SAVJETNIK ZA INFORMACIJSKU SIGURNOST TREND ILI POTREBA

dr.sc. Anita Perein

SAETAK
U radu se daje pregled regulativnog okvira podruja informacijske sigurnosti, kao to su zakoni, uredbe,
pravilnici i naputci, vani za rad savjetnika za informacijsku sigurnost, s pojanjenjem opih razlika
izmeu pojedinih vrsta propisa i nadlenosti tijela. Polazei od osnovnog pitanja je li imenovanje
savjetnika za informacijsku sigurnost aktualan trend ili potreba, daje se prikaz uvjeta za imenovanje
savjetnika za informacijsku sigurnost, njegovih nadlenosti, obveza i odgovornosti te se pojanjava koja
sve tijela i pravne osobe u dravnom i privatnom sektoru moraju imenovati savjetnika za informacijsku
sigurnost i prema kojim kriterijima. Pritom se poseban naglasak stavlja na ulogu Ureda Vijea za
nacionalnu sigurnost, kao sredinjeg dravnog tijela za informacijsku sigurnost, uz pregled njegove
koordinativne i nadzorne uloge te objanjava karakter obostranog odnosa s mreom imenovanih
savjetnika.
Kljune rijei: informacijska sigurnost, klasificirani podatak, savjetnik za informacijsku sigurnost, NSA

UVOD
Tijekom procesa pregovora za ulazak Republike Hrvatske u lanstvo NATO-a i Europske
unije, jedan od uvjeta postavljenih Hrvatskoj, kao buduoj lanici, bilo je ureenje podruja
informacijske sigurnosti, u skladu s NATO i EU sigurnosnom politikom te definiranje
nacionalne sigurnosne politike u tom podruju. Ta je obveza rezultirala donoenjem
regulativnog okvira informacijske sigurnosti i postavljanjem temelja za implementaciju
propisanih odredbi u svim dravnim tijelima, tijelima jedinica lokalne i podrune (regionalne)
samouprave, pravnim osobama s javnim ovlastima i drugim pravnim osobama (tvrtkama),
koje u svom djelokrugu koriste klasificirane i neklasificirane podatke.
Legislativni okvir u podruju informacijske sigurnosti u Republici Hrvatskoj ini skup
specijalnih zakona i njima pripadajuih podzakonskih akata, kojima se definira nacionalna
sigurnosna politika u podruju informacijske sigurnosti. Zakoni, uredbe Vlade RH, pravilnici
i naputci koji predstavljaju podzakonsku razinu i imaju obvezu primjene na nacionalnoj
razini, u cijelosti su harmonizirani s NATO i EU sigurnosnim direktivama. Navedenim
propisima uvode se i definiraju temeljni pojmovi kao to su informacijska sigurnost, mjere i
standardi informacijske sigurnosti, podruja informacijske sigurnosti, klasificirani i
neklasificirani podaci, sigurnosni certifikati, savjetnik za informacijsku sigurnost itd., te se
odreuju nadlena sredinja tijela Ured Vijea za nacionalnu sigurnost (UVNS), kao
sredinje dravno tijelo za informacijsku sigurnost, Zavod za sigurnost informacijskih sustava
(ZSIS), kao sredinje dravno tijelo za tehnika podruja sigurnosti informacijskih sustava i

Nacionalni CERT (NCERT), koji je zaduen za prevenciju i zatitu od raunalnih ugroza

sigurnosti javnih informacijskih sustava u Republici Hrvatskoj.
I. REGULATIVA U PODRUJU INFORMACIJSKE SIGURNOSTI
Opi koncept regulativnog okvira informacijske sigurnosti temelji se na kombinaciji
zakonodavnih propisa, meunarodnih i nacionalnih normi te unutarnjih standarda svake
pojedine organizacije (dravnog tijela ili pravne osobe tvrtke). U irem smislu, sigurnosna
politika predstavlja hijerarhijski strukturiran skup propisa koji se sastoji od dokumenata koji
utvruju nacionalne strateke ciljeve, dokumenata koji predstavljaju obvezujue zahtjeve za
provedbu stratekih ciljeva, dokumenata koji propisuju obvezujue postupke za provedbu te
od dokumenata kojima se propisuju preporueni naini provedbe propisanih standarda i
procedura.
Regulativni okvir sigurnosne politike u podruju informacijske sigurnosti u RH slijedi
zakonitosti opeg koncepta regulativnog okvira informacijske sigurnosti te emo u nastavku
rada dati detaljan pregled hrvatske regulative i objasniti nadlenosti nacionalnih tijela u
podruju informacijske sigurnosti.
1.1.

