GDPR - Načelo pouzdanosti

Upute za usklađenje s novim Zakonom o kibernetičkoj sigurnosti

Uvod

Hrvatska je 2024. godine donijela Zakon o kibernetičkoj sigurnosti (NN 14/2024) - https://narodne-novine.nn.hr/clanci/sluzbeni/2024_02_14_254.html i kasnije tijekom godine Uredbu o kibernetičkoj sigurnosti (NN 135/2024) - https://narodne-novine.nn.hr/clanci/sluzbeni/2024_11_135_2217.html, čime je uskladila nacionalno zakonodavstvo s Direktivom NIS2 Europske unije. 

Svrha ovog članka je pružiti konkretne upute za usklađivanje s novim Zakonom i Uredbom o kibernetičkoj sigurnosti.

Zakonom o kibernetičkoj sigurnosti donesene su generalne smjernice za usklađenje i navedeni su sektori koji su obveznici usklađenja s novim Zakonom. Više o tome možete pročitati u članku - https://dpa.hr/nis2-kiberneticka-sigurnost/ .

U ovom članku pozabavit ću se novom Uredbom o kibernetičkoj sigurnosti, koja je na snagu stupila 22. listopada 2024. godine, s obzirom da nova Uredba donosi konkretan popis mjera koje je potrebno poduzeti u svrhu usklađenje. Mjere su navedene u Prilogu II Uredbe o kibernetičkoj sigurnosti, pod nazivom “Mjere upravljanja kibernetičkim sigurnosnim rizicima”, te su razvrstane u 13 poglavlja (ili područja) gdje se navodi što je i kako je potrebno poduzeti.

Koje je sigurnosne mjere potrebno poduzeti?

Prilog II Uredbe o kibernetičkoj sigurnosti navodi trinaest područja po kojima se organizacije koje su obveznice slijeđenja Zakona o kibernetičkoj sigurnosti moraju uskladiti:

  1. Predanost i odgovornost osoba odgovornih za provedbu mjera upravljanja kibernetičkim sigurnosnim rizicima
  2. Upravljanje programskom i sklopovskom imovinom
  3. Upravljanje rizicima
  4. Sigurnost ljudskih potencijala i digitalnih identiteta
  5. Osnovne prakse kibernetičke higijene
  6. Osiguravanje kibernetičke sigurnosti mreže
  7. Kontrola fizičkog i logičkog pristupa mrežnim i informacijskim sustavima
  8. Sigurnost lanca opskrbe
  9. Sigurnost u razvoju i održavanju mrežnih i informacijskih sustava
  10. Kriptografija
  11. Postupanje s incidentima
  12. Kontinuitet poslovanja i upravljanje kibernetičkim krizama
  13. Fizička sigurnost

Svako područje sadrži popis konkretnih mjera koje je potrebno provesti i koje se nadalje dijele u tri razine; osnovna, srednja i napredna.

Dodatne razine su; uvjetna i dobrovoljna.

Osnovnu razinu moraju slijediti svi subjekti koji su obveznici Zakona o kibernetičkoj sigurnosti, srednju i visoku razinu trebaju slijediti subjekti koji su svrstani u kritičnije subjekte. Uvjetna razina odnosi se samo na specifične djelatnosti, npr. ako organizacija samostalno razvija softver onda mora slijediti i dobre prakse sigurnog razvoja softvera. Dobrovoljna razina, kao što i sam naziv kaže, predstavlja mjere koje su dobrovoljne.

S obzirom na veliku količinu sigurnosnih mjera koje su navedene u Uredbi, za svako od trinaest područja navest ću u kratkim crtama što je potrebno poduzeti. Za detaljan opis koristite Prilog II Uredbe. 

Uzmite u obzir da usklađenje predstavlja kompleksnu zadaću koja traži specifična znanja iz uspostave standarda informacijske sigurnosti, te se po kompleksnosti ne razlikuje od pripreme organizacija za ISO/IEC 27001 certifikaciju.

Što ako ste certificirani po ISO/IEC 27001?

Ako ste već certificirani po ISO/IEC 27001 normi informacijske sigurnosti odmah ćete uočiti kako se navedene sigurnosne mjere poklapaju s vašim standardom, ali ćete isto tako primijetiti da dio sigurnosnih mjera sigurno nemate proveden na način kako se to zahtjeva po Uredbi o kibernetičkoj sigurnosti.

