Select Page

BIS (Bezbednost Informacionih Sistema)

Razvojem informacionih tehnologija i činjenicom da su kompanije upućene na upotrebu ovih tehnologija, pitanje informacione bezbednosti postalo je jedno od najvažnijih pitanja prilikom uspostavljanja i primene informacionog sistema kompanije. Sve češći napadi na integritet informacionog sistema i podatke kompanije predstavljaju globalni, svetski problem i zahtevaju sistematičan odgovor.

Zakon o informacionoj bezbednosti („Službeni glasnik RS“, br. 6/2016 i 94/2017) propisuje obavezu sprovođenja mera zaštite od bezbednosnih rizika u informaciono-komunikacionim sistemima (IKT sistemi, sistemi bazirani na informaciono-komunikacionim tehnologijama), pri čemu kao bezbednosni rizik podrazumeva događaje koji ugrožavaju funkcionisanje IKT sistema i definiše odgovornosti kompanije prilikom upravljanja i korišćenja IKT sistema. IKT sistem predstavlja skup svih oblika tehnologija koje se koriste za kreiranje, čuvanje i razmenu informacija u različitim vidovima (poslovni podaci, govor, zvuk, slike i sl.)

Većina konkretnih mera čije sprovođenje je predviđeno Zakonom je u njega inkorporirana iz ISO 27001 (standard o informacionoj bezbednosti), koga Positive primenjuje, kao i kroz sistem standarda GDPR naročito bitan za sve kompanije iz Srbije koje posluju sa zemljama EU.

Bezbednost informacionih sistema je oblast u kojoj je cilj eliminisati mogućnost nastanka nepredviđenih poteškoća. Šteta koju kompaniji nanosi ugrožavanje bezbodnosti informacionog sistema je veoma skupa i često nenadoknadiva. Kroz BIS Positive nudi preuzimanje brige o informacionoj bezbednosti kompanije time omogućujući da se IT sektor posveti drugim ciljevima poslovanja.

U skladu sa Zakonom o informacionoj bezbednosti i najboljom svetskom praksom, Positive je razvio integralnu uslugu BIS koja klijentu olakšava sprovođenje ovog zakona i izvršenje zadataka kao što su:

  • uspostavljanje organizacione strukture, sa utvrđenim poslovima i odgovornostima zaposlenih, kojom se ostvaruje upravljanje informacionom bezbednošću;
  • postizanje bezbednosti rada na daljinu i upotrebe mobilnih uređaja;
  • obezbeđivanje da lica koja koriste IKT sistem odnosno upravljaju IKT sistemom budu osposobljena za posao koji rade i razumeju svoju odgovornost;
  • zaštitu od rizika koji nastaju pri promenama poslova ili prestanka radnog angažovanja lica zaposlenih  u kompaniji;
  • identifikovanje informacionih dobara i određivanje odgovornosti za njihovu zaštitu;
  • klasifikovanje podataka tako da nivo njihove zaštite odgovara značaju podataka
  • zaštitu nosača podataka;
  • ograničenje pristupa podacima i sredstvima za obradu podataka;
  • odobravanje ovlašćenog pristupa i sprečavanje neovlašćenog pristupa IKT sistemu i uslugama koje IKT sistem pruža;
  • utvrđivanje odgovornosti korisnika za zaštitu sopstvenih sredstava za autentikaciju;
  • predviđanje odgovarajuće upotrebe kriptozaštite radi zaštite tajnosti, autentičnosti odnosno integriteta podataka;
  • fizičku zaštitu objekata, prostora, prostorija odnosno zona u kojima se nalaze sredstva i dokumenti IKT sistema i obrađuju podaci u IKT sistemu;
  • zaštitu od gubitka, oštećenja, krađe ili drugog oblika ugrožavanja bezbednosti sredstava koja čine IKT sistem;
  • obezbeđivanje ispravnog i bezbednog funkcionisanja sredstava za obradu podataka;
  • zaštitu podataka i sredstva za obradu podataka od zlonamernog softvera;
  • zaštitu od gubitka podataka;
  • čuvanje podataka o događajima koji mogu biti od značaja za bezbednost IKT sistema;
  • obezbeđivanje integriteta softvera i operativnih sistema;
  • zaštitu od zloupotrebe tehničkih bezbednosnih slabosti IKT sistema;
  • obezbeđivanje da aktivnosti na reviziji IKT sistema imaju što manji uticaj na funkcionisanje sistema;
  • zaštitu podataka u komunikacionim mrežama uključujući uređaje i vodove;
  • bezbednost podataka koji se prenose unutar kompanije, kao i između kompanije i lica van kompanije;
  • pitanja informacione bezbednosti u okviru upravljanja svim fazama životnog ciklusa IKT sistema odnosno delova sistema;
  • zaštitu podataka koji se koriste za potrebe testiranja IKT sistema odnosno delova sistema;
  • prevenciju i reagovanje na bezbednosne incidente, što podrazumeva adekvatnu razmenu informacija o bezbednosnim slabostima IKT sistema, incidentima i pretnjama;
  • mere koje obezbeđuju kontinuitet obavljanja posla u vanrednim okolnostima.

Usluga BIS inicijalno obuhvata analizu navedenih tačaka, izradu dokumenta sa predlogom mera i eventualnih potrebnih nabavki, kao i praćenje izvršenja zadataka po navedenim  tačkama (kao dodatna usluga) i ocenu usaglašenosti sa Zakonom na kraju godišnjeg ciklusa. Usluga se ugovara za svaku godinu, poštujući postojeće, već izrađene dokumente i analize iz prethodnih godina.

Usluga BIS (As a Service) obuhvata analizu navedenih tačaka, izradu dokumenta sa predlogom mera i eventualnih potrebnih nabavki, kao i praćenje izvršenja zadataka po navedenim  tačkama, sa kontinuiranim vršenjem usluga povezana sa uslugama nadzor i održavanje informacionih sistema i menadžment objedinjene zaštite sistema kao i i ocenu usaglašenosti sa Zakonom na kraju svakog godišnjeg ciklusa.

Dugogodišnje iskustvo i veći broj sertifikovanih stručnjaka u ovoj oblasti koje Positive poseduje čini da usluge ove vrste redovno pruža svojim klijentima kao deo svog portfolia u okviru BITS koncepta integrisane brige o korisniku.

Upotrebom BIS usluge kao jednokratne ili godišnje aktivnosti postiže se samo deo potrebnih efekata. Pun efekat postiže se uslugom koja kontinualno prati stanje informacione bezbednosti kompanije i prati, reaguje i unapređuje karakteristike sistema.

Povezane usluge

Positive, kroz sistem daljinskog nadzora i upravljanja komponentama informacionog sistema svojih klijenata aktivno učestvuje u obezbeđenju pune funkcije celog sistema.

Usluga Positive backupa podrazumeva lokalni backup na Vašem ili našem uređaju i udaljeni backup (disaster recovery) u našem data centru.

Proces poznat kao „Etički haking“ predstavlja simulaciju napada na informacioni sistem kompanije od strane proverenih, dobronamernih i stručnih timova, koji će otkriti bezbednosne slabosti informacionog sistema, dati preporuke za unapređenje bezbednosti i zajedno sa klijentom raditi na njihovoj primeni.