Regulativni okvir informacijske sigurnosti u RH

Regulativni okvir informacijske sigurnosti u RH predstavlja skup propisa informacijske

sigurnosti, ije je donoenje u nadlenosti dravnog sektora, hijerarhijski postavljenih s
osnovnom podjelom na legislativni okvir, koji daje okvire sigurnosne politike i
implementacijski okvir, koji daje okvire provedbene politike.
U nastavku rada predstavit emo regulativni okvir informacijske sigurnosti u RH, nuan za
razumijevanje poloaja, ovlasti i odgovornosti savjetnika za informacijsku sigurnost.
Prije prikaza nacionalnih zakona i propisa, vano je istaknuti znaaj i mjesto koje u hijerarhiji
propisa zauzimaju multilateralni1 i bilateralni2 ugovori o uzajamnoj zatiti i razmjeni
klasificiranih podataka, koje Republika Hrvatska sklapa s drugim dravama i meunarodnim
1

Sigurnosni sporazumi i aranmani s NATO-om i Europskom unijom objavljeni su u Narodnim novinama

(NN MU 14/03, NN MU 9/09, NN MU 9/06) i na web stranici UVNS-a (www.uvns.hr).
2
O razmjeni i uzajamnoj zatiti klasificiranih podataka, Vlada Republike Hrvatske sklopila je bilateralne
ugovore s Vladom Republike Bugarske (NN MU 1/09), Vijeem ministara Republike Albanije (NN MU 5/09),
Vladom Republike Makedonije (NN MU 5/09), Vladom Republike Estonije (NN MU 9/09) te Vladom Slovake
Republike (koji je u postupku ratifikacije), www.uvns.hr.

organizacijama te naglasiti da u njima navedene odredbe, nakon ratifikacije u Hrvatskom

saboru, zakonski propisuju postupanje s meunarodnim klasificiranim podacima.
Zakonski i podzakonski akti kojima se propisuje sigurnosna politika u podruju informacijske
sigurnosti imaju hijerarhijsku piramidalnu strukturu. Na vrhu piramide nalaze se krovni
dokumenti sigurnosne politike - zakoni, a zatim slijede uredbe Vlade RH i pravilnici UVNSa, i tim aktima zaokruuje se legislativni okvir sigurnosne politike.
Zakoni kojima se propisuju okviri, ciljevi i dosezi sigurnosne politike u podruju
informacijske sigurnosti su Zakon o sigurnosno-obavjetajnom sustavu (NN 79/06 i 105/06),
Zakon o tajnosti podataka (NN 79/07), Zakon o informacijskoj sigurnosti (NN 79/07) i Zakon
o sigurnosnim provjerama (NN 85/08).
Uredbe Vlade RH kojima se propisuju mjere informacijske sigurnosti su: Uredba o nainu
oznaavanja klasificiranih podataka, sadraju i izgledu uvjerenja o obavljenoj sigurnosnoj
provjeri i izjave o postupanju s klasificiranim podacima (NN 102/07), Uredba o mjerama
informacijske sigurnosti (NN 46/08) i Uredba o sadraju, izgledu, nainu ispunjavanja i
postupanju s upitnikom za sigurnosnu provjeru (NN 114/08).
Slijede pravilnici UVNS-a, koji imaju podzakonsku razinu i obvezu primjene na nacionalnoj
razini. To su pravilnici kojima se propisuju sigurnosni standardi za pet podruja
informacijske sigurnosti3: Pravilnik o standardima sigurnosne provjere, Pravilnik o
standardima fizike sigurnosti, Pravilnik o standardima sigurnosti podataka, Pravilnik o
standardima organizacije i upravljanja podrujem sigurnosti informacijskih sustava i
Pravilnik

standardima

sigurnosti

poslovne

suradnje

(UVNS,

svibanj

2008.,

Neklasificirano) te Pravilnik o kriterijima za ustrojavanje radnih mjesta savjetnika za

informacijsku sigurnost (NN 100/08).
Ispod legislativnog okvira, kojim se propisuje sigurnosna politika, implementacijski je okvir s
odredbama koje se odnose na provedbenu politiku. Tu spadaju pravilnici kojima se propisuju
standardi tehnikih podruja sigurnosti informacijskih sustava. To su pravilnici ZSIS-a:
Pravilnik o standardima sigurnosti informacijskih sustava, Pravilnik o postupanju s
kriptografskim dokumentima i kriptografskom opremom za zatitu klasificiranih podataka,
Pravilnik o prevenciji i odgovoru na raunalno-sigurnosne ugroze i Pravilnik o sigurnosnoj
3

Podruja informacijske sigurnosti su: sigurnosne provjere, sigurnost podataka, fizika sigurnost, sigurnost
informacijskih sustava i sigurnost poslovne suradnje.

