CRNA

Crna GORA
Gora
Ministarstvo za informaciono društvo i telekomunikacije

METODOLOGIJA
IZBORA KRITIČNE INFORMATIČKE
INFRASTRUKTURE

Ministarstvo za informaciono društvo i telekomunikacije

Oktobar 2014
SADRŽAJ

UVOD ....................................................................................................................................................... 2
DEFINICIJE KLJUČNIH POJMOVA.............................................................................................................. 3
POTREBA DEFINISANJA KRITIČNE INFORMATIČKE INFRASTRUKTURE ................................................. 5
PRIMJERI POZITIVNE PRAKSE: IZBOR KRITIČNIH SEKTORA .................................................................... 7
METODOLOGIJA IZBORA KRITIČNE INFORMATIČKE INFRASTRUKTURE U CRNOJ GORI ...................... 9
I KORAK – SPISAK SEKTORA KRITIČNE INFRASTRUKTURE U CRNOJ GORI ......................................... 9
II KORAK – NOSIOCI SEKTORA KRITIČNE INFORMATIČKE INFRASTRUKTURE ................................... 10
III KORAK – DEFINISATI PODSEKTORE I OPERATORE KRITIČNIH USLUGA/ PROIZVODA ................ 11
IV KORAK – UPITNIK.......................................................................................................................... 13
V KORAK – KREIRANJE KONAČNOG SPISKA KII .................................................................................. 14
PREGLED DALJIH AKTIVNOSTI................................................................................................................ 14
ZAKLJUČAK............................................................................................................................................. 16
AKCIONI PLAN ZA IMPLEMENTACIJU METODOLOGIJE ......................................................................... 17
 UVOD

Globalizacija, u smislu brzog razvoja i širenja informacionih tehnologija ubrzano mijenja

međunarodno bezbjednosno okruženje. Na nacionalnom nivou sve je teže kontrolisati
protok dobara, ljudi, informacija, što dovodi do zaključka da tradicionalni koncept
bezbjednosti više ne predstavlja ključni instrument prilikom rješavanja bezbjednosnih
pitanja. Dok tradicionalni pristup bezbjednosti prikazuje vojne prijetnje kao najveće
opasnosti po društva i države, danas bezbjednosni izazovi i rizici dolaze iz potpuno
jedne nove sfere, informatičke sfere. Koncept nacionalne bezbjednosti se redefinisao, pa
vojne, obavještajne i druge operacije zajednice zavise od sajber bezbjednosti. Stalne i
brze promjene u međunarodnim odnosima, porast bezbjednosnih izazova rizika i
prijetnji, kao i deficit bezbjednosti uslovljavaju da globalna bezbjednosna slika postaje
kompleksna, a kritična infrastruktura dobija nove dimenzije i sve veći značaj na
nacionalnom i međunarodnom nivou. Kako je kritična infrastruktura (KI) postala važan
segment nacionalne bezbjednosti tako je zaštita kritične infrastrukture počela da se
razvija i danas ona predstavlja jedan od glavnih prioriteta svake države.

Prijetnje jedne zemlje ili nacije predstavljaju potencijalnu opasnost za druge.

Identifikovanje prijetnji i blagovremeno reagovanje postaju sve značajniji faktor
upravljanja bezbjednosti. Glavna komponenta infrastrukture informacione bezbjednosti
jeste sposobnost nacije da spriječi, otkrije, istraži bezbjednosne prijetnje kao što su
terorizam, organizovani kriminal, medicinske, vojne, ekološke, ekonomske i druge
prijetnje. Slabosti u bilo kojoj od ovih oblasti, mogu da ugroze bezbjednost, ne samo u
određenoj zemlji, već i u regionu.

Pojava informatičke revolucije, dovela je do porasta elektronskih informacija koje

definišu same djelove informaciono komunikacione tehnologije, kao važnu KI i s druge
strane nameću se kao vrijedno rješenje za zaštitu KI u širem smislu.

Prvi korak u cilju efikasne zaštite nacionalne kritične informatičke infrastrukture bio bi
identifikacija nosioca KI, a zatim detaljna identifikacija informacione imovine, procesa,
servisa itd. Kako je isprepletanost i međusobna zavisnost kritične informatičke
infrastrukture (KII) sa kritičnom nacionalnom infrastrukturom izuzetno velika, sam
proces separacije i detaljne identifikacije KII nije jednostavan. Neophodno je razviti
metodologiju koja će ovaj proces obraditi na suptilan način i dati jasne i precizne
smjernice.

