sektora kritine infrastrukture, odnosno proizvodnju, isporuku roba i usluga i druge funkcije vlasnika/upravitelja kritine infrastrukture upravljanje kojom ili ije funkcioniranje se bazira na kritinoj komunikacijskoj i informacijskoj infrastrukturi. Posebnu pozornost potrebno je posvetiti strunom usavršavanju osoba koje e biti ukljuene u postupak utvrivanja kritine komunikacijske i informacijske infrastrukture.
Cilj D.4 Ojaati javno-privatno partnerstvo i tehniku koordinaciju u obradi raunalnih sigurnosnih incidenata.
U sklopu sektora kritine infrastrukture utvrenih ranije spomenutom Odlukom Vlade RH o odreivanju sektora iz kojih središnja tijela dravne uprave identificiraju nacionalne kritine infrastrukture te listom redoslijeda sektora kritinih infrastruktura, potrebno je putem sektorski nadlenih središnjih tijela dravne uprave poticati javno-privatno partnerstvo u cilju osiguravanja nesmetanog rada za poslovne subjekte koji predstavljaju vlasnike/upravitelje kritine infrastrukture. U tom smislu potrebno je utvrditi odgovarajue postupke nadzora, koordinacije, kao i razmjene i ustupanja potrebnih sigurnosnih podataka. Razmjena i ustupanje podataka provode se izmeu sektorskih nositelja i vlasnika/upravitelja kritine infrastrukture, s tijelima koja su nadlena za raunalne sigurnosne incidente u podrujima javne elektronike komunikacijske i informacijske infrastrukture i usluga, kao i s tijelima kaznenog progona. Tehnika koordinacija u obradi raunalnih sigurnosnih incidenata provodi se suradnjom tijela koja imaju izgraene sposobnosti odgovora na takvu vrstu incidenata.
Cilj D.5 Uspostaviti kapacitete za uinkoviti odgovor na prijetnju koja moe imati za posljedicu kibernetiku krizu.
U RH je potrebno izgraditi nacionalni sustav upravljanja u kibernetikim krizama, kao dio nacionalnog sustava upravljanja u krizama, u kojem e odgovornosti relevantnih sudionika biti jednoznano odreene na temelju postojeih nadlenosti tijela i dodatnog definiranja uloga tijela u sluajevima koji predstavljaju krizna stanja.
Nacionalni sustav upravljanja u kibernetikim krizama treba osigurati:
– sustavno praenje stanja sigurnosti nacionalnog kibernetikog prostora, u svrhu otkrivanja prijetnji koje mogu imati za posljedicu kibernetiku krizu,
– periodino izvješivanje o stanju kibernetike sigurnosti,
– uinkovito planiranje postupanja u kibernetikim krizama,
– usklaeno i koordinirano postupanje dravnih tijela u kibernetikim krizama.
U tu svrhu potrebno je provesti iscrpnu analizu postojeeg stanja, osobito u odnosu na pravni okvir i potrebe za njegovim doradama u kontekstu moebitnog uvoenja novih nadlenosti koje zahtjeva bavljenje ovom problematikom. Temeljem rezultata provedene analize, predloit e se definicija pojma kibernetike krize u okviru šireg koncepta nacionalnog upravljanja u krizama, kao i kriteriji za utvrivanje kibernetike krize.
6 of 40 9.2.2016. 13:36
5.3 Kibernetiki kriminalitet (E)
Uspostava uinkovitih preventivnih mjera, ali i odgovori kaznenog prava na ovu vrstu kriminaliteta kljuni su element za postizanje odgovarajue razine zaštite, nesmetanog djelovanja i sigurnosti raunalnih sustava.
S ciljem kvalitetnijeg i uspješnijeg suzbijanja ovog oblika kriminaliteta potrebno je:
Cilj E.1 Kontinuirano unaprjeivati nacionalni zakonodavni okvir, vodei pri tome rauna o meunarodnim obvezama.
S obzirom na to da ubrzani napredak tehnologija dovodi do pojave novih modaliteta poinjenja kaznenih djela putem raunalnih sustava i mrea, što prati i razvoj legislative na meunarodnoj razini u ovoj domeni, nuno je kontinuirano pratiti, analizirati i, po potrebi, prilagoavati nacionalno zakonodavstvo novonastalim promjenama.
Cilj E.2 Unaprjeivati i poticati meunarodnu suradnju u svrhu uinkovite razmjene informacija.
Globalizacija kibernetikog kriminaliteta kao pojave iji poinitelji ne poznaju fizike dravne granice, legislativne razliitosti drava u kojima djeluju te ignoriraju jezine barijere, zahtijeva kvalitetnu suradnju izmeu drava lanica EU, lanica NATO-a kao i meunarodnu suradnju s treim dravama, kako bi se pravodobno identificirao svaki novi pojavni oblik ili prijetnja, kao i njegov izvor te kako bi reakcija na pojedine ugroze bila što bra. U tom smislu potrebno je koristiti raspoloive mogunosti ve uspostavljenih naina suradnje putem kontakt toaka, odnosno mogunosti brze razmjene informacija putem kanala Europola i Eurojusta i drugih meunarodnih organizacija.
Cilj E.3 Kvalitetna meuinstitucionalna suradnja u svrhu uinkovite razmjene informacija na nacionalnoj razini, a posebno u sluaju raunalnog sigurnosnog incidenta.
Raunalni sigurnosni incident zahtijeva brzo i adekvatno rješavanje. U tom smislu potrebno je uspostavljanje kvalitetne koordinacije svih tijela koja tome u konkretnom sluaju mogu doprinijeti. Postojanje stalnih »kontakt toaka« doprinijelo bi neposrednoj i uinkovitoj komunikaciji, a samim time prevenciji i uinkovitijem rješavanju nastalog incidenta.
Cilj E.4 Jaanje ljudskih potencijala, adekvatni razvoj kompetencija i tehnikih mogunosti nadlenih dravnih tijela za otkrivanje, kriminalistiko istraivanje i procesiranje kaznenih djela iz domene raunalnog kriminaliteta te osiguranje potrebne financijske potpore.
Paralelno s razvojem infrastrukture elektronikih komunikacija i uvoenjem novih inovativnih usluga pojavljuju se i novi, sve sofisticiraniji naini poinjenja kaznenih djela iz domene raunalnog kriminaliteta. Ti procesi moraju biti popraeni kontinuiranim jaanjem ljudskih potencijala, odgovarajuim nadogradnjama forenzikih alata i sustava, kao i sustava za tajni nadzor elektronikih komunikacijskih mrea i usluga.
Cilj E.5 Poticanje i stalni razvoj suradnje s gospodarskim sektorom.
Poticanje i stalni razvoj suradnje s gospodarskim sektorom (osobito s nezavisnim regulatorom i pravnim osobama u okviru sektora javnih elektronikih komunikacija i sektora elektronikih financijskih usluga), kao i dvosmjerna razmjena podataka o svim novim zabiljeenim raunalnim sigurnosnim incidentima, kako bi gospodarski sektor mogao prepoznati potencijalni incident koji mogue predstavlja kazneno djelo te pravodobno aurirati vlastiti sigurnosni sustav, odnosno, kako bi tijela dravne uprave pravodobno reagirala na eventualno kazneno djelo. Takoer, kroz kvalitetnu suradnju s gospodarskim sektorom poticati komunikaciju u svrhu obrazovanja krajnjih korisnika pojedinih usluga, a kako bi se neposredno doprinijelo prevenciji pojave konkretnih oblika kibernetikog kriminaliteta.
6. POVEZNICE PODRUJA KIBERNETIKE SIGURNOSTI
Poveznice podruja kibernetike sigurnosti definirane su sukladno procjeni potreba RH u trenutku izrade Strategije i obuhvaaju segmente kibernetike sigurnosti za koje je procijenjeno da su u velikoj mjeri zajedniki za sva, ili veinu, prethodno odabranih podruja kibernetike sigurnosti. Odabrane poveznice podruja kibernetike sigurnosti su:
1. Zaštita podataka;
3. Meunarodna suradnja te
4. Obrazovanje, istraivanje, razvoj i jaanje svijesti o sigurnosti u kibernetikom prostoru.
