Professional Documents
Culture Documents
Crna GORA
Gora
Ministarstvo za informaciono društvo i telekomunikacije
METODOLOGIJA
IZBORA KRITIČNE INFORMATIČKE
INFRASTRUKTURE
Oktobar 2014
SADRŽAJ
UVOD ....................................................................................................................................................... 2
DEFINICIJE KLJUČNIH POJMOVA.............................................................................................................. 3
POTREBA DEFINISANJA KRITIČNE INFORMATIČKE INFRASTRUKTURE ................................................. 5
PRIMJERI POZITIVNE PRAKSE: IZBOR KRITIČNIH SEKTORA .................................................................... 7
METODOLOGIJA IZBORA KRITIČNE INFORMATIČKE INFRASTRUKTURE U CRNOJ GORI ...................... 9
I KORAK – SPISAK SEKTORA KRITIČNE INFRASTRUKTURE U CRNOJ GORI ......................................... 9
II KORAK – NOSIOCI SEKTORA KRITIČNE INFORMATIČKE INFRASTRUKTURE ................................... 10
III KORAK – DEFINISATI PODSEKTORE I OPERATORE KRITIČNIH USLUGA/ PROIZVODA ................ 11
IV KORAK – UPITNIK.......................................................................................................................... 13
V KORAK – KREIRANJE KONAČNOG SPISKA KII .................................................................................. 14
PREGLED DALJIH AKTIVNOSTI................................................................................................................ 14
ZAKLJUČAK............................................................................................................................................. 16
AKCIONI PLAN ZA IMPLEMENTACIJU METODOLOGIJE ......................................................................... 17
UVOD
Prvi korak u cilju efikasne zaštite nacionalne kritične informatičke infrastrukture bio bi
identifikacija nosioca KI, a zatim detaljna identifikacija informacione imovine, procesa,
servisa itd. Kako je isprepletanost i međusobna zavisnost kritične informatičke
infrastrukture (KII) sa kritičnom nacionalnom infrastrukturom izuzetno velika, sam
proces separacije i detaljne identifikacije KII nije jednostavan. Neophodno je razviti
metodologiju koja će ovaj proces obraditi na suptilan način i dati jasne i precizne
smjernice.
Primarni cilj ove metodologije jeste identifikacija KII, dok bi sekundarni ciljevi bili da se
kod nosioca KII podigne nivo svijesti o značaju sajber bezbjednosti po nacionalnu
bezbjednost naše države, kao i njihove odgovornosti koja iz dana u dan postaje sve veća.
Istovremeno, pretenduje se obezbijediti detaljno razumijevanje svih procesa od kojih se
identifikovana KII sastoji i to ne samo na tehničkom nivou, već i među donosiocima
odluka koji ne posjeduju tehničko znanje o ICT tehnologijama.
Resursi identifikovani kao ključna kritična infrastruktura obuhvataju: sistem
snabdijevanja električnom energijom, finansijski i bankarski sistem, IT,
telekomunikacije, zdravstvo, proizvodnja bezbijednog proizvoda biljnog i životinjskog
porijekla, sektor transporta, službe za vanredne situacije, policiju, kao i sektor
odgovoran za kontinuitet funkcionisanja Vlade.
Prvi korak pri izradi metodologije izbora kritične informatičke infrastrukture je jasno i
precizno definisanje ključnih pojmova:
Kritična infrastruktura – se odnosi na imovinu, sisteme, usluge ili njihov dio, čijim bi se
prekidom rada ili uništenjem, ugrozile ključne društvene funkcije: zdravlje, mir,
bezbjednost, ekonomsko i socijalno blagostanje ili normalno funkcionisanje države.
Kritična infrastruktura je pojam koja ima više definicija zavisno od okruženja u kojem se
nalazi, ali se može zaključiti da savremeno razumijevanje kritične infrastrukture
podrazumijeva sve objekte i sisteme, čija neaktivnost ili ograničena upotreba
prouzrokuje društveno krizne situacije ili čak predstavlja prijetnju po mir i bezbjednost.
SAD: “Kritična infrastruktura i osnovni resursi (Critical infrastructure and key resources
- CIKR) je pojam koji se odnosi na širok opseg različitih sredstava i imovine, koji su
neophodni za svakodnevno funkcionisanje društvenih, ekonomskih, političkih i
kulturnih sistema u SAD. Bilo kakav prekid u elementima kritične infrastrukture
predstavlja ozbiljnu prijetnju za pravilno funkcionisanje ovih sistema i može dovesti do
oštećenja imovine, ljudskih žrtava i značajnih ekonomskih gubitaka.”
Evropska unija: (a)”Kritična infrastruktura predstavlja imovinu, sistem ili njegov dio
koji se nalazi na teritoriji zemlje članice i koji je neophodan za održavanje ključnih
društvenih funkcija, zdravstva, bezbjednosti, mira, ekonomskog ili socijalnog
blagostanja, a čije bi ometanje ili uništenje imalo značajan uticaj na zemlju članicu”.