Primarni cilj ove metodologije jeste identifikacija KII, dok bi sekundarni ciljevi bili da se
kod nosioca KII podigne nivo svijesti o značaju sajber bezbjednosti po nacionalnu
bezbjednost naše države, kao i njihove odgovornosti koja iz dana u dan postaje sve veća.
Istovremeno, pretenduje se obezbijediti detaljno razumijevanje svih procesa od kojih se
identifikovana KII sastoji i to ne samo na tehničkom nivou, već i među donosiocima
odluka koji ne posjeduju tehničko znanje o ICT tehnologijama.
Resursi identifikovani kao ključna kritična infrastruktura obuhvataju: sistem
snabdijevanja električnom energijom, finansijski i bankarski sistem, IT,
telekomunikacije, zdravstvo, proizvodnja bezbijednog proizvoda biljnog i životinjskog
porijekla, sektor transporta, službe za vanredne situacije, policiju, kao i sektor
odgovoran za kontinuitet funkcionisanja Vlade.

Kako se određeni dio KII nalazi u vlasništvu privatnog sektora, neophodno je u

budućnosti predvidjeti i kreiranje okvira za jačanje javno-privatnog partnerstva u cilju
što efikasnije nacionalne sajber zaštite. Budući da su sajber prijetnje i rizici veoma
kompleksne prirode i iz dana u dan postaju sve napredniji, stoga je neophodno da i
odbrambeni mehanizmi paralelno napreduju, te polazimo od pretpodstavke da
zajednički, kroz ojačano javno-privatno partnerstvo imamo mnogo bolje šanse za
efikasnu odbranu i zaštitu sistema koji su od krucijalne važnosti za funkcionisanje i
dobrobit društva.

DEFINICIJE KLJUČNIH POJMOVA

Prvi korak pri izradi metodologije izbora kritične informatičke infrastrukture je jasno i
precizno definisanje ključnih pojmova:

Kritična infrastruktura – se odnosi na imovinu, sisteme, usluge ili njihov dio, čijim bi se
prekidom rada ili uništenjem, ugrozile ključne društvene funkcije: zdravlje, mir,
bezbjednost, ekonomsko i socijalno blagostanje ili normalno funkcionisanje države.

Kritična informatička infrastruktura - se odnosi na ICT infrastrukturu od čijeg

funkcionisanja zavisi kritična infrastruktura.

Kritične usluge i proizvodi - usluge i proizvodi čije bi kompromitovanje u vidu

dostupnosti ili integriteta za rezultat imalo veliki negativan uticaj na zdravlje, mir,
bezbjednost, ekonomsko blagostanje ili normalno funkcionisanje države.

Kritična infrastruktura je pojam koja ima više definicija zavisno od okruženja u kojem se
nalazi, ali se može zaključiti da savremeno razumijevanje kritične infrastrukture
podrazumijeva sve objekte i sisteme, čija neaktivnost ili ograničena upotreba
prouzrokuje društveno krizne situacije ili čak predstavlja prijetnju po mir i bezbjednost.

Okvir kritične infrastrukture u mnogim zemljama i organizacijama je različito definisan.

U nastavku su neke od definicija:

SAD: “Kritična infrastruktura i osnovni resursi (Critical infrastructure and key resources
- CIKR) je pojam koji se odnosi na širok opseg različitih sredstava i imovine, koji su
neophodni za svakodnevno funkcionisanje društvenih, ekonomskih, političkih i
kulturnih sistema u SAD. Bilo kakav prekid u elementima kritične infrastrukture
predstavlja ozbiljnu prijetnju za pravilno funkcionisanje ovih sistema i može dovesti do
oštećenja imovine, ljudskih žrtava i značajnih ekonomskih gubitaka.”

Australija: “Kritična infrastruktura predstavlja one fizičke objekte, lance snabdijevanja,

informacione tehnologije i komunikacione mreže, koje bi ako se unište ili na duže
vrijeme onesposobe, mogle značajno uticati na društveno ili ekonomsko blagostanje
nacije, ili bi uticale na sposobnost Australije da održi nacionalnu odbranu i obezbijedi
nacionalnu bezbjednost.”

Evropska unija: (a)”Kritična infrastruktura predstavlja imovinu, sistem ili njegov dio
koji se nalazi na teritoriji zemlje članice i koji je neophodan za održavanje ključnih
društvenih funkcija, zdravstva, bezbjednosti, mira, ekonomskog ili socijalnog
blagostanja, a čije bi ometanje ili uništenje imalo značajan uticaj na zemlju članicu”.
(b)”Evropska kritična infrastruktura – podrazumijeva kritičnu infrastrukturu lociranu
na teritoriji zemlje članice, čije bi ometanje ili uništenje imalo značajan uticaj na bar
dvije zemlje članice. Značaj poremećaja u funkcionisanju elemenata kritične
infrastrukture treba da se procijeni na osnovu kriterijuma međuzavisnosti. To
podrazumijeva efekte nastale kao rezultat međusektorske zavisnosti od drugih tipova
infrastrukture.”