Poveznice podruja kibernetike sigurnosti bitne su za poboljšanje i efikasnije ostvarenje ciljeva i mjera u podrujima kibernetike sigurnosti, stoga se i u odnosu na poveznice Strategijom definiraju posebni ciljevi koji se cijene kljunim za unaprjeenje razine sigurnosti u kibernetikom prostoru, s posebnim osvrtom na definirane sektore društva i utjecaj svake poveznice podruja kibernetike sigurnosti na pojedine sektore društva i oblike suradnje i meusobne koordinacije rada dionika kibernetike sigurnosti. Pri tome se kroz razradu poveznica podruja kibernetike sigurnosti prate naela definirana Strategijom.
6.1 Zaštita podataka (F)
U ivotnom ciklusu podatka, ve pri njegovom nastanku, neophodno je prepoznati pripada li pojedini podatak odreenoj skupini zaštienih podataka te primijeniti odgovarajui skup mjera u svrhu zaštite takvog podatka. Odgovornost je svakog vlasnika, svakog voditelja zbirke, ali i svakog izvršitelja obrade zaštienih podataka i ovlaštenog korisnika zaštienih podataka, skrbiti ne samo o povjerljivosti i privatnosti podataka koje koriste u svom radu, ve biti odgovoran i za cjelovitost i raspoloivost podataka koji se javno objavljuju u kibernetikom prostoru (web-stranice, društvene mree i sl.).
Kako bi se na odgovarajui nain usmjerilo postupanje sa zaštienim podacima, osobito nositelja odgovornosti za zaštiene podatke, u okviru izrade ove Strategije kao najvanije posebne skupine zaštienih podataka za koje je potrebno implementirati adekvatne politike zaštite, prepoznate su sljedee skupine zaštienih podataka: klasificirani podatak, oznaeni neklasificirani podatak, osobni podatak i poslovna tajna.
7 of 40 9.2.2016. 13:36
U podrujima kibernetike sigurnosti utvrenim ovom Strategijom postoji velika potreba meusobne razmjene ili ustupanja podataka koji u veini sluajeva predstavljaju neku od gore navedenih posebnih skupina zaštienih podataka.
Svaka od ovih skupina zaštienih podataka regulirana je odgovarajuim paketom zakonskih i podzakonskih propisa, a do sada uoeni problemi u praksi, u veini sluajeva, povezani su s provedbenim politikama zaštite podataka, osobito u pravnim osobama, kao i sa širim nedostatnim razumijevanjem i sviješu u razliitim sektorima društva o potrebi i nunosti razvoja kulture postupanja s odreenim skupinama zaštienih podataka.
Kako bi se unaprijedilo stanje sigurnosti i osigurali svi preduvjeti nuni za nesmetanu razmjenu ili ustupanje takvih podataka meu razliitim nadlenim dionicima ukljuenima u odreene aktivnosti kibernetike sigurnosti, potrebno je:
Cilj F.1 Doraditi nacionalnu regulativu u podruju poslovne tajne.
Uoeno je da u podruju regulative poslovne tajne na nacionalnoj razini postoji prostor za njezinu doradu, koja bi trebala pratiti i aktualnu unifikaciju ovog podruja koju je EU zapoela u dravama lanicama 2013. godine. Trenutno stanje moe dovesti do pravne nesigurnosti te se smatra nunim razraditi kriterije za utvrivanje i zaštitu poslovne tajne, uz obvezujuu primjenu naela primjerene panje nositelja odgovornosti pri korištenju ove skupine zaštienih podataka.
Cilj F.2 Poticanje stalne suradnje izmeu tijela nadlenih za posebne skupine zaštienih podataka u nacionalnom okruenju u svrhu postizanja usklaenosti u provedbi relevantnih propisa.
Uoena je potreba meuresorne i meusektorske koordinacije društva u cjelini u svrhu usklaivanja pojedinih provedbenih elemenata zakonske regulative. Istie se potreba i vanost meusobne razmjene iskustava nadlenih nacionalnih i meunarodnih tijela za pojedine skupine zaštienih podataka u nacionalnom okruenju, kao i za praenje svih aktualnih izmjena u pravilima pristupa podacima, osobito u EU i NATO okruenju te u okviru potreba i obveza RH kao lanice EU-a i NATO-a. Mjerama akcijskog plana za provedbu Strategije potrebno je usmjeriti panju prema institucijama, odnosno svim nositeljima odgovornosti za zaštiene podatke. Uloga nositelja odgovornosti za zaštiene podatke je osigurati ujednaen pristup provedbi relevantne zakonske regulative kod svih izvršitelja obrade, ali i ovlaštenih korisnika takvih podataka, odnosno u okviru odgovarajuih internih politika informacijske sigurnosti koje ti izvršitelji odnosno korisnici provode.
Cilj F.3 Odreivanje kriterija za prepoznavanje nacionalnih elektronikih registara koji su kritini informacijski resursi te nositelja odgovornosti za njihovu zaštitu.
Jedan od vanih uoenih problema su neodgovarajue politike zaštite podataka u nacionalnim elektronikim registrima. Ovdje se pojavljuje problem kumulacije velikog broja podataka iz odreene skupine (npr. nacionalni podaci koji se prikupljaju za sve graane), ime ranjivost ovakvih informacijskih resursa postaje kritina i za druge povezane informacijske resurse. Potrebna je paljiva analiza ovog podruja te odreivanje kriterija po kojima bi se mogli definirati nacionalni elektroniki registri koji predstavljaju kritine informacijske resurse te utvrditi dodatni zahtjevi zaštite ovakvih kritinih informacijskih resursa, s jedne strane pratei mogunost primjene propisa o kritinim nacionalnim infrastrukturama te s druge strane kroz mogue povezivanje s kriterijima za odreivanje stupnja tajnosti klasificiranog podatka za zbirke podataka iji zbirni elektroniki oblik postaje kritian na nacionalnoj razini i u opisanom smislu.
Cilj F.4 Unaprjeenje postupanja sa zaštienim podacima kod nositelja odgovornosti za zaštiene podatke, izvršitelja obrade zaštienih podataka i ovlaštenih korisnika zaštienih podataka.
Unato zadovoljavajuoj regulativi, usuglašenoj s meunarodnim zahtjevima EU-a i NATO-a, postoji prostor za praktina provedbena poboljšanja i u podruju korištenja, odnosno razmjene i ustupanja, kako klasificiranih tako i osobnih podataka, naroito u odnosu na pravne osobe i korištenje podataka u elektronikom obliku, bilo da se pravne osobe pojavljuju kao izvršitelji obrade zaštienih podataka ili kao korisnici takvih podataka. Naroitu panju ovdje valja usmjeriti na specifinosti kibernetikog prostora i usluga koje proizlaze vezano za raunalnu infrastrukturu, programske platforme ili razvojne aplikacije u raunalnom oblaku. Potrebna je razrada prilagoenih obrazaca ugovora (prilozi, aneksi, klauzule), koji bi se odgovarajue unificirali i pripremili za razliite praktine primjene, ime bi se obveznici primjene zakonskih propisa usmjeravali na detalje provedbe svih onih obveza koje su od visoke vanosti za zaštitu podataka, osobito u okviru ugovora ija provedba ili ve samo sklapanje zahtijeva ustupanje i korištenje zaštienih podataka. Obuhvatile bi se i specifinosti kibernetikog prostora i usluga, odnosno uvjeti korištenja raunalne infrastrukture, platforme, ili aplikacije u raunalnom oblaku. Problematika se promatra u kontekstu pojedinih skupina zaštienih podataka i pripadnih regulatornih zahtjeva te s obzirom na specifinosti kibernetikog prostora i usluga raunalstva u oblaku, kao što su problemi podataka koji su izvan fizike kontrole vlasnika prilikom komunikacije, obrade ili pohrane, problemi povezani s razliitom pravnom odgovornošu davatelja usluga unutar razliitih pravnih okvira (nacionalni, EU, tree zemlje), odnosno povezana problematika relevantnog nacionalnog okvira za identifikaciju, autentifikaciju i autorizaciju korisnika odreenih elektronikih usluga u javnom i gospodarskom sektoru.
Cilj F.5 Unificiranje pristupa u korištenju palete normi HRN ISO/IEC 27000.