To znači da ćete morati izvršiti prilagodbu postojeće dokumentacije i procesa kako bi izvršili usklađenje. Navest ću samo par primjera takvih prilagodbi.

Primjer 1: Kriteriji za utvrđivanje značajnih incidenata konkretno su propisani Uredbom, pa sada imamo kriterije za utvrđivanje značajnih incidenata poput:

  • najmanje 20 % primatelja usluge nije moglo pristupiti usluzi u trajanju od najmanje jedan sat;
  • najmanje 1 % primatelja usluge nije moglo pristupiti usluzi u trajanju od najmanje osam sati, pod uvjetom da 1 % primatelja usluge čini najmanje 100 primatelja usluge;
  • ako gubitak prihoda ili troškovi uzrokovani incidentom ili zbroj tih dvaju faktora iznosi stotinu tisuća eura ili najmanje 5 % ukupnog godišnjeg poslovnog prihoda subjekta, ovisno o tome koji iznos je niži;
  • itd.

Primjer 2: Pravila za kreiranje lozinki također se navode u Uredbi i propisuje se  minimalna kompleksnost lozinke na način:

  • Općenito na svim mrežnim i informacijskim sustavima koji nemaju mogućnost više-faktorske autentifikacije (MFA) ili za korisničke račune na kojima MFA nije tehnički moguć, minimalna duljina je 14 znakova koji moraju predstavljati kombinaciju velikih i malih slova, znamenki te specijalnih znakova. Lozinka za korisničke račune s privilegiranim pravima pristupa mrežnom i informacijskom sustavu treba biti duga najmanje 16 znakova, a lozinke za servisne račune najmanje 24 znaka, koristeći ranije opisano pravilo o kombinaciji velikih i malih slova, znamenki i specijalnih znakova. Za korisničke račune, uključujući one s privilegiranim pravima pristupa i servisne račune, za koje je uključena provjera drugog faktora, duljina lozinke može biti kraća, ali ne kraća od 8 znakova, ukoliko je to tehnički izvedivo, vodeći pri tome računa o potrebi korištenja ranije opisanog pravila o kombinaciji velikih i malih slova, znamenki i specijalnih znakova.

Kao što se vidi iz navedenih primjera, sama ISO/IEC 27001 certifikacija ne znači da je  organizacija ujedno usklađena sa svim zahtjevima iz Uredbe o kibernetičkoj sigurnosti. 

Sada ću krenuti s kratkim opisom sigurnosnih mjera iz svakog pojedinog područja.  

1. Predanost i odgovornost osoba odgovornih za provedbu mjera upravljanja kibernetičkim sigurnosnim rizicima

Cilj je osigurati da osobe odgovorne za kibernetičku sigurnost prepoznaju njezinu važnost i aktivno sudjeluju u upravljanju i poboljšanju sigurnosti unutar subjekta.

  • Strateški akt: Definirati i usvojiti strateški akt kibernetičke sigurnosne politike koji pokriva ciljeve, mjere, organizaciju, odgovornosti i procese upravljanja kibernetičkom sigurnošću - osnovna, srednja i napredna razina.
  • Upoznavanje zaposlenika: Osigurati da svi zaposlenici i relevantni vanjski partneri budu upoznati s glavnim odrednicama kibernetičke sigurnosne politike - osnovna, srednja i napredna razina.
  • Resursi: Osigurati potrebne financijske, tehničke i ljudske resurse za učinkovitu provedbu mjera upravljanja rizicima, s redovitim ocjenjivanjem i prilagodbom tih resursa - osnovna, srednja i napredna razina.
  • Uloge i odgovornosti: Uspostaviti, dokumentirati i održavati jasne uloge i odgovornosti za kibernetičku sigurnost, uz izbjegavanje sukoba interesa - osnovna, srednja i napredna razina.
  • Imenovanje odgovorne osobe: Imenovati osobu odgovornu za kibernetičku sigurnost na razini cijelog subjekta s odgovarajućim pristupom potrebnim resursima - srednja i napredna razina.
  • Izvještavanje: Osigurati godišnje izvještavanje o stanju kibernetičke sigurnosti s analizama i preporukama za poboljšanje - osnovna, srednja i napredna razina.
  • Sigurnosne metrike: Definirati i pratiti ključne sigurnosne metrike za precizno praćenje stanja kibernetičke sigurnosti - srednja i napredna razina.
  • Podizanje svijesti: Provesti aktivnosti za podizanje svijesti, uključujući edukacije o kibernetičkoj sigurnosti za odgovorne osobe - srednja i napredna razina.
  • Sudjelovanje u inicijativama: Osigurati sudjelovanje odgovornih osoba u inicijativama kibernetičke sigurnosti i odlučivanju - napredna razina.
  • Praćenje kibernetičke sigurnosti: Implementirati napredne sustave za nadzor i brzu detekciju prijetnji kako bi se omogućila pravovremena reakcija - dobrovoljno.