Finska: Kritična infrastruktura predstavlja tehnološku infrastrukturu, transport,

logistiku i sisteme za distribuciju, sisteme za snabdijevanje hranom, energetske mreže,
sisteme socijalne i zdravstvene zaštite, ekonomske sisteme, kao i sisteme vezane za
nacionalnu odbranu.

NATO: Kritičnu infrastrukturu čine ona sredstva, objekti, mreže i usluge, čiji bi kvar ili
uništenje ozbiljno uticalo na zdravlje, bezbjednost, ekonomsko stanje, socijalnu zaštitu i
funkcionisanje države.

Na osnovu navedenog, znači da su tipovi kritične infrastrukture od države do države

veoma različiti i zavise od stavova onih koji odlučuju šta je kritična infrastruktura i
strukturalnog nivoa vlasti, ali u oblasti zaštite kritične infrastrukture postoji potreba za
sveobuhvatnim pristupom.

To znači da svi organi u Crnoj Gori treba da prepoznaju i štite svoju kritičnu
infrastrukturu, da ne bi došlo do otkaza sistema, jer su različite kritične infrastrukture
međusobno povezane i zavisne jedne od drugih.
 POTREBA DEFINISANJA KRITIČNE INFORMATIČKE
INFRASTRUKTURE

Činjenica da moderno društvo danas u potpunosti zavisi od tehnologije, to društvo iz

sigurnosne perspektive čini ranjivijim, a rizike i prijetnje nesmetanom funkcionisanju te
kritične infrastrukture još je teže savladati. Svi faktori koji mogu izazvati smetnje u radu
mogu se nazvati "prijetnja". Postoje razne vrste prijetnji, a obrasci prijetnji su raznovrsni
u zavisnosti od karakteristika sektora.

Dok svaka kritična infrastruktura sve više zavisi od informacionih tehnologija,

neophodna je međusektorska analiza situacije u cilju poboljšanja informacione
bezbijednosti kritične infrastrukture cijele nacije. Zbog toga, analiza treba da bude
sprovedena, kako bi se razumjele potencijalne prijetnje koje mogu predstavljati
zajedničku opasnost za svaki sektor kritične infrastrukture.

Sajber prostor je primjer infrastrukture koja je postala kritična, jer predstavlja integralni
dio života svakog pojedinca. Pojedini djelovi infrastrukture (telekomunikacije, mreže,
internet) su od izuzetne važnosti tako da njihovo nefunkcionisanje ili ograničeno
funkcionisanje može dovesti do ozbiljnih posljedica i problema.

Kritične informatičke infrastrukture mogu biti posebno osjetljive na napade hakera,

kriminalaca i terorista. Glavni alati koji se koriste za napad na kritične sisteme su
zlonamjerni softveri (virusi, crvi, trojanci), koji mijenjaju i uništavaju podatke ili
blokiraju sisteme, krađa identiteta (phishing), napadi na web aplikacije (brute force,
SQL napadi), napadi uskraćivanjem usluga (DoS, DDoS), unutrašnji napadi (socijalni
inžinjering) i slično. Razni automatizovani alati omogućavaju napade sa udaljenih
sistema čak u roku od nekoliko sekundi. To predstavlja važnu osnovu za širi skup
aktivnosti vezanih za nacionalnu sigurnost i pripravnost komunikacije u kriznim
situacijama.

Da bi se kritična infrastruktura kvalitetno definisala, nadzirala i razvijala, potreban je

institucionalni sastav, koji će preuzeti odgovornost i autoritet. Naravno, potrebna je i
strategijska odrednica u ovom segmentu, zbog ulaska u nove integracije i zbog novih
tehnoloških dostignuća koji uveliko mijenjaju društvene uslove poslovanja, a sve zbog
očuvanja i jačanja već postojeće infrastrukture. Moramo uzeti u obzir da je tehnološki
razvoj promijenio način poslovanja, upravljanja i vođenja politike, pa i shvatanja
nacionalne i javne bezbjednosti. Takođe, tehnologija je postala jeftinija, sofisticiranija i
dostupnija, što je pretvara u potencijalno vrlo opasan instrument, kojeg je teško
nadzirati. Iz tog razloga, neophodno je stvoriti preduslove za smanjenje rizika od
negativnih aktivnosti i posljedica na kritičnoj infrastrukturi. Poremećaji u
kontinuiranom djelovanju institucija i kritične infrastrukture kao posljedicu mogu imati
krajnje štetan učinak na odbrambenu i ekonomsku bezbjednost zemlje.
Kao što je očigledno, informatička infrastruktura je dio kritične infrastrukture, pa se s
toga konkretne mjere moraju preduzeti u kontekstu zaštite kritične informatičke
infrastrukture. Mjere koje bi mogle da dovedu do zaštite kritične informatičke
infrastrukture se mogu definisati na slijedeć i nacin:

 Obezbijediti sredstva za preventivno djelovanje, ukljucujuć i vjezbe i obuke

(prevencija, obuka i vježbe).
 Obezbijediti najraniji mogući odziv na incident (ublažavanje).
 Obezbijediti kapacitete za brzu detekciju tekućeg incidenta (detekcija i rano
upozoravanje).
 Suočavanje sa posljedicama tokom incidenta (odgovori).
 Povratak sistema u normalno funkcionisanje sto je prije moguć e (oporavak).
 Izvući pouke iz događaja i feed- back odgovarajuć im akterima (naučene lekcije).

PRIJETNJE

UZROCI PRIJETNJI Vrste prijetnji Primjeri prijetnji

Namjerni faktori DoS napadi, prevara i Upadi, falsifikovanje i uništavanje

uključujući sajber napade falsifikovanje važnih podataka, virusi, DoS napadi,
informacija curenje informacija, unutrašnje
prevare itd.

Slučajni faktori Socijalno okruženje, Greške na programima i

programske greške, nepravilno održavanje,
nepravilno održavanje nedostatak interne i eksterne
revizije, nedostatak moguć nosti
upravljanja, kvar na opremi itd.

Nepogode Uništavanje računarske Uništavanje računarske opreme,

opreme, napajanja, napajanja, komunikacije zbog
komunikacije zbog elementarne nepogode
zemljotresa i poplava velikih (zemljotresa, poplava, udara
razmjera groma, požara, itd)

Širenje problema iz drugog Prekidi rada napajanja, Prekidi rada velikih razmjera
sektora komunikacija itd. koji su napajanja, komunikacija,
uzrokovani zavisnošću od snabdijevanja vode itd..
drugih sektora.

Tabela 1: Primjeri prijetnji koje dovode do prekida rada kritične informatičke infrastrukture
 PRIMJERI POZITIVNE PRAKSE: IZBOR KRITIČNIH SEKTORA

Sagledali smo i situaciju u EU i brojnim zemljama kada je u pitanju definisanje sektora

kritične infrastrukture:

Evropska unija

U procesu identifikacije kritične infrastrukture EU (KIEU) koriste se dva kriterijuma i to

presječni (eng. cross-cutting) i sektorski. Presječni kriterijum se zasniva na procjeni 3
faktora a to su:

1. Ljudski gubici, procjenjuje se potencijalni broj gubitaka ljudskih života ili povreda.

2. Ekonomski efekti, procjenjuje se značaj i veličina ekonomskog gubitka i/ili

degradacija proizvoda ili servisa uključujući potencijalne negativne efektne po
životnu okolinu.

3. Društveni efekti, procjenjuju se efekti na javno samopouzdanje, fizičku patnju i

poremećaj u svakodnevnom životu, uključujući gubitak bazičnih sevisa.
Norma za prelazak presječnog kriterijuma treba da bude zasnovana na ozbiljnost
uticaja, poremeć aju ili unistenju specificne kriticne infrastrukture . Tačni minimalni
uslovi kriterijuma utvrđuju se od slučaja do slučaja od strane država članica specijalno
prilagođeni posebno za njihove kritične infrastrukture.

Svaka država članica je dužna da obavijesti evropsku komisiju na godišnjem nivou o

broju infrastruktura po sektoru za koje su rađene analize, a na osnovu presječnog
kriterijuma. Sektorski kriterijum uzima u obzir i analizira karakteristke individualnih
sektora KIEU.

EU takođe uvodi pojam operativnog sigurnosnog plana koji predstavlja proceduru za

identifikovanje kritične imovine KIEU, kao i sigurnosnih rješenja koja su implementirana
u cilju njihove zaštite.

EU definiše minimalne uslove koji ovdje moraju biti zadovoljeni.