Paleta normi HRN ISO/IEC 27000 koristi se u više sektora društva i za zaštitu razliitih skupina podataka (npr. podruje zaštite osobnih podataka, podruje zaštite oznaenih neklasificiranih podataka, kreditne institucije – smjernice središnje banke RH, davatelji javnih elektronikih usluga – pravilnik nacionalnog regulatornog tijela za mrene djelatnosti). Nadlena sektorska i podatkovna tijela trebala bi provesti analizu mogunosti unificiranja pristupa i meusobnog preuzimanja pozitivnih iskustava i najbolje prakse u primjeni iste palete normi u razliitom kontekstu primjene, ali s vrlo slinim ciljevima primjene, ime e se postii ekonominija rješenja za sve obveznike provedbe propisa, a istovremeno osigurati bolje razumijevanje najbolje sigurnosne prakse i sigurnosno znatno uinkovitija rješenja na nacionalnoj razini.
6.2 Tehnika koordinacija u obradi raunalnih sigurnosnih incidenata (G)
Tehnika koordinacija je jedna od primarnih funkcija koju je potrebno provesti pri obradi raunalnih sigurnosnih incidenata kod kojih je došlo do narušavanja dostupnosti, povjerljivosti ili integriteta podataka, a sa zadaom ponovne uspostave prijašnjeg stanja. S obzirom na tehniku sofisticiranost današnjih vrsta napada presudna je visoka razina tehnike osposobljenosti zaposlenika CERT[5]-ova,
kao tijela za prevenciju i odgovor na raunalne sigurnosne incidente. Nuni uvjet za efikasnost tehnike koordinacije je daljnje unapreenje meusektorske organiziranosti te razmjena i ustupanje informacija o raunalnim sigurnosnim incidentima, vodei pri tome rauna o zaštiti osjetljivih podataka (statistika, anonimizacija), a u cilju rješavanja incidenata ili redovitog izvještavanja te kako bi se dobila što jasnija slika o stanju sigurnosti u kibernetikom prostoru na nacionalnoj razini RH. Nacionalna razina ukljuuje objedinjavanje statistikih pokazatelja sektora društva preko nadlenih CERT tijela za nacionalnu i sektorske razine. Pri tome moraju
8 of 40 9.2.2016. 13:36
biti jasno definirane usluge i korisnika baza svakog CERT-a, sukladno naelu supsidijarnosti djelovanja, odnosno djelovanja jednog ili više CERT-ova koji su nadleni za komunikacijsku i informacijsku infrastrukturu na kojoj je nastao i rješava se raunalni sigurnosni incident. Od posebnog su znaaja preventivne aktivnosti kojima se uz mala ulaganja mogu postii veliki uinci i sprijeiti znaajnije štete.
Tehnika koordinacija ima znaajnu ulogu u obradi i saniranju raunalnih sigurnosnih incidenata, a u svrhu njezinog unaprjeenja potrebno je:
Cilj G.1 Kontinuirano unaprjeivati postojee sustave za prikupljanje, analizu i pohranu podataka o raunalnim sigurnosnim incidentima te voditi brigu o aurnosti drugih podataka bitnih za brzu i uinkovitu obradu takvih incidenata.
Prikupljanje, analiza i pohrana podataka o raunalnim sigurnosnim incidentima vrlo je vana za praenje stanja i trendova u nacionalnom kibernetikom prostoru. Podaci o raunalnim sigurnosnim incidentima prikupljaju se u nadlenim CERT-ovima po naelu supsidijarnosti, a objedinjavaju se i prate po sektorski nadlenim tijelima. Vodei rauna o specifinostima razliitih sektora društva i podruja kibernetike sigurnosti, definirat e se vrste podataka o raunalnim sigurnosnim incidentima, naini i preduvjeti razmjene takvih podataka meu sektorski nadlenim tijelima. Sektorski nadlena tijela e periodino izvješivati Nacionalno vijee za kibernetiku sigurnost[6] o trendovima, stanju i znaajnijim incidentima iz prethodnog razdoblja. Sektorski nadlena tijela e provoditi odgovarajue izvješivanje dionika unutar sektora o raunalnim sigurnosnim incidentima. Posebna panja e se posvetiti unapreivanju postojeih sustava za prikupljanje, analizu i pohranu podataka o incidentima.
Cilj G.2 Redovito provoditi mjere za poboljšanje sigurnosti kroz izdavanje upozorenja i preporuka.
Centralno prikupljene podatke o raunalnim sigurnosnim incidentima potrebno je analizirati te razmjenjivati i ustupati nadlenom nezavisnom regulatoru i drugim relevantnim dionicima. Temeljem analiza ovih podataka te podataka prikupljenih na druge naine, tijela nadlena za sigurnost javnih informacijskih sustava i tijela nadlena za sigurnost informacijskih sustava tijela dravne uprave poduzimat e mjere za poboljšanje sigurnosti kroz definiranje upozorenja i preporuka.
Cilj G.3 Uspostava stalne razmjene informacija o raunalnim sigurnosnim incidentima te relevantnih podataka i ekspertnih znanja u rješavanju specifinih sluajeva kibernetikog kriminaliteta.
Spoznaje do kojih tijela kaznenog progona i sigurnosno-obavještajnog sustava dolaze prilikom rješavanja sluajeva kibernetikog kriminaliteta znaajno doprinose ukupnoj slici o kibernetikoj sigurnosti RH, ali i boljoj prevenciji. Stoga je potrebna stalna meusobna razmjena odgovarajuih podataka izmeu tih tijela i nadlenih CERT-ova u opsegu u kojem je to mogue s obzirom na nadlenosti i potrebe pojedinih dionika. Osim razmjene tehnikih podataka, potrebna je suradnja i u podruju ekspertnih znanja, osobito pri rješavanju sloenijih sluajeva kibernetikog kriminaliteta.
6.3 Meunarodna suradnja (H)
Kibernetiki prostor i s njime povezane tehnologije i znanja imaju znaajno rastuu ulogu u sveukupnom razvoju društva, ukljuujui time i politiku, sigurnosnu, gospodarsku i socijalnu dimenziju. Iz navedenoga je potpuno razvidno kako je od iznimne vanosti i u ovom prostoru ljudskog djelovanja ostvariti jednaka naela sigurnosti, vladavine prava te jamenja utvrenih prava i sloboda svima pojedincima i pravnim subjektima, i to na identian nain kako se oni ostvaruju i izvan kibernetikog prostora. S obzirom na to da je i u razvoju, proizvodnji i korištenju informacijske i komunikacijske opreme, programa, usluga ili mrea samo-razvidan meunarodni aspekt, takoer je jasna potreba za koordiniranim djelovanjem, kako na nacionalnoj, tako i na meunarodnoj razini.
Nacionalni interesi, kao i sve potrebne aktivnosti, ostvarivat e se sukladno naelima, vrijednostima i obvezama utemeljenim na Ustavu RH, Povelji Ujedinjenih naroda, meunarodnom pravu i meunarodnom humanitarnom pravu, kao i relevantnom zakonodavnom i strateškom okviru RH i EU te drugim meunarodnim obvezama proisteklim iz lanstva u Ujedinjenim narodima, NATO-u, Vijeu Europe, Organizaciji za europsku sigurnost i suradnju te ostalim multilateralnim okvirima i inicijativama.
Prioriteti RH u podruju kibernetike sigurnosti na meunarodnom planu ukljuuju:
Cilj H.1 Jaanje i širenje meunarodne suradnje na podrujima vanjske i sigurnosne politike s partnerskim dravama, posebice unutar EU-a i NATO-a, ukljuujui i zajednike suradnje s treim dravama.
Organiziranje meunarodne suradnje razliitih dionika kibernetike sigurnosti s temeljnim ciljem sustavnog pristupa meunarodnoj suradnji. Koordinaciju meunarodne suradnje potrebno je organizirati tako da se uskladi sudjelovanje nacionalno nadlenih tijela na odgovarajuim meunarodnim skupovima s inozemnim partnerskim tijelima sukladnih nadlenosti. Meunarodna suradnja treba biti praena odgovarajuim izvješima nadlenih nacionalnih tijela kao nositelja meunarodnih aktivnosti, koja se razmjenjuju i ustupaju drugim odgovarajuim nacionalnim dionicima kibernetike sigurnosti koja imaju tematski povezane nadlenosti.