akreditaciji (ZSIS, kolovoz/studeni 2008., Neklasificirano) te pravilnici NCERT-a4, naputci i

upute UVNS-a5, ali i interni akti pojedinih tijela, ija obveza donoenja proizlazi iz zakonskih
i podzakonskih akata kojima se propisuje sigurnosna politika.
1.1.1. Interni akti u tijelima
Iz navedenih zakonskih i podzakonskih akata kojima se definira sigurnosna politika,
proizlaze obveze donoenja sljedeih internih akata u tijelima koja postupaju s klasificiranim
podacima:
Pravilnik kojim e se poblie razraditi kriteriji za odreivanje stupnjeva tajnosti za
podatke iz djelokruga tijela (lanak 10. i 31. Zakona o tajnosti podataka, NN 79/07);
Popis poslova i dunosti za koje je potreban certifikat (lanak 31. Zakona o tajnosti
podataka, NN 79/07);
Pravilnik o provedbi mjera i standarda informacijske sigurnosti (lanak 24. Zakona o
informacijskoj sigurnosti, NN 79/07);
Odluka o imenovanju savjetnika za informacijsku sigurnost (lanak 2. Pravilnika o
kriterijima za ustrojavanje radnih mjesta savjetnika za informacijsku sigurnost, NN
100/08).
1.1.2. Primjena propisa prema stupnju tajnosti klasificiranih podataka
Za zatitu klasificiranih podataka stupnja tajnosti Vrlo tajno, Tajno i Povjerljivo,
uvode se i primjenjuju mjere i standardi informacijske sigurnosti propisani meunarodnim
ugovorima, zakonima, uredbama, pravilnicima i naputcima, koji imaju obvezu primjene na
nacionalnoj razini.
Mjere i standardi za zatitu neklasificiranih podataka utvruju se u skladu s mjerama i
standardima propisanim za zatitu osobnih podataka graana (Zakon o zatititi osobnih
podataka, NN 103/03, 118/06 i 41/08). Za zatitu neklasificiranih podataka tijela i pravne
osobe utvruju i primjenjuju odgovarajui skup mjera informacijske sigurnosti, sukladno

Izmjene i dopune Statuta CARNet-a i Pravilnik o radu nacionalnog CERT-a.

Npr. Naputak o mjerama i standardima informacijske sigurnosti za Sustav registara (kolovoz 2008., UVNS,
Neklasificirano), Naputak o sigurnosnoj edukaciji o mjerama i standardima informacijske sigurnosti (prosinac
2008., UVNS, Neklasificirano) i dr.

normama za upravljanje informacijskom sigurnou, HRN ISO/IEC 27001 i HRN ISO/IEC

17799.6
Mjere i standardi informacijske sigurnosti za zatitu nacionalnih klasificiranih podataka
stupnja tajnosti Ogranieno utvruju se uz prethodnu provjeru primjene propisanih mjera i
standarda za neklasificirane podatke te dodatnih mjera i standarda propisanih za navedeni
stupanj tajnosti. Zatita klasificiranih podataka stupnja tajnosti Ogranieno odgovornost je
tijela i savjetnika za informacijsku sigurnost u tijelima, jer bi neovlateno otkrivanje
klasificiranih podataka tog stupnja tajnosti natetilo djelovanju i izvravanju zadaa dravnih
tijela u obavljanju njihovih poslova, a ne nacionalnoj sigurnosti ili vitalnim interesima RH.7
1.1.3. Primjena propisa informacijske sigurnosti u pravnim osobama
Pravne osobe, koje s dravnim tijelima sklapaju klasificirane ugovore, dune su za zatitu
klasificiranih podataka, koji e se razmjenjivati izmeu tijela i pravne osobe ili koji e nastati
u sklopu realizacije klasificiranog ugovora, primjenjivati sve propisane mjere i standarde za
njihovu zatitu, jednako kao i dravna tijela.
Pravnim osobama ne dostavljaju se pravilnici UVNS-a, oznaeni oznakom Neklasificirano,
ve je UVNS izradio Uputu za primjenu mjera i standarda informacijske sigurnosti u pravnim
osobama, koja se tvrtkama dostavlja prilikom sklapanja ugovora o certificiranju izmeu
UVNS-a i pravne osobe, a koja sadri pregled obveza pravnih osoba u smislu zatite
klasificiranih podataka iz klasificiranog ugovora, programa ili projekta. Interne procedure
koje moraju ispuniti pravne osobe, propisane su ugovorom o certificiranju izmeu UVNS-a i
pravne osobe te navedenom Uputom.
Vano je naglasiti da prezentirani regulativni okvir informacijske sigurnosti u RH, po prvi
puta u naoj dravi zakonski ureuje podruje neklasificiranih i klasificiranih podataka,
propisuje ovlasti za klasificiranje, nain klasifikacije te mjere zatite klasificiranih podataka
prema oznaenom stupnju tajnosti. Postupanje s klasificiranim podacima i njihova zatita,
sukladno odredbama Zakona o informacijskoj sigurnosti (NN 79/07), primjenjuju se
istovjetno na subjekte iz dravnog sektora, kao i iz privatnog sektora kada s dravnim tijelima
sklapaju klasificirane ugovore.
6

lanak 8. Uredbe o mjerama informacijske sigurnosti (NN 46/08).

lanak 9. Zakona o tajnosti podataka (NN 79/07). Nacionalnoj sigurnosti ili vitalnim interesima RH,
nepopravljivu tetu nanijelo bi neovlateno otkrivanje klasificiranih podataka stupnja tajnosti Povjerljivo,
Tajno ili Vrlo tajno.
7

1.2.

