Aktualnosti i zahtjevi sigurnosne politike i sigurnosnog poslovnog

Aktualnosti i zahtjevi sigurnosne politike i sigurnosnog poslovnog certificiranja s obzirom na skori ulazak Republike Hrvatske u EU mr. sc. Aleksandar Klaić, dipl. ing.

Agenda: 1. Sigurnosna politika danas u kontekstu EU-a 2. Smjerovi daljnje prilagodbe hrvatskog zakonodavstva u sigurnosnom području 3. Sigurnost poslovne suradnje a) Sigurnost i povjerenje – opći pojmovi b) Sigurnost poslovne suradnje – područje informacijske sigurnosti c) Certifikacijski proces d) Klasificirani ugovori e) Međunarodni sigurnosni ugovori RH 4. Zaključak

Sigurnosna politika danas u kontekstu EU-a • Zaštita klasificiranih podataka: – The Council of the European Union: • Council Decision of 31 March 2011 on the Security Rules for Protecting EU Classified Information (2011/292/EU) • Zaštita označenih neklasificiranih podataka – LIMITE: – The Council of the European Union, Brussels, 9 June 2011: • Handling of Documents Internal to the Council, 11336/11 • Zaštita osobnih podataka – velika revizija u tijeku: – Directive –> Regulation (širi koncepti) • direktna primjena u zemljama članicama – Framework Decision –> Directive (mjere zaštite) • prijenos u nacionalno zakonodavstvo – European Commission, Brussels, 25. 1. 2012, COM(2012) 9 final

Smjerovi daljnje prilagodbe hrvatskog zakonodavstva u sigurnosnom području s obzirom na ulazak u EU • Načela izdavanja sigurnosnih certifikata na području zemalja članica EU-a (sigurnosna suradnja, sigurnosne provjere, …) • Parent/Resident Nation načela • Nacionalna kritična infrastruktura • Zakon o obrani – „pravne osobe od posebnog interesa za obranu zemlje”, • Zakon o sigurnosno-obavještajnom sustavu – „štićene osobe, objekti i prostori” • Zakon o sigurnosnim provjerama – „štićeni objekti i osobe, odnosno postrojenja ili sredstva od posebnog značaja za nacionalnu sigurnost” • Kibernetička sigurnost • Kritična informacijska infrastruktura • Ekonomski, društveni, sigurnosni i obrambeni aspekti • Mjere integrirane s upravljanjem rizicima i strategijom cert. /akred. IS

Sigurnost / Povjerenje / Zahtjevi • Sigurnost (Security) – željeno stanje – dihotomija (ima/nema), proces • Povjerenje (Trust) – Činjenice, iskustvo - definirane razine • Zahtjevi informacijske sigurnosti (različite norme i zakoni) – ISO 2700 x, BSI 100 -x, NIST SP 800 -xx, CC, … – Co. BIT, ITIL, ISF, COSO, GTAG ITC, … – Combined Code, SOX, GLB, Basel II, … • Povjerenje kroz: – certifikaciju osoba/uređaja/sustava – Akreditaciju poslovnih procesa • Fizički/logički segmenti organizacije

Regulativni zahtjevi

Razvoj normi informacijske sigurnosti

Osnovni pojmovi: • Klasificirani ugovor – klasificirani podaci POVJERLJIVO i više – Natječaje otvara državni sektor • Državna tijela, jedinice lokalne i područne (regionalne) samouprave te pravne osobe s javnim ovlastima • RH i druge države • Međunarodne organizacije (NATO, EU) – Ugovaratelji, podugovaratelji • pravne osobe • Certifikat poslovne sigurnosti • Certifikacijski proces – Nacionalno NSA tijelo – pravna osoba

Uspostava povjerenja

Hijerarhija propisa informacijske sigurnosti državnog sektora u RH

Sigurnost poslovne suradnje • Industrial Security (NATO, EU) • Okvir za ugovornu primjenu područja informacijske sigurnosti na pravne osobe: – – Sigurnosne provjere Fizička sigurnost Sigurnost podataka Sigurnost informacijskih sustava • Drugi okviri za pravne osobe – zakonski propisani • Certifikat poslovne sigurnosti - Facility Security Clearance (FSC) • Klasificirani ugovor – Classified Contract