Cilj H.2 Jaanje meunarodnog pravnog okvira, s naglaskom na promicanje i unaprjeenje provedbe Konvencije Vijea Europe o kibernetikom kriminalu i pripadajuim protokolima.
Potrebno je usko povezati aktivnosti razliitih dionika kibernetike sigurnosti, naroito diplomatskih i pravosudnih nadlenosti, kako bi se osiguralo uinkovito sudjelovanje RH u razvoju meunarodnog pravnog okvira i adekvatno usklaivanje i razvoj nacionalnog pravnog okvira u ovom podruju.
Cilj H.3 Nastavak i razvijanje bilateralne i multilateralne suradnje u okviru postojeih i buduih sporazuma s meunarodnim asocijacijama.
U cilju ispunjenja ugovorenih obveza RH i poveanja nacionalnih sposobnosti provedbe zajednikih aktivnosti u podruju kibernetike sigurnosti nuno je osigurati uinkovit i jasan okvir suradnje tijela dionika kibernetike sigurnosti u RH s pojedinim meunarodnim partnerima i asocijacijama, pratei pri tome nacionalne nadlenosti tijela koje ostvaruju ovu meunarodnu suradnju.
Cilj H.4 Promicanje koncepta izgradnje mjera povjerenja u kibernetikoj sigurnosti.
Sudjelovanje u diplomatskim aktivnostima u okviru meunarodnih organizacija i drugih foruma radi davanja doprinosa RH aktivnostima usmjerenima na izgradnju povjerenja s ciljem smanjenja rizika od sukoba uzrokovanih korištenjem informacijskih i komunikacijskih tehnologija.
Cilj H.5 Sudjelovanje i organizacija meunarodnih civilnih i vojnih vjebi i drugih strunih programa.
Kako bi se osiguralo uinkovit razvoj i jaanje sposobnosti koordiniranog nacionalnog i meunarodnog odgovora na prijetnje
9 of 40 9.2.2016. 13:36
kibernetike sigurnosti, kao i usklaivanje, provjera i unaprjeenje dostignutog stupnja provedbe zajednike obrane kibernetikog prostora, nuno je sudjelovati u meunarodnim vjebama i na strunim skupovima iz podruja kibernetike sigurnosti te ih i organizirati. Pri tome je potrebno pratiti i koordinirati te aktivnosti s obzirom na nacionalne nadlenosti pojedinih tijela kao dionika kibernetike sigurnosti RH.
Cilj H.6 Jaanje suradnje u podruju upravljanja rizicima europskih kritinih infrastruktura.
Zakonom o kritinim infrastrukturama definirane su europske kritine infrastrukture te je propisano njihovo odreivanje i zaštita. U skladu s Direktivom Vijea 2008/114/EC o identifikaciji i odreivanju europskih kritinih infrastruktura i procjeni potrebe za unaprjeenjem njihove zaštite, drave lanice dune su suraivati, razmjenjivati informacije, iskustva i dobru praksu u cilju što bolje i uinkovitije zaštite identificiranih europskih kritinih infrastruktura.
6.4 Obrazovanje, istraivanje, razvoj i jaanje svijesti o sigurnosti u kibernetikom prostoru (I)
U svrhu izgradnje sigurnog društva te iskorištavanja trišnog potencijala informacijske sigurnosti i informacijskog društva u cjelini, potrebno je sustavno pristupiti podizanju razine kompetencija cjelokupnog društva u podruju kibernetike sigurnosti.
Ciljane skupine na koje je potrebno usmjeriti odgovarajue edukativne aktivnosti su:
– sudionici formalnog obrazovanja – potrebno je osigurati da uenici osnovnih i srednjih škola te studenti strunih i sveuilišnih studija ovladaju znanjima o opasnostima na koje mogu naii u virtualnom okruenju te vještinama i kompetencijama kako bi uspješno osigurali vlastito sigurno korištenje informacijskih i komunikacijskih tehnologija kroz sve razine formalnog obrazovanja te svijesti o potrebi zaštite osobnih podataka;
– graani razliitih profila – kroz cjeloivotno uenje ukljuiti sve segmente graanstva u stjecanje znanja o informacijskoj sigurnosti te podizanje svijesti o potrebi zaštite;
– voditelji zbirki osobnih podataka, primatelji osobnih podataka, izvršitelji obrade podataka te sve ostale osobe koje dolaze u dodir s kritinim nacionalnim infrastrukturama i bazama zaštienih skupina podataka – osigurati pojaano obrazovanje u podruju kibernetike sigurnosti i podizanje svijesti o potrebi zaštite podataka u elektronikom obliku;
– strunjaci koji e se baviti informatikom sigurnošu – razvijati diplomske, poslijediplomske i specijalistike studije u skladu s potrebama trišta.
Kako bi se postigli ciljevi Strategije, u podruju obrazovanja, istraivanja, razvoja i jaanja svijesti potrebno je:
1. Sve obrazovne institucije povezati kako bi se programi i kurikulumi pouavanja usustavili te kako ne bi dolazilo do nepotrebnih paralelizma niti izvoenja obrazovnih programa vezanih uz informacijsku sigurnost koji su upitne kvalitete. Potrebno je povezati institucije poput Dravne škole za javnu upravu, Policijske akademije, Pravosudne akademije i sl. sa sveuilištima, osobito sa sastavnicama koje imaju uspostavljene i kvalitetne programe s podruja informacijske sigurnosti, zaštite osobnih podataka, kibernetikog kriminaliteta i slino.
2. Podii razinu znanja o informacijskoj sigurnosti svih dijelova društva putem kampanja u koje su ukljueni i javni mediji.
3. S obzirom na nedostatno obrazovanje uenika u podruju kibernetike sigurnosti, osim u predmetu informatike, implementirati sadraje vezane uz jaanje svijesti o kibernetikoj sigurnosti i u ostale nastavne predmete kao meupredmetne sadraje.
4. U školama na satovima razredne zajednice, roditeljskim sastancima, tematskim predavanjima i ostalim izvanškolskim aktivnostima uenike i roditelje osvješivati o opasnostima unutar informacijskog društva.
5. U programe za profesionalni razvoj uitelja i nastavnika ukljuiti i teme kibernetike sigurnosti.
6. U okviru izobrazbe dravnih slubenika osigurati teme o kibernetikoj sigurnosti u okviru posla koji obavljaju.
7. Pruatelje elektronikih usluga obvezati da se uz proizvod obvezno kupcu prua i informacija o posljedicama sigurnosnih rizika te mehanizmima zaštite, vezano uz taj proizvod ili uslugu. Obvezati pruatelje usluga na ugraivanje sigurnosnih mjera te na pruanje informacija o sigurnosnoj problematici i sigurnosnim implikacijama za te usluge ili proizvode, na korisniku razumljiv nain.
8. Definirati strateške grane istraivanja na podruju informacijske sigurnosti (s aspekta defenzivnih i ofenzivnih tehnologija, metoda, algoritama, ureaja, softvera i hardvera). Poticati istraivake timove i istraivake projekte u podruju informacijske sigurnosti prema smjernicama strateški interesantnih istraivakih i praktinih podruja za RH. Strateški omoguiti da RH ima kapacitete za istraivanje, razvoj, izradu, verifikaciju, sigurnosnu provjeru i ekspertizu iz podruja informacijske sigurnosti. Poboljšati komunikaciju izmeu akademskog, gospodarskog i javnog sektora te razmjenu relevantnih informacija vezanih uz informacijsku sigurnost.
Osnovni ciljevi RH vezani uz obrazovanje, istraivanje, razvoj i jaanje svijesti u podruju kibernetike sigurnosti su:
Cilj I.1 Razvoj ljudskih potencijala u podruju sigurnosti komunikacijsko-informacijskih tehnologija.
Potrebno je sustavno obrazovati osobe ukljuene u provedbu obrazovnih programa (uitelje, nastavnike, ravnatelje, strune suradnike i druge osobe) o kibernetikoj sigurnosti. Programe formalnog obrazovanja treba nadopuniti elementima kibernetike sigurnosti i sustavno ih primjenjivati, naroito u etiri najvee obrazovne skupine, poevši od predškolskog uzrasta, preko osnovnog i srednjeg do visokog školstva. Mlade treba poticati da se bave informacijskom sigurnošu u skladu s pozitivnim propisima. Potrebno je potaknuti izvoenje diplomskih, doktorskih i specijalistikih studija iz podruja kibernetike sigurnosti. Potrebno je planirati i provoditi specijaliziranu izobrazbu dravnih slubenika, tehnikog osoblja te drugog osoblja koje na razliite naine koristi komunikacijske i informacijske tehnologije ili je angairano na provoenju njezine zaštite odnosno zaštite njezinih korisnika.