Nadlena tijela u podruju informacijske sigurnosti

Zakon o informacijskoj sigurnosti (NN 79/07) definira uloge dravnih tijela u podruju
informacijske sigurnosti.
v Ured Vijea za nacionalnu sigurnost
UVNS je sredinje dravno tijelo za informacijsku sigurnost hrvatski NSA (National
Security Authority), iz ega proizlaze njegove nacionalne i meunarodne obveze i nadlenosti
u podruju zatite klasificiranih i neklasificiranih podataka. U tom smislu, UVNS propisuje,
koordinira i usklauje donoenje te nadzire primjenu mjera i standarda informacijske
sigurnosti u okviru podruja sigurnosnih provjera, fizike sigurnosti, sigurnosti podataka,
sigurnosti informacijskih sustava8 i sigurnosti poslovne suradnje. 9
Nadalje, UVNS izdaje nacionalne, NATO i EU sigurnosne certifikate za fizike osobe te
certifikate poslovne sigurnosti za pravne osobe, nune za pristup nacionalnim, NATO i EU
klasificiranim podacima stupnja tajnosti Povjerljivo, Tajno ili Vrlo tajno.
U UVNS-u je ustrojen Sredinji registar nadlean za prijem i distribuciju meunarodnih
klasificiranih i neklasificiranih podataka te za uspostavljanje i koordinaciju rada Sustava
registara RH. U nadlenosti UVNS-a je i sigurnosna akreditacija registara i kontrolnih toaka
u Sustavu registara RH, koji zaprimaju i vre internu distribuciju meunarodnih klasificiranih
i neklasificiranih podataka.
UVNS koordinira i usklauje rad svih drugih tijela koja imaju odreene funkcije u sklopu
politike informacijske sigurnosti, kao primjerice ZSIS-a kao nacionalnog NCSA10, SAA11 i
NDA12 tijela i CARNet-a kao Nacionalnog CERT-a te provodi edukaciju, koordinira i
usklauje rad savjetnika za informacijsku sigurnost u tijelima i pravnim osobama.

U podruju sigurnosti informacijskih sustava UVNS je nadlean za organizaciju i upravljanje podrujem

sigurnosti informacijskih sustava (politika), ZSIS za tehniku implementaciju (provedbu) u segmentu tehnikih
standarda sigurnosti informacijskih sustava, sigurnosnih akreditacija klasificiranih informacijskih sustava,
upravljanja kriptomaterijalima koji se koriste u razmjeni klasificiranih podataka te koordinaciji prevencije i
odgovora na raunalne ugroze sigurnosti informacijskih sustava u dravnim tijelima (Vladin CERT), dok je
CARNet (Nacionalni CERT) zaduen za provedbu prevencije i zatite od ugroza sigurnosti javnih
informacijskih sustava.
9
U podruju sigurnosti poslovne suradnje UVNS je, kao hrvatsko DSA tijelo (Designated Security Authority),
nadlean za komunikaciju s privatnim sektorom.
10
NCSA = National Communication Security Authority
11
SAA = Security Acreditation Authority
12
NDA = National Distribution Authority

Kao NSA tijelo odgovorno za sigurnost nacionalnih, NATO i EU klasificiranih podataka u

nacionalnim vojnim i civilnim tijelima, u tuzemstvu i inozemstvu, u skladu s nacionalnom
regulativom, kao i regulativom NATO-a i EU-a, UVNS provodi nadzor postupanja s
nacionalnim i meunarodnim klasificiranim i neklasificiranim podacima, a u koordinaciji s
NOS-om (NATO Office of Security) i GSCSO-om (EU Council General Secretariat Security
Office), organizira meunarodni nadzor tih tijela nad postupanjem s NATO i EU
klasificiranim i neklasificiranim podacima u RH.13
Kao hrvatsko NSA tijelo, UVNS ostvaruje i koordinira meunarodnu suradnju drugih tijela iz
RH u podruju informacijske sigurnosti te odlukom Vlade RH, u ime Republike Hrvatske
zakljuuje meunarodne sigurnosne ugovore za zatitu klasificiranih podataka s drugim
dravama i meunarodnim organizacijama. 14
UVNS trajno usklauje propisane mjere i standarde informacijske sigurnosti u RH s
meunarodnim standardima i preporukama informacijske sigurnosti te sudjeluje u
nacionalnoj normizaciji podruja informacijske sigurnosti.
v Zavod za sigurnost informacijskih sustava
ZSIS je sredinje dravno tijelo za tehnika podruja sigurnosti informacijskih sustava u
dravnim tijelima, tijelima jedinica lokalne i podrune (regionalne) samouprave te u pravnim
osobama s javnim ovlastima, koje u svom djelokrugu koriste klasificirane podatke. Tehnika
podruja sigurnosti informacijskih sustava obuhvaaju standarde sigurnosti informacijskih
sustava,

sigurnosne akreditacije klasificiranih

informacijskih

sustava,15

upravljanje

kriptomaterijalima koji se koriste u razmjeni klasificiranih podataka te koordinaciju

prevencije i odgovore na raunalne ugroze sigurnosti informacijskih sustava u dravnim
tijelima (Vladin CERT).
ZSIS trajno usklauje standarde tehnikih podruja sigurnosti informacijskih sustava u RH s
meunarodnim standardima i preporukama te sudjeluje u nacionalnoj normizaciji podruja
sigurnosti informacijskih sustava.