(b)”Evropska kritična infrastruktura – podrazumijeva kritičnu infrastrukturu lociranu
na teritoriji zemlje članice, čije bi ometanje ili uništenje imalo značajan uticaj na bar
dvije zemlje članice. Značaj poremećaja u funkcionisanju elemenata kritične
infrastrukture treba da se procijeni na osnovu kriterijuma međuzavisnosti. To
podrazumijeva efekte nastale kao rezultat međusektorske zavisnosti od drugih tipova
infrastrukture.”
NATO: Kritičnu infrastrukturu čine ona sredstva, objekti, mreže i usluge, čiji bi kvar ili
uništenje ozbiljno uticalo na zdravlje, bezbjednost, ekonomsko stanje, socijalnu zaštitu i
funkcionisanje države.
To znači da svi organi u Crnoj Gori treba da prepoznaju i štite svoju kritičnu
infrastrukturu, da ne bi došlo do otkaza sistema, jer su različite kritične infrastrukture
međusobno povezane i zavisne jedne od drugih.
POTREBA DEFINISANJA KRITIČNE INFORMATIČKE
INFRASTRUKTURE
Sajber prostor je primjer infrastrukture koja je postala kritična, jer predstavlja integralni
dio života svakog pojedinca. Pojedini djelovi infrastrukture (telekomunikacije, mreže,
internet) su od izuzetne važnosti tako da njihovo nefunkcionisanje ili ograničeno
funkcionisanje može dovesti do ozbiljnih posljedica i problema.
PRIJETNJE
Širenje problema iz drugog Prekidi rada napajanja, Prekidi rada velikih razmjera
sektora komunikacija itd. koji su napajanja, komunikacija,
uzrokovani zavisnošću od snabdijevanja vode itd..
drugih sektora.
Tabela 1: Primjeri prijetnji koje dovode do prekida rada kritične informatičke infrastrukture
PRIMJERI POZITIVNE PRAKSE: IZBOR KRITIČNIH SEKTORA
Evropska unija
1. Ljudski gubici, procjenjuje se potencijalni broj gubitaka ljudskih života ili povreda.
SEKTORI POD-SEKTORI
4. Kopneni transport
5. Željeznica
Imajući u vidu, gore navedene primjere pozitivne prakse, kao i trenutno stanje u Crnoj
Gori kada je u pitanju KII, predviđeno je da se metodologija izbora kritične informatičke
infrastrukture sastoji iz sljedećih pet koraka:
Pogledom na gore navedene definicije, jasno je da prije definisanja KII, mora postojati
definisana kritična infrastruktura. Analizom trenutnog stanja u Crnoj Gori, utvrđeno je
da ne postoji zvanično definisana kritična infrastruktura. Tokom izrade Izvještaja o
procjeni stanja u sajber prostoru Crne Gore za potrebe formiranja Nacionalnog CIRT
tima, Ministarstvo za informaciono društvo i telekomunikacije je, u saradnji sa
kompanijom IMPACT iz Malezije, napravilo pregled kritičnih sektora u Crnoj Gori
zasnovanih na osnovu preporuka međunarodnih kriterijuma.
Ispod su nabrojani kritični sektori u Crnoj Gori identifikovani od strane MIDT i
eksperata iz IMPACT-a:
Sljedeći korak je određivanje nosilaca kritičnih sektora tj. institucija koje će, u skladu sa
svojim nadležnostima, biti odgovorne za svaki od kritičnih sektora pojedinačno. Za
uspješnu realizaciju ove Metodologije neophodno je aktivno učešće nosilaca kritičnih
sektora u identifikovanju kritične informatičke infrastrukture. U tabeli 3 su prikazani
nosioci sektora kritične informatičke infrastrukture u Crnoj Gori koje je identifikovalo
Ministarstvo za informaciono društvo i telekomunikacije.
Kako bi ova kategorizacija bila vjerodostojna, potrebno je zadužiti nosioce sektora da,
svako za svoj sektor, pripremi analizu stanja u Crnoj Gori. Analiza treba da sadrži
sljedeće informacije: opis sektora, predlog podjele na kritične podsektore i spisak
operatora usluga/proizvoda. Koordinator za realizaciju ovih aktivnosti je Ministarstvo
za informaciono društvo i telekomunikacije. U tabeli 4 je prikazana indikativna lista
definisanih podsektora i operatora kritičnih usluga/proizvoda.
6.Radio difuzija
7.Poštanske usluge
10.Osiguranje
-Fond za zdravstveno
osiguranje
-Zavod za hitnu
medicinsku pomoć
37.Željeznica -Putevi
40.Luke
43.Usluge Vlade
44.Diplomatija
IV KORAK – UPITNIK
Nivo kritičnosti zavisi od više faktora. Prvi faktor su ljudski gubici, dakle mogući broj
izgubljenih života i invaliditeta u slučaju kvara, oštećenja ili uništenja infrastrukture,
bilo nakon terorističkog napada ili tehnološkog kvara. Drugi faktor predstavljaju
ekonomski gubici, uključujući uticaj i štete u okolini, a treći je pitanje uloge i važnosti te
infrastrukture u javnosti. Upitnik će imati zadatak da ispita i prikaže ove faktore kako bi
se procijenio nivo kritičnosti infrastrukture. Upitnik takođe, treba da ispita
međuzavisnost rizika kod kritičnih sektora.