2. Upravljanje programskom i sklopovskom imovinom

Cilj je uspostaviti strukturirani pristup identifikaciji i klasifikaciji programske i sklopovske imovine te osigurati kontrolu i zaštitu te imovine tijekom cijelog njenog životnog ciklusa.

  • Upravljanje imovinom: Definirati pravila i odgovornosti za upravljanje imovinom, uključujući uspostavu inventara kritične imovine na temelju njene kritičnosti za poslovanje - osnovna, srednja i napredna razina.
  • Inventar kritične imovine: Izraditi detaljan inventar kritičnih elemenata s nužnim informacijama za učinkovito upravljanje i ažuriranje - osnovna, srednja i napredna razina.
  • Kritični podaci: Utvrditi kritične podatke na temelju zahtjeva za dostupnost, autentičnost, cjelovitost i povjerljivost, uzimajući u obzir rizike - osnovna, srednja i napredna razina.
  • Prijenosni mediji: Definirati pravila za korištenje prijenosnih medija isključivo u poslovne svrhe i osigurati zaštitu od malicioznih sadržaja - osnovna, srednja i napredna razina.
  • Lokacija korištenja imovine: Definirati je li uporaba imovine ograničena na prostore subjekta te utvrditi odgovornost za korištenje imovine kada je izvan tih prostora - osnovna, srednja i napredna razina.
  • Proširenje inventara: Proširiti inventar na manje kritične imovine radi cjelovitije procjene rizika i primjene dodatnih mjera zaštite - srednja i napredna razina.
  • Ažuriranje inventara: Uspostaviti redovne aktivnosti za pravovremeno ažuriranje inventara, povezati ga s procesom nabave ili uvesti automatizaciju - srednja i napredna razina.
  • Sigurno zbrinjavanje: Implementirati procedure za sigurno zbrinjavanje i transfer imovine s kritičnim podacima, uključujući kriptiranje i nadzor prijevoza - napredna razina.
  • Fizička identifikacija: Koristiti mehanizme za fizičku identifikaciju i praćenje imovine u stvarnom vremenu, poput IoT-a i RFID-a - napredna razina.

3. Upravljanje rizicima

Cilj je uspostaviti odgovarajući organizacijski okvir za upravljanje rizicima koji prijete sigurnosti mrežnih i informacijskih sustava i poslovanju subjekta.

  • Upravljanje rizicima: Razviti, dokumentirati, implementirati i ažurirati proces upravljanja rizicima - osnovna, srednja i napredna razina.
  • Procjena rizika: Provoditi procjenu nad kritičnom imovinom po načelu procjene svih vrsta rizika (all-hazards approach) - osnovna, srednja i napredna razina.
  • Odgovor na rizike: Identificirane rizike dokumentirati i definirati odgovore u obliku tehničkih, operativnih i organizacijskih mjera - osnovna, srednja i napredna razina.
  • Izvještavanje: Osigurati redovito izvještavanje o rizicima i promjenama - osnovna, srednja i napredna razina.
  • Registar rizika: Održavati registar s detaljnim informacijama o svim prepoznatim rizicima - osnovna, srednja i napredna razina.
  • Procjena prilikom implementacije novih rješenja: Provesti procjenu rizika kod implementacije novih tehnologija ili rješenja - srednja i napredna razina.
  • Korištenje softverskih alata: Koristiti napredne softverske alate za procjenu i praćenje rizika - dobrovoljno.
  • Integracija: Ako postoje procesi upravljanja rizicima na razini poslovanja subjekta, integrirati kibernetičke rizike u cjelokupan proces upravljanja rizicima - uvjetno.