Cilj I.2 Razvoj i jaanje svijesti o sigurnosti u kibernetikom prostoru.
Potrebno je uspostaviti mehanizme stalnog upoznavanja korisnika i pruatelja usluga u kibernetikom prostoru o sigurnom nainu njegova korištenja. Prema široj javnosti treba provoditi prilagoene obrazovne kampanje. Davatelji usluga e, prema uputama sektorskih regulatora, provoditi dodatne aktivnosti kako bi i davatelji i korisnici usluga bili adekvatno zaštieni.
Cilj I.3 Razvoj nacionalnih sposobnosti, istraivanje i poticanje gospodarstva.
10 of 40 9.2.2016. 13:36
Potrebno je potaknuti razvoj nacionalnih sposobnosti po pojedinim podrujima informacijske sigurnosti, kako u akademskom sektoru kroz istraivanja, tako i u gospodarskom dijelu kroz razvoj novih proizvoda i usluga. Dravna tijela e kroz koordinirani pristup poticati javno-privatno partnerstvo, povezivanje akademskog, dravnog i gospodarskog sektora te predstavljanje i promociju rješenja razvijenih u RH na globalnom trištu.
7. PROVEDBA STRATEGIJE
U svrhu provedbe Strategije izraen je Akcijski plan za provedbu Strategije kojim se razrauju definirani strateški ciljevi, odnosno utvruju provedbene mjere nune za ostvarenje tih ciljeva, zajedno s nadlenim tijelima i popisom rokova za njihovu provedbu.
Akcijski plan za provedbu Strategije omoguava sustavan nadzor provedbe Strategije i predstavlja kontrolni mehanizam pomou kojeg e se moi vidjeti je li odreena mjera provedena u potpunosti i je li poluila eljeni rezultat ili ju je potrebno redefinirati u skladu s novim potrebama.
Kako bi se pravodobno ustanovilo ostvaruje li Strategija eljene rezultate, odnosno ostvaruju li se zadani ciljevi i provode li se utvrene mjere u postavljenim vremenskim okvirima, nuno je uspostaviti sustav kontinuiranog praenja ostvarivanja Strategije i provedbe Akcijskog plana, kojim e se ujedno uspostaviti mehanizam koordiniranja svih nadlenih dravnih tijela u kreiranju odgovarajuih politika i odgovora na prijetnje u kibernetikom prostoru.
Radi razmatranja i unaprjeenja provoenja Strategije i Akcijskog plana za njezinu provedbu, Vlada RH e osnovati Nacionalno vijee za kibernetiku sigurnost (dalje u tekstu: Nacionalno vijee) koje e:
– sustavno pratiti i koordinirati provedbu Strategije te raspravljati o svim pitanjima od vanosti za kibernetiku sigurnost,
– predlagati mjere za unaprjeenje provoenja Strategije i Akcijskog plana za provedbu Strategije,
– predlagati organiziranje nacionalnih vjebi iz podruja kibernetike sigurnosti,
– izraivati preporuke, mišljenja, izvješa i smjernice u vezi s provedbom Strategije i Akcijskog plana te
– predlagati izmjene i dopune Strategije i Akcijskog plana odnosno donošenje nove Strategije i akcijskih planova, u skladu s novim potrebama.
Slijedom potreba opisanih u podruju upravljanja u kibernetikim krizama, Nacionalno vijee e:
– razmatrati pitanja bitna za upravljanje u kibernetikim krizama i predlagati mjere za veu uinkovitost,
– razmatrati izvješa o stanju sigurnosti koje mu dostavlja Operativno-tehnika koordinacija za kibernetiku sigurnost,
– izraivati periodine procjene o stanju sigurnosti,
– utvrivati planove postupanja u kibernetikim krizama,
– izraivati programe i planove aktivnosti Operativno-tehnike koordinacije za kibernetiku sigurnost i usmjeravati njezin rad.
Radi osiguranja podrške radu Nacionalnog vijea, Vlada RH e osnovati Operativno-tehniku koordinaciju za kibernetiku sigurnost koja e:
– pratiti stanje sigurnosti nacionalnog kibernetikog prostora, u svrhu otkrivanja prijetnji koje mogu imati za posljedicu kibernetiku krizu,
– izraivati izvješa o stanju kibernetike sigurnosti,
– predlagati planove postupanja u kibernetikim krizama,
– obavljati druge poslove prema utvrenim programima i planovima aktivnosti.
Predstavnici meuresornih tijela u Operativno-tehnikoj koordinaciji za kibernetiku sigurnost osiguravaju meusobno pristup operativnim podacima iz svoje nadlenosti, u svrhu koordiniranog postupanja u kibernetikim krizama.
Nositelji mjera iz Akcijskog plana za provedbu Strategije odgovorni su za praenje i prikupljanje podataka o provedbi i uinkovitosti mjera, o emu su duni podnositi objedinjena izvješa Nacionalnom vijeu jednom godišnje i to najkasnije do kraja prvog kvartala tekue godine za prethodnu godinu ili po potrebi i eše, odnosno na zahtjev Nacionalnog vijea.
Izvješa o provedbi Akcijskog plana za provedbu Strategije Nacionalno vijee e podnositi Vladi RH najkasnije do kraja drugog kvartala tekue godine, za prethodnu godinu.
Strategija e se revidirati nakon tri godine primjene, na temelju izvješa nositelja mjera iz Akcijskog plana za provedbu Strategije. Nacionalno vijee dostavlja Vladi RH objedinjeno izvješe s prijedlogom izmjena i dopuna Strategije najkasnije do kraja godine u kojoj se revizija provodi.
DODATAK: POJMOVI I KRATICE
Pojmovi
Dravna informacijska infrastruktura – ine ju zajednika dravna osnovica za sigurnu razmjenu podataka i alati za razmjenu podataka kao što su metaregistar, tehnike norme, klasifikacije, javni registri, NIAS, sustav e-Graani te mree dravne informacijske infrastrukture HITRONet i CARNet.
Elektronike financijske usluge (EFU) – financijske usluge koje njihovi ovlašteni pruatelji izravno pruaju korisnicima, posredstvom elektronike komunikacijske i informacijske infrastrukture (primjerice internetsko i mobilno bankarstvo, bankomati, EFTPOS sustavi).
Elektronika komunikacijska i informacijska infrastruktura – obuhvaa raunalne i komunikacijske sustave i programsku podršku koja slui za prijenos, obradu, pohranu podataka.
11 of 40 9.2.2016. 13:36
Elektronike komunikacijske i informacijske usluge – profesionalne komercijalne i nekomercijalne usluge koje se realiziraju putem informacijskih i komunikacijskih sustava
Financijske usluge – usluge iz podruja bankarstva i platnog prometa, trišta vrijednosnih papira, udjela u investicijskim fondovima, osiguranja te usluga leasinga i factoringa.
Informacijska sigurnost – stanje povjerljivosti, cjelovitosti i raspoloivosti podataka koje se postie primjenom odgovarajuih sigurnosnih mjera.
Internet – globalna mrea koja povezuje razliite internetske mree bazirane na TCP/IP protokolu, kao što je primjerice CARNet ili HITRONET.
Izvršitelji obrade zaštienih podataka – fizike ili pravne osobe, dravna ili druga tijela koja obrauju zaštiene podatke u ime nositelja odgovornosti za zaštiene podatke.
Kibernetiki (raunalni) kriminalitet – injenje kaznenih djela protiv raunalnih sustava, programa i podataka, poinjena unutar kibernetikog prostora uporabom informacijskih i komunikacijskih tehnologija.
Kibernetika kriza – dogaaj ili niz dogaaja u kibernetikom prostoru, koji bi mogli uzrokovati ili su ve prouzroili vei poremeaj u društvenom, politikom i ekonomskom ivotu RH. Takvo stanje u konanici moe utjecati na sigurnost ljudi, demokratski sustav, politiku stabilnost, gospodarstvo, okoliš i druge nacionalne vrijednosti odnosno na nacionalnu sigurnost i obranu drave openito.