LISTA KRITIČNE EVROPSKE INFRASTRUKTURE

SEKTORI POD-SEKTORI

1. Elekro-energetski sistemi Infrastrukture i kapaciteti za

proizvodnju i prenos/distribuciju
električne energije

2. Nafta/Naftni derivati Infrastrukture i kapaciteti za

ENERGETSKI proizvodnju i prenos/distribuciju
nafte/naftnog derivata

3. Gas Infrastrukture i kapaciteti za

proizvodnju i prenos/distribuciju
gasa

4. Kopneni transport

5. Željeznica

TRANSPORT 6. Avio transport

7. Vodeni transport u okviru države (riječni itd.)

8. Okeanski, morski transport i luke

Tabela 2. Indikativna lista KII

Evropska komisija je razvila sistem za razmjenu informacija o upozorenjima po kritičnu

infrastrukturu (eng. Critical Infrastructure Warning Information Network (CIWIN)) koji
predstavlja internet bazirani sistem za razmjenu ideja o zaštiti kritične infrastrukture.

Njihov internet portal (https://ciwin.europa.eu/Pages/Home.aspx) služi takođe, kao

baza podataka o relevantnim informacijama vezanim za kritičnu infrastrukturu. Na ovaj
način Evropska komisija pokušava da podigne svijest o važnosti kritične infrastrukture i
njene zaštite.

U Tabeli 2. su prikazani najčešće izabrani kritični sektori u nekim od država koje su

definisale kritičnu infrastrukturu.
 METODOLOGIJA IZBORA KRITIČNE INFORMATIČKE
INFRASTRUKTURE U CRNOJ GORI

Imajući u vidu, gore navedene primjere pozitivne prakse, kao i trenutno stanje u Crnoj
Gori kada je u pitanju KII, predviđeno je da se metodologija izbora kritične informatičke
infrastrukture sastoji iz sljedećih pet koraka:

I KORAK - Spisak sektora kritične infrastrukture u Crnoj Gori

II KORAK – Odrediti nosioce sektora kritične informatičke infrastrukture
III KORAK – Definisati podsektore i operatore kritičnih usluga/proizvoda
IV KORAK – Upitnik koji će se proslijediti operatorima kritičnih usluga/proizvoda
V KORAK – Rezultate upitnika iskoristiti za kreiranje konačnog spiska KII

Odrediti Definisati Upitnik koji će se

Spisak sektora Rezultate upitnika
nosioce sektora podsektore i proslijediti
kritične iskoristiti za
kritične operatore operatorima
infrastrukture u kreiranje konačnog
informatičke kritičnih kritičnih
Crnoj Gori spiska KII
infrastrukture usluga/proizvoda usluga/proizvoda

U nastavku dokumenta su detaljnije opisani navedeni koraci.

I KORAK – SPISAK SEKTORA KRITIČNE INFRASTRUKTURE U

CRNOJ GORI

Pogledom na gore navedene definicije, jasno je da prije definisanja KII, mora postojati
definisana kritična infrastruktura. Analizom trenutnog stanja u Crnoj Gori, utvrđeno je
da ne postoji zvanično definisana kritična infrastruktura. Tokom izrade Izvještaja o
procjeni stanja u sajber prostoru Crne Gore za potrebe formiranja Nacionalnog CIRT
tima, Ministarstvo za informaciono društvo i telekomunikacije je, u saradnji sa
kompanijom IMPACT iz Malezije, napravilo pregled kritičnih sektora u Crnoj Gori
zasnovanih na osnovu preporuka međunarodnih kriterijuma.
Ispod su nabrojani kritični sektori u Crnoj Gori identifikovani od strane MIDT i
eksperata iz IMPACT-a:

1. Informacione i komunikacione tehnologije

2. Bankarstvo i finansije
3. Energetika
4. Zdravstvo
5. Poljoprivreda, bezbijednost hrane, šumarstvo i vodoprivreda
6. Bezbjednost i odbrana
7. Transport
8. Državni organi/Usluge Vlade CG

Ovako definisani kritični sektori su u skladu sa pozitivnom praksom u svijetu, pa će se s

toga koristiti za dalju izradu Metodologije. Zadatak ove Metodologije je da ispita
zavisnost navedenih sektora od informacionih i komunikacionih tehnologija.

II KORAK – NOSIOCI SEKTORA KRITIČNE INFORMATIČKE

INFRASTRUKTURE

Sljedeći korak je određivanje nosilaca kritičnih sektora tj. institucija koje će, u skladu sa
svojim nadležnostima, biti odgovorne za svaki od kritičnih sektora pojedinačno. Za
uspješnu realizaciju ove Metodologije neophodno je aktivno učešće nosilaca kritičnih
sektora u identifikovanju kritične informatičke infrastrukture. U tabeli 3 su prikazani
nosioci sektora kritične informatičke infrastrukture u Crnoj Gori koje je identifikovalo
Ministarstvo za informaciono društvo i telekomunikacije.