4. Sigurnost ljudskih potencijala i digitalnih identiteta

Cilj je uspostava strukturiranog pristupa za učinkovito upravljanje osobljem i pravima pristupa mrežnim i informacijskim sustavima.

  • Sigurnost ljudskih potencijala: Razviti i održavati pravila sigurnosti za sve korisnike sustava - osnovna, srednja i napredna razina.
  • Provjera kandidata: Provjera kvalifikacija kandidata prije zapošljavanja - osnovna, srednja i napredna razina.
  • Osposobljavanje: Specifično i kontinuirano osposobljavanje zaposlenika o kibernetičkim sigurnosnim rizicima - osnovna, srednja i napredna razina.
  • Program osvješćivanja: Redovna obuka osoblja o osnovnim praksama kibernetičke higijene - osnovna, srednja i napredna razina.
  • Upravljanje pristupom: Uspostavljanje i nadzor jedinstvenih digitalnih identiteta za korisnike- osnovna, srednja i napredna razina.
  • Disciplinske mjere: Implementacija disciplinskih mjera u slučaju nepridržavanja sigurnosnih politika - osnovna, srednja i napredna razina.
  • Pravovremeno ažuriranje: Osigurati pravovremenu dodjelu i ukidanje pristupnih prava u skladu s promjenama - osnovna, srednja i napredna razina.
  • Obuka i podizanje svijesti: Programi obuke za odgovor na incidente - srednja i napredna razina.
  • Udaljeno digitalno učenje: Korištenje sustava za udaljeno digitalno učenje i certifikaciju u području kibernetičkih sigurnosnih rizika - srednja i napredna razina.
  • Socijalni inženjering: Implementirati testiranje socijalnog inženjeringa, simulacije krađe identiteta (phishing) i programe podizanja svijesti - dobrovoljno.
  • Integracija: Integracija sustava za upravljanje ljudskim potencijalima s digitalnim identitetima i pravima pristupa - napredna razina.
  • Pravila pristupa: Implementacija principa „poslovne potrebe“ i „najmanje privilegije“, redovna revizija i prilagodba prava pristupa, upravljanje pravima trećih strana uz ograničenja po opsegu i trajanju - napredna razina.

5. Osnovne prakse kibernetičke higijene

Cilj je zaštita mrežnih i informacijskih sustava implementacijom temeljnih sigurnosnih postavki te prevencija incidenata poput malicioznih infekcija, phishinga i upotrebe slabih lozinki.

  • Edukacija i pravila: Razvijanje i edukacija o pravilima kibernetičke higijene za sve korisnike - osnovna, srednja i napredna razina.
  • Politika kreiranja lozinki: Korištenje jakih lozinki i definiranje vlastite politike u skladu s dobrim praksama (npr. 14 znakova za obične račune, 16 za privilegirane, 24 za servisne) - osnovna, srednja i napredna razina.
  • Višefaktorska autentikacija (MFA): Implementacija MFA za kritične sustave, VPN-ove i druge servise izložene internetu - osnovna, srednja i napredna razina.
  • Antivirusna zaštita: Korištenje antivirusnih i EDR alata gdje je to moguće za detekciju prijetnji i odgovore na njih - osnovna, srednja i napredna razina.
  • Sigurnosne zakrpe: Pravovremena primjena sigurnosnih zakrpa ili definiranje alternative uz procjenu rizika - osnovna, srednja i napredna razina.
  • Evidencija i analiza: Stvaranje, evidentiranje i analiza forenzičkih tragova za prijave i aktivnosti na kritičnim sustavima - osnovna, srednja i napredna razina.
  • Sigurnosna testiranja: Identifikacija i upravljanje ranjivostima, uključujući periodična sigurnosna testiranja poput penetracijskih testova - uvjetno.
  • Upravljanje ranjivostima: Implementirati mehanizme za periodičnu ili redovitu provjeru ranjivosti svih mrežnih i informacijskih sustava - osnovna, srednja i napredna razina.
  • Centralna pohrana zapisa (logova): Centralna pohrana sigurnosno relevantnih događaja i bilježenje anomalija - srednja i napredna razina.
  • Kontrola pristupa web-stranicama: Primjena filtera za sprječavanje pristupa zlonamjernim web-stranicama - srednja i napredna razina.
  • Ograničavanje izloženosti: Identifikacija i kontrola javno dostupnih servisa te smanjenje broja privilegiranih korisničkih računa - srednja i napredna razina.