Kibernetiki prostor – prostor unutar kojeg se odvija komunikacija izmeu informacijskih sustava. U kontekstu Strategije obuhvaa Internet i sve sustave povezane na njega.
Kibernetika sigurnost – obuhvaa aktivnosti i mjere kojima se postie povjerljivost, cjelovitost i dostupnost podataka i sustava u kibernetikom prostoru.
Kritina komunikacijska i informacijska infrastruktura – komunikacijski i informacijski sustavi iji bi poremeaj u funkcioniranju bitno poremetio rad pojedine ili više identificiranih nacionalnih kritinih infrastruktura.
Nositelji odgovornosti za zaštiene podatke – vlasnici zaštienih podataka i voditelji zbirki zaštienih podataka.
Obrada zaštienih podataka – svaka radnja ili skup radnji izvršenih na zaštienim podacima, kao što je prikupljanje, snimanje, organiziranje, spremanje, prilagodba ili izmjena, povlaenje, uvid, korištenje, otkrivanje putem prijenosa, objavljivanje ili injenje podataka na drugi nain dostupnim, svrstavanje ili kombiniranje, blokiranje, brisanje ili uništavanje te provedba logikih, matematikih i drugih operacija s tim podacima.
Osjetljivi podaci – skupine podataka koje se koriste samo za slubene potrebe ili skupine podataka koje su zaštiene odgovarajuim propisima, a pri tome nemaju svojstvo tajnosti (npr. oznaeni neklasificirani podaci ili osobni podaci).
Ovlašteni korisnici zaštienih podataka – korisnici zaštienih podataka koji svoju ovlast odnosno pravo korištenja temelje na zakonom ili ugovorom utvrenoj osnovi, a ne predstavljaju nositelje odgovornosti za zaštiene podatke ili izvršitelje obrade zaštienih podataka.
Podatak – razliite skupine elektronikih zapisa koji imaju vrijednost za korisnike koji s njima postupaju.
Pruatelji elektronikih financijskih usluga – subjekti koje je nadleno tijelo ovlastilo za pruanje elektronikih financijskih usluga.
Raunalni sigurnosni incident – jedan ili više raunalnih sigurnosnih dogaaja koji su narušili odnosno narušavaju sigurnost informacijskog sustava.
Sigurnosne mjere – opa pravila zaštite podataka koja se realiziraju na fizikoj, tehnikoj ili organizacijskoj razini.
Sustav identifikacije i autentifikacije – sustav kojim se utvruje i verificira identitet osoba, ureaja ili usluga na informacijskim sustavima.
Vjerodajnice – skup podataka kojim se predstavlja korisnik elektronike usluge, a slui kao dokaz za provjeru elektronikog identiteta (e-ID) kako bi se omoguio pristup elektronikim uslugama (e-uslugama).
Zaštieni podaci – podaci koji zbog svog sadraja imaju osobit znaaj za vrijednosti štiene u demokratskom društvu, zbog ega ih drava prepoznaje kao osjetljive te ih razvrstava u razliite skupine podataka za koje vrijede specifini zahtjevi postupanja u odnosu na svojstva podatka kao što su povjerljivost, cjelovitost, raspoloivost, odnosno privatnost.
Kratice
CARNet Hrvatska akademska i istraivaka mrea (eng. Croatian Academic and Research Network).
CERT
(Computer Emergency Response Team) Uobiajena kratica za skupinu strunjaka odgovornih za rješavanje sigurnosnih incidenata na raunalnim mreama. U kontekstu Strategije, kratica CERT se koristi za svaku organizacijsku cjelinu, podcjelinu ili pojedinca odgovornog za koordinaciju, prevenciju i zaštitu od raunalnih ugroza sigurnosti informacijskih sustava. Uz kraticu CERT, u meunarodnoj praksi prisutna je i kratica CSIRT (Computer Security Incident Response Team).
Croatian
Hrvatsko nacionalno središte za razmjenu internetskog prometa udomljeno u Sveuilišnom raunskom centru (Srcu), koje je otvoreno za sve davatelje internetskih usluga u RH (za komercijalne i za nekomercijalne, odnosno privatne mree).
12 of 40 9.2.2016. 13:36
(CIX)
e-Graani Sustav e-Graani je dio dravnog informacijskog sustava, a ine ga središnji dravni portal, nacionalni identifikacijski i autentifikacijski sustav i sustav osobnog korisnikog pretinca.
EU Europska unija.
e-usluga Elektronika usluga.
EUROPOL The European Police Office.
EFTPOS sustav
Electronic Fund Transfer Point Of Sale – terminal na prodajnom mjestu namijenjen bezgotovinskom plaanju pomou kojeg se transakcije provode elektronikim putem.
HITRONet Raunalna komunikacijska mrea tijela dravne uprave.
HR ISO/IEC 27000
NATO Organizacija Sjevernoatlantskog ugovora.
OIB Osobni identifikacijski broj.
AKCIJSKI PLAN ZA PROVEDBU NACIONALNE STRATEGIJE KIBERNETIKE SIGURNOSTI
1. UVOD
Ovim Akcijskim planom razrauju se ciljevi definirani Nacionalnom strategijom kibernetike sigurnosti (dalje u tekstu: Strategija) na nain da se njime utvruju provedbene mjere nune za ostvarenje tih ciljeva.
Akcijski plan zamišljen je kao ivi dokument koji omoguuje sustavan nadzor provedbe Strategije i predstavlja kontrolni mehanizam pomou kojega e se moi vidjeti je li odreena mjera provedena u potpunosti, je li cilj postignut ili je ciljeve i mjere potrebno redefinirati u skladu s novim potrebama.
Akcijskim planom utvruju se tijela odgovorna za provedbu predvienih mjera, u svojstvu nositelja i sunositelja. Sukladno procjeni i potrebama provedbe pojedine mjere, nositelji i sunositelji mogu ukljuiti i druge sudionike u provedbu mjera iz ovog Akcijskog plana.
Nadzor provedbe nad ovim Akcijskim planom provodit e se putem redovitih i izvanrednih izvješa koja su Nacionalnom vijeu za kibernetiku sigurnost duni podnositi svi nositelji mjera iz ovog Akcijskog plana, u rokovima utvrenim Strategijom. Nositelji podnose objedinjena izvješa koje se odnose na sve aktivnosti provedene u okviru mjere, neovisno o tome tko je odgovoran za provedbu pojedine aktivnosti (nositelj, sunositelj, sudionik).
Akcijski plan obuhvaa podruja kibernetike sigurnosti i poveznice podruja kibernetike sigurnosti koje tematski obrauje i Strategija, kako slijedi:
A. Javne elektronike komunikacije;
E. Kibernetiki kriminalitet.
13 of 40 9.2.2016. 13:36
F. Zaštita podataka.
H. Meunarodna suradnja.
I. Obrazovanje, istraivanje, razvoj i jaanje svijesti o sigurnosti u kibernetikom prostoru.
2. PODRUJA I POVEZNICE PODRUJA KIBERNETIKE SIGURNOSTI
A. Javne elektronike komunikacije
Cilj A.1 Nadzor tehnikih i ustrojstvenih mjera koje poduzimaju operatori za osiguranje sigurnosti svojih mrea i usluga, kao i usmjeravanje operatora javnih komunikacijskih mrea i/ili usluga u cilju osiguranja visoke razine sigurnosti i dostupnosti javnih komunikacijskih mrea i usluga.
Mjera A.1.1 Provoditi nadzor i usmjeravanje operatora javnih komunikacijskih mrea i/ili usluga, kojim e se obuhvatiti razliiti zahtjevi koji se postavljaju prema operatorima, od kvalitete i dostupnosti mrea i usluga, preko zahtjeva vezanih za zaštitu osobnih podataka, zahtjeva za osiguravanje primjerene panje u provedbi sigurnosnih mjera na temelju odgovarajuih meunarodnih normi, zahtjeva za provedbu zakonskih obveza tajnog nadzora elektronikih mrea i usluga, ali i potreba razvijanja i stalnog unaprjeivanja sigurnosne suradnje i razmjene podataka s tijelima nadlenim za raunalne sigurnosne incidente u podruju javnih elektronikih komunikacija te tijelima kaznenog progona.
Nositelj HAKOM
Broj provedenih nadzora operatora.
