Razvojem informacionih tehnologija i činjenicom da su kompanije upućene na upotrebu ovih tehnologija, pitanje informacione bezbednosti postalo je jedno od najvažnijih pitanja prilikom uspostavljanja i primene informacionog sistema kompanije. Sve češći napadi na integritet informacionog sistema i podatke kompanije predstavljaju globalni, svetski problem i zahtevaju sistematičan odgovor.
Zakon o informacionoj bezbednosti („Službeni glasnik RS“, br. 6/2016 i 94/2017) propisuje obavezu sprovođenja mera zaštite od bezbednosnih rizika u informaciono-komunikacionim sistemima (IKT sistemi, sistemi bazirani na informaciono-komunikacionim tehnologijama), pri čemu kao bezbednosni rizik podrazumeva događaje koji ugrožavaju funkcionisanje IKT sistema i definiše odgovornosti kompanije prilikom upravljanja i korišćenja IKT sistema. IKT sistem predstavlja skup svih oblika tehnologija koje se koriste za kreiranje, čuvanje i razmenu informacija u različitim vidovima (poslovni podaci, govor, zvuk, slike i sl.)

Većina konkretnih mera čije sprovođenje je predviđeno Zakonom je u njega inkorporirana iz ISO 27001 (standard o informacionoj bezbednosti), koga Positive primenjuje, kao i kroz sistem standarda GDPR naročito bitan za sve kompanije iz Srbije koje posluju sa zemljama EU.
Bezbednost informacionih sistema je oblast u kojoj je cilj eliminisati mogućnost nastanka nepredviđenih poteškoća. Šteta koju kompaniji nanosi ugrožavanje bezbodnosti informacionog sistema je veoma skupa i često nenadoknadiva. Kroz BIS Positive nudi preuzimanje brige o informacionoj bezbednosti kompanije time omogućujući da se IT sektor posveti drugim ciljevima poslovanja.
U skladu sa Zakonom o informacionoj bezbednosti i najboljom svetskom praksom, Positive je razvio integralnu uslugu BIS koja klijentu olakšava sprovođenje ovog zakona i izvršenje zadataka kao što su:
- uspostavljanje organizacione strukture, sa utvrđenim poslovima i odgovornostima zaposlenih, kojom se ostvaruje upravljanje informacionom bezbednošću;
- postizanje bezbednosti rada na daljinu i upotrebe mobilnih uređaja;
- obezbeđivanje da lica koja koriste IKT sistem odnosno upravljaju IKT sistemom budu osposobljena za posao koji rade i razumeju svoju odgovornost;
- zaštitu od rizika koji nastaju pri promenama poslova ili prestanka radnog angažovanja lica zaposlenih u kompaniji;
- identifikovanje informacionih dobara i određivanje odgovornosti za njihovu zaštitu;
- klasifikovanje podataka tako da nivo njihove zaštite odgovara značaju podataka
- zaštitu nosača podataka;
- ograničenje pristupa podacima i sredstvima za obradu podataka;
- odobravanje ovlašćenog pristupa i sprečavanje neovlašćenog pristupa IKT sistemu i uslugama koje IKT sistem pruža;
- utvrđivanje odgovornosti korisnika za zaštitu sopstvenih sredstava za autentikaciju;
- predviđanje odgovarajuće upotrebe kriptozaštite radi zaštite tajnosti, autentičnosti odnosno integriteta podataka;
- fizičku zaštitu objekata, prostora, prostorija odnosno zona u kojima se nalaze sredstva i dokumenti IKT sistema i obrađuju podaci u IKT sistemu;
- zaštitu od gubitka, oštećenja, krađe ili drugog oblika ugrožavanja bezbednosti sredstava koja čine IKT sistem;
- obezbeđivanje ispravnog i bezbednog funkcionisanja sredstava za obradu podataka;
- zaštitu podataka i sredstva za obradu podataka od zlonamernog softvera;
- zaštitu od gubitka podataka;
- čuvanje podataka o događajima koji mogu biti od značaja za bezbednost IKT sistema;
- obezbeđivanje integriteta softvera i operativnih sistema;
- zaštitu od zloupotrebe tehničkih bezbednosnih slabosti IKT sistema;
- obezbeđivanje da aktivnosti na reviziji IKT sistema imaju što manji uticaj na funkcionisanje sistema;
- zaštitu podataka u komunikacionim mrežama uključujući uređaje i vodove;
- bezbednost podataka koji se prenose unutar kompanije, kao i između kompanije i lica van kompanije;
- pitanja informacione bezbednosti u okviru upravljanja svim fazama životnog ciklusa IKT sistema odnosno delova sistema;
- zaštitu podataka koji se koriste za potrebe testiranja IKT sistema odnosno delova sistema;
- prevenciju i reagovanje na bezbednosne incidente, što podrazumeva adekvatnu razmenu informacija o bezbednosnim slabostima IKT sistema, incidentima i pretnjama;
- mere koje obezbeđuju kontinuitet obavljanja posla u vanrednim okolnostima.
Usluga BIS inicijalno obuhvata analizu navedenih tačaka, izradu dokumenta sa predlogom mera i eventualnih potrebnih nabavki, kao i praćenje izvršenja zadataka po navedenim tačkama (kao dodatna usluga) i ocenu usaglašenosti sa Zakonom na kraju godišnjeg ciklusa. Usluga se ugovara za svaku godinu, poštujući postojeće, već izrađene dokumente i analize iz prethodnih godina.
Usluga BIS (As a Service) obuhvata analizu navedenih tačaka, izradu dokumenta sa predlogom mera i eventualnih potrebnih nabavki, kao i praćenje izvršenja zadataka po navedenim tačkama, sa kontinuiranim vršenjem usluga povezana sa uslugama nadzor i održavanje informacionih sistema i menadžment objedinjene zaštite sistema kao i i ocenu usaglašenosti sa Zakonom na kraju svakog godišnjeg ciklusa.
Dugogodišnje iskustvo i veći broj sertifikovanih stručnjaka u ovoj oblasti koje Positive poseduje čini da usluge ove vrste redovno pruža svojim klijentima kao deo svog portfolia u okviru BITS koncepta integrisane brige o korisniku.
Upotrebom BIS usluge kao jednokratne ili godišnje aktivnosti postiže se samo deo potrebnih efekata. Pun efekat postiže se uslugom koja kontinualno prati stanje informacione bezbednosti kompanije i prati, reaguje i unapređuje karakteristike sistema.
Povezane usluge
Usluga Positive backupa podrazumeva lokalni backup na Vašem ili našem uređaju i udaljeni backup (disaster recovery) u našem data centru.
Današnje kompanije ne mogu zamisliti obavljanje svojih poslovnih procesa bez svakodnevne upotrebe informacionog sistema. Na ovaj način one postaju zavisne od njegovog ispravnog i pouzdanog funkcionisanja i oslanjaju se u potpunosti na ovu pretpostavku. Jedna od najvećih pretnji u funkciji informacionog sistema je oštećenje, gubitak ili krađa podataka.
Proces poznat kao „Etički haking“ predstavlja simulaciju napada na informacioni sistem kompanije od strane proverenih, dobronamernih i stručnih timova, koji će otkriti bezbednosne slabosti informacionog sistema, dati preporuke za unapređenje bezbednosti i zajedno sa klijentom raditi na njihovoj primeni.