6. Osiguravanje kibernetičke sigurnosti mreže

Cilj je osigurati cjelovitost, povjerljivost i dostupnost mrežnih resursa.

  • Mjere zaštite mreže: Definirati i uspostaviti obavezne mjere zaštite na temelju mrežne arhitekture i izloženosti javnim mrežama, kao što su vatrozidi, VPN, zero trust principi, sigurni mrežni protokoli, i odvajanje mreža - osnovna, srednja i napredna razina.
  • Siguran prijenos i kontrola pristupa: Osigurati zaštićeni prijenos kritičnih podataka koristeći sigurne protokole (poput HTTPS, sFTP) i autorizaciju pristupa za ovlaštene pojedince ili uređaje - osnovna, srednja i napredna razina.
  • Godišnji pregled mjera sigurnosti: Provesti godišnji pregled definiranih mjera kako bi se osiguralo da su učinkovite i relevantne, te ih ažurirati prema novim prijetnjama i poslovnim promjenama - osnovna, srednja i napredna razina.
  • Praćenje mrežnog prometa: Implementirati mehanizme za praćenje i analizu odlaznog i dolaznog prometa radi smanjenja rizika od napada, uključujući IDS/IPS sustave - srednja i napredna razina.
  • Detekcija anomalija: Uvesti tehničke mehanizme za detekciju anomalija u mreži temeljeno na odstupanjima od tipičnog prometa ili definiranih pravila - napredna razina.

7. Kontrola fizičkog i logičkog pristupa mrežnim i informacijskim sustavima

Cilj je uspostaviti sveobuhvatan sustav pravila i procedura za kontrolu pristupa, kako bi se spriječio neovlašteni pristup.

  • Pravila kontrole pristupa: Razviti, dokumentirati, održavati i implementirati pravila kontrole pristupa za zaposlene, dobavljače i sustave koji pristupaju mrežnim i informacijskim sustavima - osnovna, srednja i napredna razina.
  • Uloge i pripadajuća prava: Definirati uloge na aplikacijama koje odobravaju korisnička prava te dokumentirati tko ih je odobrio - osnovna, srednja i napredna razina.
  • Revizija prava pristupa: Provoditi redovite kontrole korisničkih prava pristupa, najmanje jednom godišnje, prilagođene organizacijskim promjenama - osnovna, srednja i napredna razina.
  • Nadzor privilegiranih korisnika: Osigurati nadzor i kontrolu pristupa za privilegirane korisnike uz specifična pravila - osnovna, srednja i napredna razina.
  • Dinamička kontrola pristupa: Primijeniti dinamičku kontrolu pristupa temeljenu na riziku u stvarnom vremenu koristeći napredne alate - dobrovoljno.
  • Analiza ponašanja korisnika (UEBA): Koristiti naprednu analizu za prepoznavanje neobičnog ili sumnjivog ponašanja korisnika i aktivnosti izvan uobičajenih obrazaca - dobrovoljno.

8. Sigurnost lanca opskrbe

Cilj je razviti jasnu i sveobuhvatnu politiku za izravne dobavljače i pružatelje usluga, posebno u ključnim lancima opskrbe IKT uslugama, kako bi se smanjili rizici i ranjivosti te optimizirao lanac opskrbe.