Mjera A.2.1 Razvijati meusektorsku suradnju nacionalnih regulatornih tijela i tijela odgovornih za podruje informacijske sigurnosti i politike zaštite podataka te meusobnu koordinaciju i razmjenu iskustava u suradnji i zahtjevima koji proizlaze iz meunarodnih okvira.
Nositelj HAKOM, Nacionalni CERT, ZSIS, UVNS, SOA, VSOA, OTC
Sunositelji
Kraj provedbe Kontinuirano
Cilj A.3 Poticanje korištenja nacionalnog vora za meusobnu razmjenu internetskog prometa pruatelja javnih komunikacijskih mrea i/ili usluga za davanje usluga korisnicima u RH.
Mjera A.3.1 Izraditi i objaviti Preporuke za korištenje nacionalnog vora za meusobnu razmjenu internetskog prometa, s posebnim osvrtom na prednosti njegova korištenje s aspekta sigurnosti razmjene internetskog prometa.
14 of 40 9.2.2016. 13:36
Nositelj SRCE
Kraj provedbe 12 mjeseci od donošenja Strategije
Dodatno financiranje (DA/NE) Ne
B. Elektronika uprava
Mjera B.1.1 Analizirati potrebe i mogunosti povezivanja na dravnu informacijsku infrastrukturu šireg kruga tijela javnog sektora te u skladu s rezultatima analize, izraditi preporuke za povezivanje na dravnu informacijsku infrastrukturu ili uvoenje dodatnih mjera zaštite za informacijske sustave onih tijela javnog sektora koja nisu povezana na dravnu informacijsku infrastrukturu.
Nositelj MU u suradnji s tijelima javnog sektora
Sunositelji ZSIS, CARNet
Dodatno financiranje (DA/NE) NE
Izraene i distribuirane preporuke.
Mjera B.1.2 Analizirati mogunosti povezivanja dravnih tijela klasificiranom mreom te u skladu s rezultatima analize, izraditi plan povezivanja koristei dravnu informacijsku infrastrukturu. Plan e se provoditi u fazama sukladno prioritetima utvrenim analizom.
Nositelj ZSIS u suradnji s MU
Sunositelji SOA, UVNS
Pokazatelji provedbe Izraena analiza.
15 of 40 9.2.2016. 13:36
Mjera B.2.2 Izrada smjernica za primjenu sustava NIAS i odgovarajuih normi (ISO 27001 i sl.).
Nositelj MU u suradnji sa ZSIS-om i CARNet-om
Sunositelji
Mjera B.2.3 Definirati organizacijske i tehnike zahtjeve za povezivanje na dravnu informacijsku infrastrukturu, uvjete i aktivnosti nune za pokretanje, implementaciju, razvoj i nadzor projekata vezanih uz dravnu informacijsku infrastrukturu, nain upravljanja, razvoj te ostale elemente neophodne za rad dravne informacijske infrastrukture.
Sunositelji
Mjera B.2.4 Periodina procjena organizacijskih i tehnikih zahtjeva za povezivanje na dravnu informacijsku infrastrukturu, uvjeta i aktivnosti nunih za pokretanje, implementaciju, razvoj i nadzor projekata vezanih uz dravnu informacijsku infrastrukturu, nain upravljanja, razvoj te ostale elemente neophodne za rad dravne informacijske infrastrukture.
Sunositelji
Poetak provedbe 2 godine po donošenju smjernica iz mjere B.2.3
Kraj provedbe Kontinuirano
Cilj B.3 Donošenje kriterija za korištenje pojedinih razina autentifikacije kod davatelja usluga elektronike uprave i davatelja vjerodajnica.
Mjera B.3.1 Provesti analizu u svrhu donošenja kriterija za korištenje pojedinih razina autentifikacije kod davatelja usluga elektronike uprave i davatelja vjerodajnica, kojom e se obuhvatiti i kako procjena mogunosti korištenja budue elektronike osobne iskaznice graana za potrebe elektronike uprave i drugih javnih i financijskih usluga, tako i drugi aspekti povezani s nacionalnim mogunostima za
16 of 40 9.2.2016. 13:36
uspostavu odgovarajuih akreditacijskih i certifikacijskih sposobnosti u podruju kvalificiranih elektronikih potpisa, sukladno EU zahtjevima.
Nositelj MU u suradnji s MUP-om i MinGo
Sunositelji
Kraj provedbe 12 mjeseci po donošenju Strategije
Pokazatelji provedbe Provedena analiza.
Mjera B.3.2 Utvrditi kriterije za korištenje pojedinih razina autentifikacije kod davatelja usluga elektronike uprave i davatelja vjerodajnica.
Nositelj MU u suradnji s MUP-om i MinGo
Sunositelji
Kraj provedbe 12 mjeseci po provedbi mjere B.3.1
Pokazatelji provedbe Doneseni kriteriji.
C. Elektronike financijske usluge
Cilj C.1 Provoenje aktivnosti i mjera u svrhu poveanja sigurnosti, otpornosti i pouzdanosti kibernetikog prostora, a s ciljem poticanja razvoja elektronikih financijskih usluga.
Mjera C.1.1 Objaviti i implementirati Smjernice o sigurnosti internetskih plaanja. Smjernice o sigurnosti internetskih plaanja sadre niz preporuka ije usvajanje i provoenje unaprjeuje sigurnost plaanja koja se odvijaju posredstvom Interneta. Navedene smjernice e se na odgovarajui nain implementirati u svim kreditnim institucijama, institucijama za platni promet te institucijama za elektroniki novac koje omoguuju provoenje internetskih plaanja.
Nositelj HNB
Kraj provedbe
Rok za objavu Smjernica o sigurnosti internetskih plaanja: 1. kolovoza 2015.
Rok za procjenu usklaenosti relevantnih institucija (kreditne institucije, institucije za platni promet te institucije za elektroniki novac koje omoguuju provoenje internetskih plaanja) s odredbama Smjernica o sigurnosti internetskih plaanja: 31. prosinca 2016.
Dodatno financiranje (DA/NE)
17 of 40 9.2.2016. 13:36
Pokazatelji provedbe
Provedena procjena usklaenosti relevantnih institucija s odredbama Smjernica o sigurnosti internetskih plaanja.
Mjera C.1.2 Objaviti i implementirati Smjernice o sigurnosti mobilnih plaanja. Smjernice o sigurnosti mobilnih plaanja sadre niz preporuka ije usvajanje i provoenje unaprjeuje sigurnost plaanja koja se zadaju putem mobilnih telefonskih ureaja. Navedene smjernice e se na odgovarajui nain implementirati u svim kreditnim institucijama, institucijama za platni promet te institucijama za elektroniki novac koje omoguuju provoenje mobilnih plaanja.
Nositelj HNB
Sunositelji –
Poetak provedbe Ovisno o daljnjim postupcima i rokovima za implementaciju koje e definirati Europska centralna banka (ECB) i Europske agencije za bankarstvo (EBA)
Kraj provedbe Ovisno o daljnjim postupcima i rokovima za implementaciju koje e definirati Europska centralna banka (ECB) i Europske agencije za bankarstvo (EBA)
Provedena procjena usklaenosti relevantnih institucija (kreditne institucije, institucije za platni promet te institucije za elektroniki novac koje omoguuju provoenje internetskih plaanja) s odredbama Smjernica o sigurnosti mobilnih plaanja.
Cilj C.2 Unaprijediti razmjenu i ustupanje podataka o nastalim raunalnim sigurnosnim incidentima izmeu pruatelja elektronikih financijskih usluga, regulatornih i nadzornih tijela te ostalih relevantnih tijela.
Mjera C.2.1 Procijeniti zakonske mogunosti, ogranienja te poeljne mehanizme razmjene informacija o incidentima vezanima uz informacijske sustave kreditnih institucija s relevantnim institucijama u RH.
Nositelj HNB
Izraeno izvješe s procjenom zakonskih mogunosti, ogranienja te poeljnih mehanizama razmjene informacija o incidentima vezanima uz informacijske sustave kreditnih institucija s relevantnim institucijama u RH.
Mjera C.2.2 Objaviti i implementirati Smjernice za izvješivanje o incidentima. Smjernice za izvješivanje o incidentima upuivat e kreditne institucije, institucije za platni promet te institucije za elektroniki novac na vrste incidenata koje je potrebno prijavljivati Hrvatskoj narodnoj banci, kao i na informacije koje je potrebno dostaviti.
Nositelj HNB
18 of 40 9.2.2016. 13:36
Sunositelji –
Poetak provedbe Ovisno o daljnjim postupcima i rokovima za implementaciju koje e definirati Europska centralna banka (ECB

