GDPR traži uvođenje voditelja informacijske sigurnosti - CISO

24. 09. 2018.

CISO Voditelj informacijske sigurnosti – od 25. svibnja 2018.

Uredbom GDPR se od 25. svibnja 2018. godine uvode značajne organizacijske promjene kod svih obveznika zaštite osobnih podataka. Uredba predviđa nove poslovne procese, nove poslove i nova radna mjesta - službenika za zaštitu osobnih podataka te angažiranje voditelja informacijske sigurnosti - CISO - u tvrtkama koje rade s osobnim podacima korisnika.

Što CISO radi?

Odgovornosti CISO-a variraju od industrije do industrije, odnosno djelatnosti organizacije, veličine tvrtke i organizacijske strukture. Različite tvrtke oblikuju sigurnost u cybersecurityu na različite načine, ali postoje mnoge uobičajene sheme.

U velikim tvrtkama CISO često nadgleda tim sigurnosnih stručnjaka koji rade za tvrtku. Manje tvrtke mogu outsoursati posao tvrtki koja pruža usluge projektiranja i implementacije informacijske sigurnosti. Mnogi koriste kombinaciju tih dviju shema.

Uloga CISO-a pojavljuje se po prvi put još 1994. godine, kada je bankarski div Citigroup (tada Citi Corp. Inc.) pretrpio niz kibernetičkih napada od ruskog hakera po imenu Vladimir Levin. Banka je stvorila prvi službeni ured za cyber-sigurnost na svijetu i angažirala Stevea Katza za direktora ureda.

Kome je potreban CISO?

U srpnju je donesen Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (NN 64/2018).

Cilj je ovog zakona osigurati visoku razinu kibernetičke sigurnosti u pružanju usluga koje su od posebne važnosti za odvijanje ključnih društvenih i gospodarskih aktivnosti. Zakonom se uređuju postupci i mjere za postizanje tog cilja, nadležnosti i ovlasti nadležnih sektorskih tijela, jedinstvene nacionalne kontaktne točke, tijela nadležnih za prevenciju i zaštitu od incidenata i tehničkog tijela za ocjenu sukladnosti te nadzor provedbe i prekršajne odredbe.

Sektori obuhvaćeni Zakonom su energetika (električna energija, nafta, plin), prijevoz (zračni, željeznički, vodni, cestovni), bankarstvo, infrastrukture financijskog tržišta, zdravstveni sektor, opskrba vodom za piće i njezina distribucija, digitalna infrastruktura, digitalne usluge te poslovne usluge za državna tijela.

Tijela, pravne osobe i institucije uključene u provedbu ovog zakona mogu se, u cilju dostizanja sposobnosti koje se Zakonom propisuju, natjecati za korištenje sredstava iz CEF fonda Europske unije (Connecting European Facilities).

Vlada Republike Hrvatske na sjednici održanoj 26. srpnja 2018. donijela je Uredbu o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (Narodne novine br. 68/2018).
Temeljem Zakona o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga donesena je Uredba kojom se utvrđuju mjere za postizanje visoke razine kibernetičke sigurnosti operatora ključnih usluga, način njihove provedbe, kriteriji za određivanje incidenata koji imaju znatan učinak na pružanje ključnih usluga, sadržaj obavijesti i druga bitna pitanja za obavješćivanje o incidentima.

Brojna su područja za uspostavu sigurnosti informacijskog sustava a ovdje se izdvaja:

Upravljanje ugovornim odnosima

Članak 17. Uredbe

Operatori ključnih usluga dužni su redovito procjenjivati i na prihvatljivu razinu svesti rizike koji proizlaze iz ugovornih odnosa s pravnim i fizičkim osobama čije izvršenje može utjecati na ključne sustave.

Operatori ključnih usluga dužni su kontinuirano nadzirati način i kvalitetu pružanja ugovorenih poslova i usluga koje mogu utjecati na ključne sustave.

Operatori ključnih usluga dužni su provesti postupak procjene rizika prije ostvarivanja ugovornog odnosa s pravnim i fizičkim osobama čije aktivnosti mogu utjecati na ključne sustave.

Sukladno novih odredbama pripremili smo nekoliko zanimljivih tečaja i seminara, a koje možete pogledati detaljnije na sljedećim linkovima:

CISO - Voditelj informacijske sigurnosti - Zagreb 25. - 27. listopada

Implementacija GDPR uredbe - Zagreb

DPO - Voditelj zaštite osobnih podataka - Zagreb 17. - 19. listopada