KRITIČNI SEKTORI NOSIOCI SEKTORA KRITIČNE INFORMATIČKE

INFRASTRUKTURE

1 Informatičke i komunikacione Ministarstvo za informaciono društvo i

tehnologije telekomunikacije

2 Bankarstvo i finansije Ministarstvo finansija

3 Energetika Ministarstvo ekonomije

4 Zdravstvo Ministarstvo zdravlja

5 Poljoprivreda, bezbijednost Ministarstvo poljoprivrede i ruralnog razvoja

hrane, šumarstvo i vodoprivreda

6 Nacionalna odbrana i Ministarstvo odbrane / Ministarstvo unutrašnjih

poslova / Ministarstvo pravde/ Agencija za
 bezbjednost nacionalnu bezbjednost

7 Transport Ministarstvo saobraćaja i pomorstva

8 Državni organi/Usluge Vlade CG Ministarstvo za informaciono društvo i

telekomunikacije

Tabela 3.Nosioci sektora kritične informatičke infrastrukture

III KORAK – DEFINISATI PODSEKTORE I OPERATORE KRITIČNIH

USLUGA/ PROIZVODA

Obzirom da sektori obuhvataju veoma opširne oblasti, neophodno je napraviti detaljniju

kategorizaciju kroz podjelu na podsektore i operatore kritičnih usluga/proizvoda.

Kako bi ova kategorizacija bila vjerodostojna, potrebno je zadužiti nosioce sektora da,
svako za svoj sektor, pripremi analizu stanja u Crnoj Gori. Analiza treba da sadrži
sljedeće informacije: opis sektora, predlog podjele na kritične podsektore i spisak
operatora usluga/proizvoda. Koordinator za realizaciju ovih aktivnosti je Ministarstvo
za informaciono društvo i telekomunikacije. U tabeli 4 je prikazana indikativna lista
definisanih podsektora i operatora kritičnih usluga/proizvoda.

Ministarstvo za informaciono društvo i telekomunikacije će na osnovu ovih analiza

napraviti konačan spisak podsektora i njihovih operatora u Crnoj Gori po ugledu na
tabelu 4.

KRITIČNI SEKTORI Kritični podsektori Operatori

usluga/proizvoda

1 Informacione i 1.Informacioni sistemi i mreže -Internet provajderi,

komunikacione
2.SCADA sistemi -Operatori mobilne i
tehnologije
fiksne telefonije,
3.Internet
-Radio difuzne
4.Fiksna i mobilna telefonija kompanije,

5.Radio komunikacija i navigacija -Pošta CG

6.Radio difuzija

7.Poštanske usluge

2 Bankarstvo i 8.Privatna finansijska infrastruktura (banke, -Banke

finansije finansijske usluge i sl.)
-Osiguravajuće kuće
9.Finansijski transferi državne uprave (porez,
 socijalne usluge i sl.)

10.Osiguranje

3 Energetika 11.Proizvodnja, prenos, upravljački sistemi i -Provajderi električne

distribucija električne energije energije, nafte/naftnog
derivata i gasa
12.Proizvodnja, rafinerija, čuvanje i distribucija
nafte/naftnog derivata

13. Proizvodnja, čuvanje, transport, upravljački

sistemi i distribucija prirodnih gasova (gas)

4 Zdravstvo 14. Zdravstvene, ambulantne, bolničke i -Javne i privatne

postbolničke usluge zdravstvene ustanove

15.Službe hitne medicinske pomoći, urgentni -Bolnice, ambulante,

centri apoteke, službe hitne
medicinske pomoći,
16.Nabavka, upotreba, izdavanje i dejstvo urgentni centri
ljekova
-Agencija za ljekove

-Fond za zdravstveno
osiguranje

-Zavod za hitnu
medicinsku pomoć

5 Vodovod i 17.Proizvodnja i snabdijevanje vode i hrane -Vodovod i kanalizacija,

prehrambene
18.Kontrola kvaliteta vode i hrane -Fitosanitarna uprava,
usluge
19.Otpadne vode/kanalizacija -Direktorat za ruralni
razvoj
20.Zaštita od poplava
-Direktorat za
21.Brane vodoprivredu

22. Razvoj poljoprivrede(poljoprivrednih i -Veterinarska uprava

ruralnih područja) i njihova kontrola
-Uprava za vode
23.Bezbjednost i zdravlje ljudi, životinja i
biljaka -Uprava za šume

24.Proizvodnja i zaštita proizvoda biljnog i -Direktorat za

životinjskog porijekla poljoprivredu i ribarstvo

25.Šumarski info sistem

26.Vodovodni info sistem

6 Nacionalna odbrana 27.Djelatnosti Vojske -Vojska

 i bezbjednost 28.Djelatnosti Policije -Policija

29.Održavanje javnog i pravnog reda i mira -Tužilaštvo

30.Službe za vanredne situacije -Sudovi

31.Infrastruktura za sprovođenje zakona -Službe za vanredne

situacije
32.Djelatnosti bezbjednosno obavještajne
službe -ANB

33.Djelatnost upravnih unutrašnjih poslova - Upravni unutrašnji

poslovi
34. Policijska hitna služba
-Policijska hitna služba
35. Vatrogasna služba
-Vatrogasna služba