13

Navedena ovlast proizlazi iz odredbi multilateralnih ugovora sklopljenih s NATO-om i EU-om

(www.uvns.hr).
14
Multilateralni i bilateralni ugovori o uzajamnoj zatiti klasificiranih podataka objavljuju se u Narodnim
novinama i na web stranici UVNS-a (www.uvns.hr).
15
ZSIS obavlja poslove sigurnosne akreditacije informacijskih sustava u suradnji s UVNS-om, temeljem lanka
19. Zakona o informacijskoj sigurnosti (NN 79/07).

v Nacionalni CERT
NCERT, kao nacionalno tijelo zadueno za prevenciju i zatitu od raunalnih ugroza
sigurnosti javnih informacijskih sustava u RH, zasebna je ustrojstvena jedinica unutar
Hrvatske akademske i istraivake mree (CARNet). NCERT usklauje postupanja u sluaju
sigurnosnih raunalnih incidenata na javnim informacijskim sustavima u RH ili u drugim
dravama i meunarodnim organizacijama, kada su povezani s RH. NCERT usklauje rad
tijela koja rade na prevenciji i zatiti od raunalnih ugroza sigurnosti javnih informacijskih
sustava u Republici Hrvatskoj te odreuje pravila i naine zajednikog rada.
NCERT i ZSIS surauju na prevenciji i zatiti od raunalnih ugroza sigurnosti informacijskih
sustava te sudjeluju u izradi preporuka i normi u Republici Hrvatskoj iz podruja
informacijskih sustava.
Slika 1. prikazuje institucionalni okvir informacijske sigurnosti u RH i meusobni odnos
nadlenih tijela.

Slika 1.: Institucionalni okvir informacijske sigurnosti u RH16

Regulativni okvir informacijske sigurnosti u RH i organizacijski ustroj nadlenih tijela u

ovom podruju, predstavljaju temeljno polazite za rad savjetnika za informacijsku sigurnost,

16

Izvor: Klai, A.: Primjena mjera i standarda informacijske sigurnosti, Postconference CD, struno
savjetovanje Informacijska sigurnost i zatita podataka, Zagreb, rujan 2008., str. 5.

neovisno o tome radi li se o savjetnicima za informacijsku sigurnost u dravnim tijelima,

tijelima lokalne uprave i samouprave, pravnim osobama s javnim ovlastima ili pravnim
osobama - tvrtkama u privatnom sektoru. Nacionalna regulativa propisuje njihove obveze u
koordinaciji uvoenja propisanih mjera i standarda informacijske sigurnosti te provoenju
internog nadzora primjene propisanih i uvedenih mjera, dok je prikaz organizacijskog ustroja
i nadlenosti nacionalnih sredinjih tijela vaan za razumijevanje odnosa savjetnika za
informacijsku sigurnost i sredinjih tijela u podruju informacijske sigurnosti.

II. SAVJETNIK ZA INFORMACIJSKU SIGURNOST

2.1.

Obveznici imenovanja savjetnika za informacijsku sigurnost

Savjetnika za informacijsku sigurnost duna su imenovati sva dravna tijela, tijela jedinica
lokalne i podrune (regionalne) samouprave te pravne osobe s javnim ovlastima, koje u svom
djelokrugu koriste klasificirane podatke.17
Navedena tijela mogu, sukladno potrebi, savjetnikom za informacijsku sigurnost imenovati
osobu koja e dunosti savjetnika obavljati uz druge redovne poslove, mogu ustrojiti posebno
radno mjesto savjetnika za informacijsku sigurnost ili odrediti ustrojstvenu jedinicu (odjel,
sektor), koja e obavljati propisane poslove savjetnika. Odluku o tome donosi elnik tijela ili
pravne osobe na temelju potreba koje proizlaze iz poslovnog procesa, odnosno broja
klasificiranih podataka koji se u poslovnom procesu koriste. Vano je naglasiti da
ustrojstvena jedinica, odnosno sluba, koja je odreena za provoenje poslova savjetnika za
informacijsku sigurnost, ne moe istovremeno biti nadlena za poslove tehnike ili druge
vrste potpore.18
Savjetnika za informacijsku sigurnost dune su imenovati i pravne osobe tvrtke, koje s
dravnim tijelima, tijelima jedinica lokalne i podrune (regionalne) samouprave ili pravnim
osobama s javnim ovlastima sklapaju nacionalne klasificirane ugovore za koje je potreban
certifikat poslovne sigurnosti, ili koje sklapaju meunarodne klasificirane ugovore ili
podugovore s dravnim tijelima ili pravim osobama drugih drava, odnosno s nadlenim
slubama NATO-a ili EU-a.
17