VLADA REPUBLIKE HRVATSKE - MORH

Text of VLADA REPUBLIKE HRVATSKE - MORH

VLADA REPUBLIKE HRVATSKE NACRT

VLADA REPUBLIKE HRVATSKE Ministarstvo poduzetništva i obrta i D2 Obrazovanje za poduzetnistvo i obrtnistvo.pdf · 1 VLADA REPUBLIKE HRVATSKE Ministarstvo poduzetništva i obrta KLASA:

(Wi2012) Vlada Republike Hrvatske - Kako vlada online vlada - izazovi politicke online komunikacije

VLADA REPUBLIKE HRVATSKE PREDSJEDNIKU HRVATSKOGA …

Vlada Republike Hrvatske Ministarstvo gospodarstva, rada i poduzetništva

VLADA REPUBLIKE HRVATSKE PRIJEDLOG OPĆEG POREZNOG

VLADA REPUBLIKE HRVATSKE URED ZA UDRUGE

Vlada Republike Hrvatske - Naslovna

VLADA REPUBLIKE HRVATSKE - rra-sibenik.hr · vlada republike hrvatske _____ strategija razvoja turizma republike hrvatske do 2020

VLADA REPUBLIKE HRVATSKE - DZIV

Ministarstvo obrane Republike Hrvatske | MORH | MoD Croatia

VLADA REPUBLIKE HRVATSKE · GRANICAAlO DIH ČVOR METKOVIĆ UMfSgnm 432

VLADA REPUBLIKE HRVATSKE - Strukturni fondovi

VLADA REPUBLIKE HRVATSKE Ured za suzbijanje zlouporabe … · 2015-09-22 · vlada republike hrvatske ured za suzbijanje zlouporabe droga nacionalni program prevencije ovisnosti za

VLADA REPUBLIKE HRVATSKE NACRT - …...okviru postupka procjene učinaka propisa za svaki nacrt prijedloga zakona koji utvrđuje Vlada Republike Hrvatske obvezno se provodi prethodni

Vlada Republike Hrvatskeglb.bos.rs/progovori-o-pregovorima/uploaded/22(1).pdf · 2014-10-22 · Vlada Republike Hrvatske Pregovaračko stajalište Republike Hrvatske za MeĎuvladinu

HRVATSKE CESTE d.o.o. - Vlada

VLADA REPUBLIKE HRVATSKE - tportal

VLADA REPUBLIKE HRVATSKE MINISTARSTVO MORA, …

VLADA REPUBLIKE HRVATSKE URED ZA …...VLADA REPUBLIKE HRVATSKE URED ZA ZAKONODAVSTVO

VLADA REPUBLIKE HRVATSKE - udruge.gov.hrudruge.gov.hr/UserDocsImages/UserFiles/File/3- ODLUKA2011.pdf · 1 VLADA REPUBLIKE HRVATSKE Savjet za nacionalne manjine Na temelju Ustavnog

FNN 96/98 VLADA REPUBLIKE HRVATSKE

VLADA REPUBLIKE HRVATSKE MINISTARSTVO ZDRAVLJA …

VLADA REPUBLIKE HRVATSKE 744 Na temelju članka 38. stavka

VLADA REPUBLIKE HRVATSKE siječanj/77... · vlada republike hrvatske nacrt konaČni prijedlog zakona o obavljanju geodetske djelatnosti zagreb, siječanj 2018

VLADA REPUBLIKE HRVATSKE NACRT sjednica 14...vlada republike hrvatske nacrt prijedlog zakona o uspostavi infrastrukture za alternativna goriva s konaČnim prijedlogom zakona zagreb,

VLADA REPUBLIKE HRVATSKE - Hrvatski sabor

PRIJEDLOG VLADA REPUBLIKE HRVATSKE sjednica Vlade/39 - 11.pdfPRIJEDLOG VLADA REPUBLIKE HRVATSKE Na temelju članka 31. stavka 3. Zakona o Vladi Republike Hrvatske (Narodne novine,

VLADA REPUBLIKE HRVATSKE N a c r t - Start

VLADA REPUBLIKE HRVATSKE MINISTARSTVO …20 stranica 01 stranica VLADA REPUBLIKE HRVATSKE MINISTARSTVO MORA, TURIZMA, PROMETA I RAZVITKA INVESTITOR: HRVATSKE AUTOCESTE d.o.o. HRVATSKA

Documents

VLADA REPUBLIKE HRVATSKE - MORH

Text of VLADA REPUBLIKE HRVATSKE - MORH