7 Transport 36.Drumski saobraćaj -Željezničke kompanije

37.Željeznica -Putevi

38.Avio saobraćaj -Avio kompanije

39.Pomorski saobraćaj -Lučka uprava

40.Luke

8 Državni organi/ 41. Državni objekti i oprema -Državni organi, organi

Usluge Vlade CG uprave i lokalne
42.Objekti i oprema Vlade samouprave

43.Usluge Vlade

44.Diplomatija

Tabela 4 – Indikativna lista podsektora i operatora kritičnih usluga/proizvoda

IV KORAK – UPITNIK

Pripremiti upitnik, koji će se proslijediti operatorima kritičnih usluga i proizvoda.

Upitnik ima zadatak da ispita nivo kritičnosti usluga i proizvoda, njihovu zavisnost od
ICT tehnologija i mogućnost prekida rada uslijed sajber napada.

Nivo kritičnosti zavisi od više faktora. Prvi faktor su ljudski gubici, dakle mogući broj
izgubljenih života i invaliditeta u slučaju kvara, oštećenja ili uništenja infrastrukture,
bilo nakon terorističkog napada ili tehnološkog kvara. Drugi faktor predstavljaju
ekonomski gubici, uključujući uticaj i štete u okolini, a treći je pitanje uloge i važnosti te
infrastrukture u javnosti. Upitnik će imati zadatak da ispita i prikaže ove faktore kako bi
se procijenio nivo kritičnosti infrastrukture. Upitnik takođe, treba da ispita
međuzavisnost rizika kod kritičnih sektora.

V KORAK – KREIRANJE KONAČNOG SPISKA KII

Ministarstvo za informaciono društvo i telekomunikacije će iskoristiti rezultate upitnika

iz Koraka IV, kao osnovu za kreiranje konačnog spiska kritične informatičke
infrastrukture.

PREGLED DALJIH AKTIVNOSTI

Nakon definisanja nacionalne KII, istu je neophodno i adekvatno zaštititi. U ovom dijelu
su navedene neke aktivnosti koje je potrebno odraditi neposredno nakon kreiranja
spiska KII:

1. Analiza rizika kod KII - U komunikaciji sa operatorima već definisane KII,

ustanoviti trenutni nivo zaštite kritičnih informacionih sistema i razmotriti
načine za unapređenje zaštite i otpornosti sitema. U sklopu ovih razgovora sa
operatorima, potrebno je ispitati istoriju sajber napada na njihovu infrastrukturu
i preporučiti mjere za sprječavanje budućih incidentnih situacija i osiguravanje
održavanja usluga i stabilnosti servisa u slučaju da do takvih situacija dođe.

2. Razmotriti propisivanje standarda za zaštitu KII - Imajući u vidu spisak KII,

kao i trenutni nivo njihove zaštite, potrebno je pronaći kvalitetan i održiv način
zaštite. Jedan od načina je propisivanje standarda za zaštitu KII. Takođe, treba
definisati i organ nadležan za inspekciju primjene standarda kod operatora KII.

3. Definisati sisteme izvještavanja u slučaju incidenata kod KII

4. Formiranje CIRT timova kod operatora KII - Kako bi na što kvalitetniji način
odgovorili na incidentne situacije, potrebno je da operatori KII formiraju timove
za odgovor na iste. Ovi timovi će se u saradnji sa nacionalnim CIRT-om Crne Gore
brinuti o bezbjednosti KII u okviru svojih institucija.

5. Priprema legislativnog okvira za zaštitu KII - Regulisati pravni okvir za zaštitu

KII, kroz izmjene i dopune postojećih zakona.
6. Kreirati okvir za jačanje javno-privatnog partnerstva u cilju zaštite KII - U
Crnoj Gori je situacija takva, da se veliki broj sistema koji se mogu smatrati za
kritičnu infrastrukturu nalazi u privatnom vlasništvu. Prateći trendove, postoji
mogućnost da će i dio drugih kritičnih sistema u Crnoj Gori biti privatizovan i s
toga je lako zaključiti da javno-privatno partnerstvo ima ključnu ulogu za
uspješnu zaštitu KII, pa je samim tim veoma značajno unaprijediti saradnju kroz
zajedničke sastanke, konferencije, potpisivanje protokola o saradnji i sl.