Navedena obveza proizlazi iz odredbe lanka 25. Zakona o informacijskoj sigurnosti (NN 79/07) i lanka 2.
Pravilnika o kriterijima za ustrojavanje radnih mjesta savjetnika za informacijsku sigurnost (NN 100/08).
18
lanak 11. Pravilnika o kriterijima za ustrojavanje radnih mjesta savjetnika za informacijsku sigurnost (NN
100/08).

2.2.

Uvjeti za imenovanje savjetnika za informacijsku sigurnost

Pravilnikom o kriterijima za ustrojavanje radnih mjesta savjetnika za informacijsku sigurnost

(NN 100/08) utvreni su kriteriji za ustrojavanje radnih mjesta i imenovanje savjetnika.
Kriteriji, odnosno uvjeti, istovjetni su za imenovanje savjetnika u dravnom i privatnom
sektoru. Pri tome se savjetnici u dravnim tijelima postavljaju trajno, temeljem koritenja
klasificiranih podataka, a savjetnici u pravnim osobama vezani su uz klasificirani ugovor koji
je u tijeku, odnosno uz certifikat poslovne sigurnosti koji je izdao UVNS.
Sukladno odredbama navedenog Pravilnika, savjetnikom za informacijsku sigurnost moe
biti imenovan onaj zaposlenik koji ima visoku strunu spremu, koji je u tijelu ili pravnoj
osobi zaposlen na neodreeno vrijeme te u tom tijelu ili pravnoj osobi ima najmanje dvije
godine radnog iskustva,19 aktivno poznaje engleski jezik i ima izdan odgovarajui sigurnosni
certifikat za pristup klasificiranim podacima.
Sva tijela i pravne osobe dune su o imenovanju savjetnika za informacijsku sigurnost
izvijestiti UVNS. Kada savjetniku za informacijsku sigurnost prestaje radni odnos ili se
premjeta na drugo radno mjesto, elnik tijela ili pravne osobe duan je bez odgode
imenovati novog savjetnika te o tome izvijestiti UVNS.20
2.3.

Obveze i odgovornosti savjetnika za informacijsku sigurnost

Savjetnik za informacijsku sigurnost odgovoran je za usklaivanje i koordinaciju provedbe

mjera i standarda informacijske sigurnosti za zatitu klasificiranih podataka u tijelu ili
pravnoj osobi u kojoj je imenovan na navedenu dunost. Usklaivanje i koordinaciju
savjetnik provodi sukladno odredbama iz pravilnika UVNS-a, koje ureuju podruja
informacijske sigurnosti: sigurnosna provjera, fizika sigurnost, sigurnost podataka, sigurnost

19

Odredbe lanka 3. Pravilnika o kriterijima za ustrojavanje radnih mjesta savjetnika za informacijsku

sigurnost (NN 100/08) znae da je za imenovanje savjetnikom potrebno radno iskustvo od najmanje 2 godine u
tijelu ili pravnoj osobi u kojoj se imenuje, neovisno o poslovima koje je u tom razdoblju obavljao, ili se
savjetnikom za informacijsku sigurnost moe imenovati zaposlenik koji nema dvogodinje radno iskustvo u tom
tijelu, ali je u drugom tijelu ili pravnoj osobi najmanje dvije godine radio na poslovima vezanim uz
informacijsku sigurnost.
20
lanak 4. Pravilnika o kriterijima za ustrojavanje radnih mjesta savjetnika za informacijsku sigurnosti (NN
100/08).

10

informacijskih sustava21 i sigurnost poslovne suradnje, odnosno prema Uputi za provedbu