  • Pravila sigurnosti lanca opskrbe: Razvijati, održavati, dokumentirati i implementirati pravila koja uključuju minimalne zahtjeve za dobavljače i pružatelje usluga te procese provjere njihove sigurnosti - osnovna, srednja i napredna razina.
  • Identifikacija dobavljača i procjena rizika: Identificirati sve izravne dobavljače i uspostaviti registar, procijeniti rizike koji proizlaze iz poslovnih odnosa, i identificirati kontaktne točke i popis usluga i proizvoda nabavljenih od tih dobavljača - osnovna, srednja i napredna razina.
  • Sigurnosni uvjeti u ugovorima: Definirati sigurnosne zahtjeve u ugovorima o suradnji koji uključuju klauzule o povjerljivosti, obavještavanje o incidentima, upravljanje ranjivostima, i druge sigurnosne odredbe - osnovna, srednja i napredna razina.
  • Nadzor i revizija lanca opskrbe: Redovito nadzirati, revidirati i ocjenjivati sigurnost lanaca opskrbe pri svakom novom ugovaranju ili minimalno svake dvije godine - osnovna, srednja i napredna razina.
  • Kriteriji za odabir dobavljača: Definirati kriterije za odabir i ugovaranje dobavljača, uključujući sposobnost ispunjavanja sigurnosnih zahtjeva i procjenu rizika - srednja i napredna razina.
  • Planiranje odgovora na incidente: Razviti planove odgovora na incidente koji uključuju ključne dobavljače, u skladu s dokumentiranim procedurama - srednja i napredna razina.

9. Sigurnost u razvoju i održavanju mrežnih i informacijskih sustava

Cilj je osigurati uspostavljanje, dokumentiranje, provođenje i kontinuirano nadziranje konfiguracije mrežnih i informacijskih sustava, uključujući sigurnosne postavke sklopovske i programske imovine te vanjske usluge i mreže.

  • Analiza sigurnosnih zahtjeva: Provođenje analize sigurnosnih zahtjeva tijekom izrade tehničke specifikacije, projektiranja ili nabave sustava te definiranje kriterija za prihvaćanje rješenja - osnovna, srednja i napredna razina.
  • Dokumentiranje i nadziranje konfiguracije: Uspostava, dokumentiranje, provođenje i nadziranje konfiguracija sustava i sigurnosnih postavki tijekom životnog ciklusa - osnovna, srednja i napredna razina.
  • Upravljanje promjenama: Propisivanje procedura za upravljanje promjenama koje uključuju procese promjena u održavanju, uključivanje kontrolnih procedura, testiranja promjena i dokumentaciju - osnovna, srednja i napredna razina.
  • Pravila za sigurnost: Razvoj i implementacija pravila za sigurnost u razvoju i održavanju sustava - uvjetno.
  • Osposobljavanje zaposlenika: Kontinuirano osposobljavanje zaposlenika uključenih u razvoj, definiranje standarda za siguran razvoj i provođenje sigurnosnih pregleda koda - uvjetno.
  • Integracija sigurnosnih alata: Integracija sigurnosnih alata i procesa u razvojne operacije i prakse kao što su DevOps i DevSecOps, te osiguranje provjere sigurnosti unutar CI/CD procesa - dobrovoljno.

10. Kriptografija

Cilj je osigurati uspostavu sveobuhvatne kriptografske politike i postupke za zaštitu podataka u prijenosu i mirovanju primjenom prikladnih kriptografskih tehnika i algoritama.

  • Pravila primjene kriptografije: Razviti, dokumentirati i implementirati pravila za korištenje kriptografije prema procjeni rizika - osnovna, srednja i napredna razina.
  • Kriptiranje u prijenosu: Koristiti metode kriptiranja za zaštitu kritičnih podataka u prijenosu, prilagođavajući algoritme i veličine ključeva prema najboljim praksama - osnovna, srednja i napredna razina.
  • Upravljanje ključevima: Osigurati sigurno upravljanje kriptografskim ključevima, uključujući generiranje, distribuciju, pohranjivanje, zamjenu i opoziv ključeva, te nadziranje aktivnosti vezanih uz ključeve - osnovna, srednja i napredna razina.
  • Kriptiranje u mirovanju: Implementirati kriptografske metode za zaštitu kritičnih podataka u mirovanju na svim medijima, uz prilagodbu prema dobrim praksama i procjenama rizika - osnovna, srednja i napredna razina.
  • Revidiranje politika i procedura: Provoditi redovite revizije i ažuriranja kriptografskih politika i procedura u skladu s najnovijim dostignućima u kriptografiji - srednja i napredna razina.
  • Kvantno otporna kriptografija - Sukladno procijenjenom riziku, koristiti kvantno otpornu kriptografiju za zaštitu protiv budućih prijetnji u slučajevima gdje je to moguće - dobrovoljno.