Proces certificiranja pravne osobe (UVNS-NSA/DSA) • Ugovor o certificiranju – UVNS (NSA/DSA tijelo) - Pravna osoba – Uputa o mjerama i standardima informacijske sigurnosti za pravne osobe – Izvadci/izvješća iz registara/financijskih računa i sl. • Procedura sigurnosne provjere pravne osobe – Pravna osoba kao poslovni subjekt – Fizičke osobe: • Vlasnici, uprava, savjetnik za inf. sig. (FSO), projektno osoblje • Akreditacija fizičkog prostora i informacijskog sustava • Izdavanje certifikata (FSC) na 5 godina • Obveze pravne osobe tijekom roka važenja certifikata – Inspekcije / koordinacija novih klasificiranih ugovora / edukacija i koordinacija preko savjetnika za informacijsku sigurnost …

Klasificirani ugovori • Državna tijela - pravne osobe (poslovna suradnja/projekti) • Modeli zahtjeva za certifikacijom (FSC): – Projektno utemeljen – zahtjev UVNS-u dostavlja državno tijelo RH ili inozemno tijelo (druga država ili međunarodna org. ) temeljem natječaja – Utemeljen na namjeri – zahtjev UVNS-u dostavlja Ministarstvo gospodarstva na inicijativu pravne osobe (NATO natječaji) temeljem programa Hrvatsko gospodarstvo i NATO • U sklopu izdavanja certifikata prikladnosti (www. natonatjecaji. hr) • Ministarstvo gospodarstva, UVNS, HGK, Misija RH pri NATO, MORH, … • Klasificirani ugovori OGRANIČENO: – Nema certifikacije – slično NDA vrsti ugovora – Sigurnosno informiranje i potpis izjava – Međunarodni - NSA/DSA tijelo po potrebi • Naputak o klasificiranju podataka u projektu, Security Aspects Leter (SAL), Project Security Instructions (PSI)

Vrste, razine i rok važenja certifikata • Nacionalni certifikat poslovne sigurnosti: – POVJERLJIVO, TAJNO, (VRLO TAJNO) • NATO/EU certifikat poslovne sigurnosti : – NATO Confidential, NATO Secret – UE Confidentiel/EU Confidential, UE Secret/EU Secret • Druga međunarodna uporaba FSC certifikata: – Prijevod nacionalnog certifikata na engleski jezik – Klasificirani ugovori državnih tijela drugih država • Rok važenja: – 5 godina uz provjeru uvjeta kod svakog novog ugovora • Upitnik za pravne osobe: www. uvns. hr

Međunarodni sigurnosni ugovori RH • NATO (Pf. P 2003. , kao zemlja članica 2009. ) • EU (2006. , Aranžman za provedbu 2007. , Izmjene 2011. , …) • Bilateralni ugovori (General Security Agreements – GSA): – Albanija (2009. ), Bugarska (2009. ), Češka (2010. ), Estonija (2009. ), Francuska (2011. ), Makedonija (2009. ), Slovačka (2010. ), Slovenija (2011. ) • U završnoj fazi: – Bosna i Hercegovina, Njemačka, SAD, Švedska • U tijeku pregovori: – Finska, Litva, Luksemburg, Rumunjska • Inicirani pregovori: – Austrija, Italija, …

Više informacija. . . • www. uvns. hr • www. natonatjecaji. hr • NN 61/2010 – Naputak o provedbi projekta “Hrvatsko gospodarstvo i NATO” – Ministarstvo gospodarstva • NATO SUSTAV KODIFIKACIJE – NCS – www. nato. int/structur/AC/135/redirect/1280 -e. htm • NATO Web – www. nato. int • The NATO Support Agency (NSPA) – www. nspa. nato. int • The NATO Communications and Information (NCI) Agency – www. ncia. nato. int

Zaključak • Sigurnosna politika svake pravne osobe – Poslovna potreba – Zahtjev sukladnosti • Niz područja generira sigurnosne zahtjeve – – Poslovni i klasificirani ugovori s državnom upravom Kritična nacionalna/EU infrastruktura Tajni nadzor telekomunikacija Kibernetička sigurnost • ekonomski, društveni, sigurnosni, obrambeni • Nova pravila i novi zahtjevi – Svaka organizacija u EU, svaki menadžer sigurnosti, savjetnik za informacijsku sigurnost, IT menadžer, …. • Važnost poslovnog sigurnosnog certificiranja u RH – Privatni sektor – Javni sektor

Pitanja?

Ured Vijeća za nacionalnu sigurnost tel. +385. 1. 4686 046 fax. +385. 1. 4686 049 www. uvns. hr mr. sc. Aleksandar Klaić, dipl. ing. pomoćnik predstojnika e-mail: aleksandar. klaic@uvns. hr