mjera i standarda informacijske sigurnosti u pravnim osobama, a za svoj rad odgovara
elniku tijela ili pravne osobe.
Kako bi savjetnik za informacijsku sigurnost bio osposobljen za obavljanje poslova iz svoje
nadlenosti, sukladno vaeim propisima RH, UVNS je obvezan organizirati izobrazbu
savjetnika za informacijsku sigurnost22 o mjerama i standardima u pet podruja informacijske
sigurnosti te je organizira i provodi prema godinjem planu UVNS-a.
Prilikom izobrazbe, savjetnici se upoznaju sa svojim obvezama i odgovornostima u tijelima
ili pravnim osobama u kojima su na dunosti te o nainu koordinacije s nadlenim sredinjim
dravnim tijelima.
Savjetnik za informacijsku sigurnost, na temelju lanka 25. Zakona o informacijskoj
sigurnosti (NN 79/07) i lanka 93. Uredbe o mjerama informacijske sigurnosti (NN 46/08),
nadlean je za provoenje unutarnjeg nadzora informacijske sigurnosti u tijelu u kojemu je
imenovan savjetnikom, koji ukljuuje nadzor organizacije, provedbe i uinkovitosti
propisanih mjera i standarda informacijske sigurnosti. Savjetnik je unutarnji nadzor duan
provesti najmanje dva puta godinje te sastaviti izvjee o provedenom nadzoru koje mora
ukljuivati: procjenu provedenih mjera i standarda informacijske sigurnosti, opis uoenih
nedostataka, prijedlog mjera za uklanjanje nedostataka i kopije popunjenih nadzornih lista. 23
Savjetnik za informacijsku sigurnost izvjee o rezultatima provedenog nadzora podnosi
elniku tijela ili pravne osobe te sredinjem dravnom tijelu za informacijsku sigurnost.
Izvjee se sastoji od procjene provedenih mjera i standarda informacijske sigurnosti, opisa
uoenih nedostataka i prijedloga mjera za njihovo uklanjanje. 24

21

U podruju sigurnosti informacijskih sustava, savjetnik za informacijsku sigurnost usklaivanje i koordinaciju

dodatno provodi i sukladno navedenim pravilnicima ZSIS-a.
22
lanak 6. Pravilnika o kriterijima za ustrojavanje radnih mjesta savjetnika za informacijsku sigurnost (NN
100/08).
23
lanak 8. i 9. Pravilnika o kriterijima za ustrojavanje radnih mjesta savjetnika za informacijsku sigurnost
(NN 100/08).
24
lanka 10. Pravilnika o kriterijima za ustrojavanje radnih mjesta savjetnika za informacijsku sigurnost (NN
100/08).

11

III.

KOORDINATIVNA I NADZORNA ULOGA UVNS-a

elnici tijela i pravnih osoba duni su o imenovanju savjetnika za informacijsku sigurnost

izvijestiti UVNS.25 Nadlene ustrojstvene jedinice UVNS-a kontinuirano usklauju rad
savjetnika za informacijsku sigurnost vezano uz poslove u njihovoj nadlenosti, na
savjetodavnoj razini, kroz strunu edukaciju, kroz slubene posjete instruktivnog i
edukativnog karaktera te kroz nadzor UVNS-a, sukladno odredbama lanka 30. Zakona o
tajnosti podataka (NN 79/07), kojim UVNS ima ovlast provoenja nadzora nad postupcima
klasifikacije i deklasifikacije podataka, nainom ostvarivanja pristupa klasificiranim i
neklasificiranim podacima, provedbi mjera za zatitu pristupa klasificiranim podacima te
izvravanju obveza proizalih iz meunarodnih ugovora i sporazuma o zatiti klasificiranih
podataka.
U provoenju nadzora, UVNS je ovlaten utvrditi injenino stanje, dati upute u svrhu
otklanjanja utvrenih nedostataka i nepravilnosti koje su nadzirana tijela duna otkloniti u
odreenom roku, pokrenuti postupak utvrivanja odgovornosti vlasnika podatka te poduzeti i
druge mjere i radnje, za koje je posebnim propisima ovlaten. UVNS izvjee o provedenom
nadzoru dostavlja elniku tijela ili pravne osobe u kojoj je nadzor proveden, a izvjee sadri
upute koje, u svrhu otklanjanja utvrenih nedostataka i nepravilnosti, tijela i pravne osobe
trebaju primijeniti u zadanom roku. elnik tijela ili pravne osobe moe se o izvjeu UVNS-a
oitovati u roku od 15 dana od dana primitka izvjea, a na zaprimljeno oitovanje UVNS je
duan dati odgovor u roku od 30 dana od dana primitka oitovanja. 26 Ukoliko na temelju
provedenog nadzora UVNS utvrdi da se ne provode propisani sigurnosni standardi, uz
prethodne postupke, o tome e izvijestiti i nadlenu sigurnosno-obavjetajnu agenciju u svrhu
protuobavjetajne zatite, odnosno ZSIS, u svrhu provjere daljnjeg vaenja akreditacije
informacijskog sustava, koji e pokrenuti propisane radnje iz svog djelokruga.27
UVNS nadzor primjene mjera i standarda informacijske sigurnosti provodi najmanje jednom
u dvije godine u tijelima i pravnim osobama koje postupaju s klasificiranim podacima stupnja
tajnosti Vrlo tajno, Tajno i Povjerljivo, odnosno najmanje jednom u etiri godine u

25

lanak 4. Pravilnika o kriterijima za ustrojavanje radnih mjesta savjetnika za informacijsku sigurnost (NN
100/08).
26
lanak 94. Uredbe o mjerama informacijskoj sigurnosti (NN 46/08).
27
lanak 95. Uredbe o mjerama informacijske sigurnosti (NN 46/08).

