Bug Online

Republika Hrvatska već nekoliko godina provodi temeljitu reformu svojeg obavještajno-sigurnosnog aparata, a što uključuje i promjenu sigurnosnih propisa. Tijekom 2007. godine istovremeno su doneseni Zakon o informacijskoj sigurnosti i Zakon o tajnosti podataka, koji materiju iz svog djelokruga reguliraju na suvremen način, sukladno NATO-vim i drugim međunarodnim sigurnosnim standardima.
Zakon o informacijskoj sigurnosti, kao krovni propis iz tog područja primjenjuje se na državna tijela, tijela jedinica lokalne i područne (regionalne) samouprave te na pravne osobe s javnim ovlastima, koje u svom djelokrugu koriste klasificirane i neklasificirane podatke. Ovaj se Zakon primjenjuje i na pravne i fizičke osobe koje ostvaruju pristup ili postupaju s klasificiranim i neklasificiranim podacima. To znači da se odnosi ne samo javna tijela, već i na sva druga tijela (firme, ustanove pa i pojedince) koji u obavljanju svog posla dolaze u dodir s klasificiranim i neklasificiranim podacima, a što može uključivati i servisere, telekom i mrežne operatere i druge osobe.
Zakon o informacijskoj sigurnosti pisan je sukladno praksi Europske Unije, gdje se zakoni pišu kratko i navode samo osnove, dok se detaljna regulacija nalazi u nižim propisima, uredbama i pravilnicima, kako se (za razliku od naše dosadašnje prakse) zakoni ne bi mijenjali svako malo. Stoga je temeljem ovlasti iz Zakona donesena Uredba u mjerama informacijske sigurnosti (Narodne novine, br. 46/08), u kojoj se opsežno, u 99 članaka regulira informacijska sigurnost državnih podataka.

Informacijska sigurnost
Prema Uredbi, informacijska sigurnost je stanje povjerljivosti, cjelovitosti i raspoloživosti podatka, koje se postiže primjenom propisanih mjera i standarda informacijske sigurnosti te organizacijskom podrškom za poslove planiranja, provedbe, provjere i dorade mjera i standarda. Mjere informacijske sigurnosti su opća pravila zaštite podataka koja se realiziraju na fizičkoj, tehničkoj ili organizacijskoj razini.
Standardi informacijske sigurnosti su organizacijske i tehničke procedure i rješenja namijenjena sustavnoj i ujednačenoj provedbi propisanih mjera informacijske sigurnosti. Uredba navodi pet područja informacijske sigurnosti za koja se propisuju mjere i standardi: sigurnosna provjera, fizička sigurnost, sigurnost podatka, sigurnost informacijskog sustava i sigurnost poslovne suradnje.

Sigurnosna provjera
Klasificiranim podacima višeg stupnja tajnosti (“Vrlo tajno”, “Tajno” i “Povjerljivo”) smiju pristupati samo osobe koje posjeduju uvjerenje o sigurnosnoj provjeri (certifikat), a koji izdaje nadležno državno tijelo. Napominjemo da se sigurnosna provjera za neku osobu provodi tek uz pisanu suglasnost te osobe. Osobe koje u svom radu pristupaju podacima tajnosti “Ograničeno” umjesto obvezne sigurnosne provjere potpisuju posebnu izjavu.
Autori Uredbe nisu zaboravili kako opreznost ljudi koji rade s osjetljivim podacima s vremenom popusti. Stoga je propisano kako su sve osobe koje imaju pristup klasificiranim podacima dužne najmanje jednom godišnje pristupati sigurnosnom informiranju o propisanim mjerama i standardima informacijske sigurnosti te potpisati izjavu o postupanju s klasificiranim podacima.
Napominjemo da je sigurnosna provjera posao specijaliziranih državnih tijela! Nitko nema pravo samoinicijativno glumiti Jamesa Bonda, ili, ako ne koristi povjerljive podatke, interno provjeravati radnike, jer će time prekršiti pregršt propisa o radnom pravu. Poslovna tajna i povjerljivi poslovni podaci se štite na drugi način, kvalitetnim ugovaranjem i izjavama o čuvanju tajnosti.