Nakon definisanja nacionalne KII, istu je neophodno i adekvatno zaštititi. U ovom dijelu
su navedene neke aktivnosti koje je potrebno odraditi neposredno nakon kreiranja
spiska KII:
4. Formiranje CIRT timova kod operatora KII - Kako bi na što kvalitetniji način
odgovorili na incidentne situacije, potrebno je da operatori KII formiraju timove
za odgovor na iste. Ovi timovi će se u saradnji sa nacionalnim CIRT-om Crne Gore
brinuti o bezbjednosti KII u okviru svojih institucija.
Upravljanje kritičnom infrastrukturom stoga treba biti sastavni dio razvojnih programa,
a kategorije poput sigurnosti i prevencije rizika od nepogoda i katastrofa, moraju se
integrisati u sve relevantne dokumente Vlade. Kritična infrastruktura je prepoznata kao
jedan od prioriteta u procesima integracija, ali proces identifakcije, početna ulaganja kao
i tehnička pomoć nedovoljni su za optimalno osiguranje kritične infrastrukture. Nužno je
zato osmisliti programe i zaštititi ključne resurse za upravljanje kritičnom
infrastrukturom. U tom smislu, kritična infrastruktura je infrastruktura čija bi
onesposobljenost ili uništenje imala uticaj na slabljenje nacionalne sigurnosti, te
ekonomske i društvene dobrobiti nacije i javnog zdravlja, a kritična informatička
infrastruktura jeste informatička infrastruktura koja podupire višestruke elemente
kritične infrastrukture. Kako su informacioni sistemi u velikoj mjeri međusobno
povezani ili povezani s javnim sistemima, kritična informatička infrastruktura u
današnje vrijeme postaje sve izloženija, ne samo otkazima i havarijama, već i raznim
vrstama namjernih napada. Osnovni problem iz kojeg proizilazi nužnost prepoznavanja
kritične infrastrukture, predstavlja činjenica da napad na određenu kritičnu
infrastrukturu sam po sebi multiplicira još veću štetu, jer relativno mali napad na jedan
infrastrukturni objekt može imati ogroman uticaj i prouzrokovati štetu na čitavom nizu
međusobno povezanih infrastrukturnih objekata.
AKCIONI PLAN ZA IMPLEMENTACIJU METODOLOGIJE
BR ZADATAK OPIS ODGOVORNI ROK
ORGAN
1 Formirati radnu grupu za Kako bi se Metodologija uspješno sprovela u djelo, potrebno je MIDT i 31.12.2014.
realizaciju i praćenje akcionog formirati radnu grupu koju će činiti članovi institucija koje su nosioci
plana za implementaciju prepoznate kao nosioci kritičnih sektora. Na ovaj način se sektora
Metodologije stvaraju uslovi za efikasniju saradnju, razmjenu informacija i
samu realizaciju Metodologije. Koordinator aktivnosti je
Ministarstvo za informaciono društvo i telekomunikacije.
2 Izraditi detaljnu analizu stanja u Zadužiti nosioce sektora da, svako za svoj sektor, pripremi Nosioci 01.05.2015.
već definisanim kritičnim analizu stanja u Crnoj Gori. Analiza treba da sadrži sljedeće sektora u
sektorima u Crnoj Gori informacije: opis sektora, predlog podjele na kritične saradnji sa
usluge/proizvode i spisak provajdera. Koordinator za MIDT
realizaciju ovih aktivnosti je Ministarstvo za informaciono
društvo i telekomunikacije.
3 Napraviti spisak podsektora i Ministarstvo za informaciono društvo i telekomunikacije će, na MIDT 01.06.2015.
operatora kritičnih osnovu analiza iz Zadatka 2, napraviti spisak podsektora i
usluga/proizvoda operatora kritičnih usluga/proizvoda u Crnoj Gori
5 Kreiranje konačnog spiska KII Ministarstvo za informaciono društvo i telekomunikacije će MIDT 01.11.2015.
iskoristiti rezultate upitnika iz Zadatka 3 kao osnovu za
kreiranje konačnog spiska kritične informatičke infrastrukture u
Crnoj Gori.
6 Redovna revizija spiska KII Neophodno je redovno ispitati da li postoje novi kandidati za MIDT i Jednom
KII. Reviziju je potrebno raditi na godišnjem nivou, a operatori Nosioci godišnje
KII mogu i sami, van redovne revizije, predložiti uključivanje sektora KII
novih sistema u spisak KII.
7 Identifikovanje nacionalne KII kao Kao što je već navedeno u ovom dokumentu, EU radi na MIDT 01.12.2015.
dijela međunarodne KII u skladu definisanju evropske KI. U skladu sa tim, potrebno je analizirati i
sa međunarodnim okvirom (EU definisati elemente za uključivanje nacionalne KII u tu grupu.
okvir)