BIS (Bezbednost Informacionih Sistema)

Razvojem informacionih tehnologija i činjenicom da su kompanije upućene na upotrebu ovih tehnologija, pitanje informacione bezbednosti postalo je jedno od najvažnijih pitanja prilikom uspostavljanja i primene informacionog sistema kompanije. Sve češći napadi na integritet informacionog sistema i podatke kompanije predstavljaju globalni, svetski problem i zahtevaju sistematičan odgovor.

Zakon o informacionoj bezbednosti („Službeni glasnik RS“, br. 6/2016 i 94/2017) propisuje obavezu sprovođenja mera zaštite od bezbednosnih rizika u informaciono-komunikacionim sistemima (IKT sistemi, sistemi bazirani na informaciono-komunikacionim tehnologijama), pri čemu kao bezbednosni rizik podrazumeva događaje koji ugrožavaju funkcionisanje IKT sistema i definiše odgovornosti kompanije prilikom upravljanja i korišćenja IKT sistema. IKT sistem predstavlja skup svih oblika tehnologija koje se koriste za kreiranje, čuvanje i razmenu informacija u različitim vidovima (poslovni podaci, govor, zvuk, slike i sl.)

Bezbednost informacionih sistema je oblast u kojoj je cilj eliminisati mogućnost nastanka nepredviđenih poteškoća. Šteta koju kompaniji nanosi ugrožavanje bezbodnosti informacionog sistema je veoma skupa i često nenadoknadiva. Kroz BIS Positive nudi preuzimanje brige o informacionoj bezbednosti kompanije time omogućujući da se IT sektor posveti drugim ciljevima poslovanja.

U skladu sa Zakonom o informacionoj bezbednosti i najboljom svetskom praksom, Positive je razvio integralnu uslugu BIS koja klijentu olakšava sprovođenje ovog zakona i izvršenje zadataka kao što su:

• uspostavljanje organizacione strukture, sa utvrđenim poslovima i odgovornostima zaposlenih, kojom se ostvaruje upravljanje informacionom bezbednošću;
• postizanje bezbednosti rada na daljinu i upotrebe mobilnih uređaja;
• obezbeđivanje da lica koja koriste IKT sistem odnosno upravljaju IKT sistemom budu osposobljena za posao koji rade i razumeju svoju odgovornost;
• zaštitu od rizika koji nastaju pri promenama poslova ili prestanka radnog angažovanja lica zaposlenih  u kompaniji;
• identifikovanje informacionih dobara i određivanje odgovornosti za njihovu zaštitu;
• klasifikovanje podataka tako da nivo njihove zaštite odgovara značaju podataka
• zaštitu nosača podataka;
• ograničenje pristupa podacima i sredstvima za obradu podataka;
• odobravanje ovlašćenog pristupa i sprečavanje neovlašćenog pristupa IKT sistemu i uslugama koje IKT sistem pruža;
• utvrđivanje odgovornosti korisnika za zaštitu sopstvenih sredstava za autentikaciju;
• predviđanje odgovarajuće upotrebe kriptozaštite radi zaštite tajnosti, autentičnosti odnosno integriteta podataka;
• fizičku zaštitu objekata, prostora, prostorija odnosno zona u kojima se nalaze sredstva i dokumenti IKT sistema i obrađuju podaci u IKT sistemu;
• zaštitu od gubitka, oštećenja, krađe ili drugog oblika ugrožavanja bezbednosti sredstava koja čine IKT sistem;
• obezbeđivanje ispravnog i bezbednog funkcionisanja sredstava za obradu podataka;
• zaštitu podataka i sredstva za obradu podataka od zlonamernog softvera;
• zaštitu od gubitka podataka;
• čuvanje podataka o događajima koji mogu biti od značaja za bezbednost IKT sistema;
• obezbeđivanje integriteta softvera i operativnih sistema;
• zaštitu od zloupotrebe tehničkih bezbednosnih slabosti IKT sistema;
• obezbeđivanje da aktivnosti na reviziji IKT sistema imaju što manji uticaj na funkcionisanje sistema;
• zaštitu podataka u komunikacionim mrežama uključujući uređaje i vodove;
• bezbednost podataka koji se prenose unutar kompanije, kao i između kompanije i lica van kompanije;
• pitanja informacione bezbednosti u okviru upravljanja svim fazama životnog ciklusa IKT sistema odnosno delova sistema;
• zaštitu podataka koji se koriste za potrebe testiranja IKT sistema odnosno delova sistema;
• prevenciju i reagovanje na bezbednosne incidente, što podrazumeva adekvatnu razmenu informacija o bezbednosnim slabostima IKT sistema, incidentima i pretnjama;
• mere koje obezbeđuju kontinuitet obavljanja posla u vanrednim okolnostima.

Usluga BIS inicijalno obuhvata analizu navedenih tačaka, izradu dokumenta sa predlogom mera i eventualnih potrebnih nabavki, kao i praćenje izvršenja zadataka po navedenim  tačkama (kao dodatna usluga) i ocenu usaglašenosti sa Zakonom na kraju godišnjeg ciklusa. Usluga se ugovara za svaku godinu, poštujući postojeće, već izrađene dokumente i analize iz prethodnih godina.

Usluga BIS (As a Service) obuhvata analizu navedenih tačaka, izradu dokumenta sa predlogom mera i eventualnih potrebnih nabavki, kao i praćenje izvršenja zadataka po navedenim  tačkama, sa kontinuiranim vršenjem usluga povezana sa uslugama nadzor i održavanje informacionih sistema i menadžment objedinjene zaštite sistema kao i i ocenu usaglašenosti sa Zakonom na kraju svakog godišnjeg ciklusa.

Dugogodišnje iskustvo i veći broj sertifikovanih stručnjaka u ovoj oblasti koje Positive poseduje čini da usluge ove vrste redovno pruža svojim klijentima kao deo svog portfolia u okviru BITS koncepta integrisane brige o korisniku.

Upotrebom BIS usluge kao jednokratne ili godišnje aktivnosti postiže se samo deo potrebnih efekata. Pun efekat postiže se uslugom koja kontinualno prati stanje informacione bezbednosti kompanije i prati, reaguje i unapređuje karakteristike sistema.