11. Postupanje s incidentima

Cilj je uspostaviti sveobuhvatan okvir za upravljanje incidentima, koji uključuje definiranje uloga, odgovornosti i procedura za učinkovito sprječavanje, otkrivanje, analizu, zaustavljanje, odgovor i oporavak od incidenata.

  • Dokumentacija i procedure: Razviti i dokumentirati postupke za postupanje s incidentima, uključujući definiranje uloga i odgovornosti za sve faze incidenta - osnovna, srednja i napredna razina.
  • Osnovne procedure: Uspostaviti procedure koje uključuju komunikacijske planove, dodjeljivanje uloga, upravljanje dokumentacijom, prijavu sumnjivih događaja, procjenu utjecaja incidenata i njihovih evidencija - osnovna, srednja i napredna razina.
  • Obuka zaposlenika: Osigurati osnovnu obuku za prepoznavanje i prijavu incidenata, koja se mora ponoviti najmanje jednom godišnje - osnovna, srednja i napredna razina.
  • Detaljne procedure: Razviti procedure za praćenje, analizu i odgovor na incidente, uključujući trijažu sumnjivih događaja i definiciju pravila za obavještavanje relevantnih tijela - osnovna, srednja i napredna razina.
  • Simulirane vježbe: Provoditi godišnje vježbe postupanja sa simuliranim incidentima radi provjere učinkovitosti procedura - srednja i napredna razina.
  • Specijalizirani alati: Koristiti specijalizirane alate za automatizirano otkrivanje i odgovor na incidente (IDR/EDR/XDR/NDR) - srednja i napredna razina.

12. Kontinuitet poslovanja i upravljanje kibernetičkim krizama

Cilj je izraditi planove za minimiziranje prekida poslovanja i održavanje kontinuiteta ključnih poslovnih aktivnosti tijekom incidenata i kibernetičkih kriza.

  • Politike kontinuiteta poslovanja: Razviti i održavati politike koje identificiraju ključne poslovne aktivnosti i preduvjete za njihov rad tijekom kriza - osnovna, srednja i napredna razina.
  • Analiza utjecaja incidenata (BIA): Provoditi analizu utjecaja incidenata za identifikaciju ključnih poslovnih funkcija i rizika te uspostaviti ciljeve oporavka (RTO, RPO, SDO) - osnovna, srednja i napredna razina.
  • Upravljanje kibernetičkim krizama: Razviti procese s jasnim ulogama zaposlenika, komunikacijskim mjerama i održavanjem kibernetičke sigurnosti - osnovna, srednja i napredna razina.
  • Planovi oporavka od katastrofa (DRP/BCP): Izraditi i održavati planove koji uzimaju u obzir podatke i sustave potrebne za oporavak i kontinuirano poslovanje - osnovna, srednja i napredna razina.
  • Testiranje planova kontinuiteta poslovanja: Redovito, odnosno najmanje jednom godišnje, testirati i dokumentirati planove kako bi se identificirala poboljšanja - srednja i napredna razina.
  • Vježbe upravljanja krizama: Provoditi vježbe za testiranje otpornosti na nepredviđene situacije - uvjetno.
  • Implementacija redundancije: Osigurati redundanciju za kritične sustave i podatke koristeći vlastite resurse ili angažman trećih strana - srednja i napredna razina.
  • Redundantni podatkovni centri: Koristiti podatkovne centre na geografski sigurnim lokacijama i provoditi procjenu rizika geografske lokacije - napredna razina.

13. Fizička sigurnost

Cilj je nadziranje i sprječavanje neovlaštenog fizičkog pristupa kako bi se zaštitili mrežni i informacijski sustavi od štete i smetnji uzrokovanih fizičkim prijetnjama.

  • Politika fizičke sigurnosti: Razviti i implementirati politiku koja uključuje opseg primjene, razine zaštite, odgovorne osobe i provjeru djelotvornosti mjera - osnovna, srednja i napredna razina.
  • Osnovne mjere fizičke zaštite: Uspostaviti fizičke barijere, brave, sigurnosne kamere i kontrole pristupa temeljem procjene rizika i kritičnosti sustava i opreme - osnovna, srednja i napredna razina.
  • Redovita revizija sigurnosnih protokola: Redovito pregledavati i ažurirati protokole za sprječavanje neovlaštenog pristupa, fokusirajući se na kritične sustave - osnovna, srednja i napredna razina.
  • Napredne mjere fizičke zaštite: Implementirati sustave koji omogućuju evidenciju pristupa i podržavaju digitalnu forenziku - srednja i napredna razina.
  • Nadzor u stvarnom vremenu: Implementirati nadzor prostora s kritičnom imovinom u stvarnom vremenu prema procjeni rizika subjekta - napredna razina.

