Један прилог предлогу Закона о информационој безбедности

На основу дугогодишњег искуства у примени интернет технологија, посебно у разним видовима информатичке обуке, Интернет клуб Србије из Љига, сматра да би било корисно да се у Члану 7 дода став којим би се увела обавеза одржавања основне информатичке обуке за све запослене који имају приступ ИКТ систему.

Ако сматрате да је оваква допуна сврсисходна, предлажемо да се појави као ставка 10) у Члан у7: Члан 7 10) „обезбеди основни ниво обуке из области безбедности информационих система за све запослене који имају приступ ИКТ систему“.  Образложење допуне: Ову допуну предлажемо зато што се значајан број сигурносних продора у заштићене ИКТ системе догодио због неодговарајућих потеза запослених који нису имали ни основна знања из области безбедности информационих система.

Предложена допуна није у супротности са НИС 2 регулативом, у којој се у Члану 21 став 2г) од оператора тражи да предузме одређене активности и који у оригиналу гласи: „basic cyber hygiene practices and cybersecurity training“ Предлажемо да се у Члану 7 дода и ставка 11), која би од оператора тражила да преиспита своје кључне добављача у контексту квалификоване оспособљености за безбедно управљање информационим системом.

Предложена допуна није у супротности са НИС 2 регулативом, у којој се у Члану 21 став 2г) од оператора тражи да предузме одређене активности и који у оригиналу гласи: „basic cyber hygiene practices and cybersecurity training“ Предлажемо да се у Члану 7 дода и ставка 11), која би од оператора тражила да преиспита своје кључне добављача у контексту квалификоване оспособљености за безбедно управљање информационим системом. Ако сматрате да је оваква допуна сврсисходна, предлажемо да се појави као ставка 11) у Члан у7: Члан 7 11) „идентификује своје кључне добављаче и од њих захтева одређени ниво сертификације“. Образложење допуне: Ову допуну предлажемо зато што је у области информационе сигурности веома важан интегритет комплетног ланца повезаних оператора и њихових добављача. Ако су сви (осим једног) применили најсавременије сигурносне технологије и методологије, цео систем ће бити потенцијално угрожен од само једног чиниоца. Пословица о томе да „ланац пуца тамо где је најслабији“ има своје пуно значење у области информационе безбедности. Како би оператор идентификовао кључне добављаче и који би ниво сертификације био потребан би се регулисало одговарајућим подзаконским актима. Предложена допуна није у супротности са НИС 2 регулативом, Члан 21 став 2д) којом се од оператора тражи да предузме активности на обезбеђењу одговарајућег нивоа сигурности свих учесника у ланцу снабдевања и који у оригиналу гласи: „supply chain security, including security-related aspects concerning the relationships between each entity and its direct suppliers or service providers“

Изражавамонашу спремност да по потреби узмемо учешћа у даљим активностима на изради припадајућих подзаконских аката.