12

tijelima i pravnim osobama koje postupaju s klasificiranim podacima stupnja tajnosti

Ogranieno ili neklasificiranim podacima.28
Savjetnik za informacijsku sigurnost duan je, u koordinaciji s UVNS-om, provesti
predloene mjere za uklanjanje uoenih nepravilnosti i nedostataka u primjeni propisanih
mjera i standarda informacijske sigurnosti za zatitu klasificiranih podataka.29
ZAKLJUAK
Ureenje podruja informacijske sigurnosti u Republici Hrvatskoj, u skladu s NATO i EU
sigurnosnom politikom te NATO i EU sigurnosnim direktivama iz podruja informacijske
sigurnosti, rezultiralo je donoenjem nacionalnog regulativnog okvira kojim se propisuju
mjere i standardi za zatitu klasificiranih podataka te reguliraju drugi elementi vani za
zatitu i postupanje s klasificiranim i neklasificiranim podacima.
Iz navedenih propisa proizlazi i obveza imenovanja savjetnika za informacijsku sigurnost
(Security Officer), koji je odgovoran za usklaivanje, nadzor, edukaciju i koordinaciju
provedbe mjera i standarda informacijske sigurnosti u tijelu ili pravnoj osobi u kojoj je
zaposlen i imenovan na dunost savjetnika. Iz navedenog je razvidno da savjetnik za
informacijsku sigurnost predstavlja sredinju osobu u tijelu ili pravnoj osobi u kojoj se
postupa s klasificiranim podacima, kako s aspekta unutarnje organizacije, tako i s aspekta
osobe zaduene za koordinaciju sa sredinjim dravnim tijelima po pitanjima zatite
klasificiranih podataka, na operativnoj razini.
Strunoj edukaciji savjetnika za informacijsku sigurnost, za obavljanje poslova iz njegove
nadlenosti, posebnu pozornost trebaju pridavati tijela i pravne osobe u kojima je savjetnik
zaposlen, ali i UVNS kao sredinje dravno tijelo za informacijsku sigurnost, jer edukacija o
provoenju propisane zatite klasificiranih podataka, s aspekta sigurnosne politike NATO-a i
EU-a, zauzima jedno od sredinjih mjesta.
Uinkovitost provoenja zatite meunarodnih klasificiranih podataka predmet je redovnih
nadzora nadlenih sigurnosnih tijela NATO-a i EU-a, NOS-a i GSCSO-a, te znaajno
pridonosi ukupnoj ocjeni sukladnosti hrvatske nacionalne sigurnosne politike sa sigurnosnim
politikama meunarodnih organizacija, iji je RH lan ili ijem lanstvu tei.
28

lanak 93. Uredbe o mjerama informacijske sigurnosti (NN 46/08).

lanak 10. Pravilnika o kriterijima za ustrojavanje radnih mjesta savjetnika za informacijsku sigurnost (NN
100/08).
29

13

Zakljuno je stoga vano istaknuti da u suvremenim sigurnosnim okvirima, iz obveza koje je

RH preuzela kroz lanstvo u NATO-u i pripreme za lanstvo u EU, imenovanje savjetnika za
informacijsku sigurnost treba promatrati kao zakonom propisanu obvezu svih tijela i pravnih
osoba koje postupaju s klasificiranim podacima, odnosno da je imenovanje savjetnika za
informacijsku sigurnost POTREBA u okvirima sigurnosne politike u podruju informacijske
sigurnosti, a nipoto aktualan TREND.

KORITENI IZVORI
Klai, A.: Primjena mjera i standarda informacijske sigurnosti, Postconference CD, struno
savjetovanje Informacijska sigurnost i zatita podataka, Zagreb, rujan 2008.
Zakon o potvrivanju Sporazuma o sigurnosti izmeu Republike Hrvatske i Organizacije
Sjevernoatlantskog ugovora (NN MU 14/03)
Zakon o potvrivanju ugovora izmeu Republike Hrvatske i Europske unije o sigurnosnim
postupcima za razmjenu tajnih podataka (NN MU 9/06)
Zakon o potvrivanju Sporazuma izmeu stranaka Sjevernoatlantskog ugovora o sigurnosti podataka
(NN MU 9/09)
Zakon o sigurnosno-obavjetajnom sustavu (NN 79/06 i 105/06)
Zakon o tajnosti podataka (NN 79/07)
Zakon o informacijskoj sigurnosti (NN 79/07)
Zakon o sigurnosnim provjerama (NN 85/08)
Uredba o nainu oznaavanja klasificiranih podataka, sadraju i izgledu uvjerenja o obavljenoj
sigurnosnoj provjeri i izjave o postupanju s klasificiranim podacima (NN 102/07)
Uredba o informacijskoj sigurnosti (NN 46/08)
Uredba o sadraju, izgledu, nainu ispunjavanja i postupanju s upitnikom za sigurnosnu provjeru (NN
114/08)
Pravilnik o kriterijima za ustrojavanje radnih mjesta savjetnika za informacijsku sigurnost (NN
100/08)

14