Osim navedenih mjera, Prilog III Uredbe o kibernetičkoj sigurnosti navodi još i posebne mjere fizičke sigurnosti za subjekte iz sektora digitalne infrastrukture koje neću navoditi ovdje.

Zaključak

Osim navedenih sigurnosnih mjera Uredba donosi i niz drugih pravila na koje treba pripaziti, poput:

  • Ključni i važni subjekti dužni su koristiti nacionalnu platformu za prikupljanje, analizu i razmjenu podataka o kibernetičkim prijetnjama i incidentima (u daljnjem tekstu: nacionalna platforma)
  • Ključni i važni subjekti dužni su nadležnom CSIRT-u dostavljati sljedeće vrste obavijesti o značajnom incidentu:
    • rano upozorenje o značajnom incidentu (najkasnije u roku od 24 sata od trenutka saznanja za značajan incident)
    • početnu obavijest o značajnom incidentu (najkasnije u roku od 72 sata od trenutka saznanja za značajan incident)
    • privremeno izvješće o značajnom incidentu (ne može biti kraći od 48 sati niti duži od sedam dana od primitka zahtjeva za dostavu privremenog izvješća)
    • izvješće o napretku
    • završno izvješće o značajnom incidentu.
  • Za provedbu samoprocjene kibernetičke sigurnosti subjekt je dužan odrediti svoje zaposlenike ili vanjske suradnike koji posjeduju najmanje:
    • relevantna znanja iz implementacije međunarodnih normi iz područja informacijske ili kibernetičke sigurnosti
    • potvrdu o završenoj vanjskoj ili internoj edukaciji za internog revizora po nekoj od relevantnih međunarodnih normi iz područja informacijske ili kibernetičke sigurnosti
    • jednu godinu radnog iskustva u okviru provođenja sličnih vrsta interne revizije u području mrežnih i informacijskih sustava odnosno kibernetičke sigurnosti.
  • Subjekt je dužan izjavu o sukladnosti i drugu dokumentaciju nastalu u postupku samoprocjene kibernetičke sigurnosti čuvati deset godina od sastavljanja takve izjave.
  • itd.

Usklađenje zahtjeva aktivni angažman svih zaposlenika organizacije (npr. zaposlenici pružaju informacije, implementiraju ili slijede sigurnosne mjere, prijavljuju incidente, pristupaju  edukacijama i dr.). Organizacije koje u svom radu koriste usluge vanjskih IT partnera za održavanje svojih sustava, trebaju uzeti u obzir njihov dodatni angažman (npr. implementacija dodatnih tehničkih sigurnosnih mjera, kontinuirani pravilan patch management i configuration management, instalacija i održavanje alata za kriptografiju, dodatno podešavanje i ojačavanje sustava, nadzor sustava i dr.).

Osim prvobitnog usklađenja koje zahtjeva angažman stručnjaka sa relevantnim znanjima i iskustvom u implementaciji međunarodnih normi informacijske sigurnosti, potrebno je osigurati i pravilno kontinuirano održavanje, slično kao što ga provode organizacije koje se certificiraju po ISO/IEC 27001 standardu. To uključuje revizije, praćenje, ažuriranje, bilježenje, slijeđenje, poboljšavanje i educiranje. Za neke zadaće poput periodičnog provođenja samoprocjene potrebno je i dodatno osigurati da ju provodi osoba koja posjeduje certifikat za revizora.

Nadam se da Vam je ovaj članak bio od koristi, da će vam poslužiti u boljem razumijevanju svih zahtjeva nove regulative. Slobodno me kontaktirajte ako imate bilo kakvih dodatnih pitanja ili Vam je potrebna pomoć pri usklađenju.

Trebate usklađenje? Pogledajte našu uslugu usklađenja!

Napisao: Dragan Podvorec
Datum: 17.02.2025
DPA - vaši podaci zaslužuju najbolju zaštitu