7. Podizanje nivoa svijesti o značaju zaštite nacionalne KII - Za uspješnu

implementaciju ove metodologije, neophodno je i razumijevanje ove
problematike. Potrebno je edukovati državne institucije, operatore KII, kao i
same građane o mogućim problemima usled prekida rada KII.

8. Redovna revizija spiska KII - Upotreba informacionih tehnologija je svakim

danom sve rasprostranjenija, pa je u bliskoj budućnosti moguća njihova upotreba
u nekom od sektora kritične infrastrukture. Neophodno je redovno ispitati da li
postoji novih kandidata za KII. Reviziju je potrebno raditi na godišnjem nivou, a
operatori KII mogu i sami, van redovne revizije, predložiti uključivanje novih
sistema u spisak KII.

9. Identifikovanje nacionalne KII, kao dijela međunarodne KII u skladu sa

međunarodnim okvirom (EU okvir) - Kao što je već navedeno u ovom
dokumentu, EU radi na definisanju evropske KI. U skladu sa tim, potrebno je
analizirati i definisati elemente za uključivanje nacionalne KII u tu grupu.
 ZAKLJUČAK

Povjerljivost, integritet i dostupnost podataka i mreža, uključujući kritičnu informatičku

infrastrukturu, od centralnog su značaja za razvijene informacione sisteme zemalja u
razvoju. Mogućnosti koje se vezuju za informaciono komunikacione tehnologije zavise
od sposobnosti zemalja u razvoju da se djelotvorno uhvate u koštac sa dodatnim
izazovima informacione bezbjednosti i da preduzmu korake da aktivno učestvuju, kako
bi omogućili zaštitu na svim nivoima informacionog sistema.

Tema kritične infrastrukture postaje nezaobilazna tema, posebno posljednjih nekoliko

godina. S elementima kritične infrastrukture susrijećemo se u svim sferama
svakodnevnih aktivnosti. Ne prepozna li se važnost tog zadatka, kao prioritet na
najvišem nivou odlučivanja, bojazan od nedovoljnog ulaganja u kritičnu infrastrukturu
postaće opravdana, a ekonomija izloženija velikom riziku. Preduslovi za kvalitativni
napredak i povezanost svih segmenata sigurnosti kritične infrastrukture počiva u
specifičnim znanjima, posebno iz ICT područja u koja treba ulagati znatna sredstva da bi
se preventivni mehanizmi prije povezali u strateški okvir za kritičnu infrastrukturu.

Upravljanje kritičnom infrastrukturom stoga treba biti sastavni dio razvojnih programa,
a kategorije poput sigurnosti i prevencije rizika od nepogoda i katastrofa, moraju se
integrisati u sve relevantne dokumente Vlade. Kritična infrastruktura je prepoznata kao
jedan od prioriteta u procesima integracija, ali proces identifakcije, početna ulaganja kao
i tehnička pomoć nedovoljni su za optimalno osiguranje kritične infrastrukture. Nužno je
zato osmisliti programe i zaštititi ključne resurse za upravljanje kritičnom
infrastrukturom. U tom smislu, kritična infrastruktura je infrastruktura čija bi
onesposobljenost ili uništenje imala uticaj na slabljenje nacionalne sigurnosti, te
ekonomske i društvene dobrobiti nacije i javnog zdravlja, a kritična informatička
infrastruktura jeste informatička infrastruktura koja podupire višestruke elemente
kritične infrastrukture. Kako su informacioni sistemi u velikoj mjeri međusobno
povezani ili povezani s javnim sistemima, kritična informatička infrastruktura u
današnje vrijeme postaje sve izloženija, ne samo otkazima i havarijama, već i raznim
vrstama namjernih napada. Osnovni problem iz kojeg proizilazi nužnost prepoznavanja
kritične infrastrukture, predstavlja činjenica da napad na određenu kritičnu
infrastrukturu sam po sebi multiplicira još veću štetu, jer relativno mali napad na jedan
infrastrukturni objekt može imati ogroman uticaj i prouzrokovati štetu na čitavom nizu
međusobno povezanih infrastrukturnih objekata.
 AKCIONI PLAN ZA IMPLEMENTACIJU METODOLOGIJE
BR ZADATAK OPIS ODGOVORNI ROK
ORGAN

1 Formirati radnu grupu za
realizaciju i praćenje akcionog
plana za implementaciju
Metodologije
Kako bi se Metodologija uspješno sprovela u djelo, potrebno je MIDT i 31.12.2014.
formirati radnu grupu koju će činiti članovi institucija koje su nosioci
prepoznate kao nosioci kritičnih sektora. Na ovaj način se sektora
stvaraju uslovi za efikasniju saradnju, razmjenu informacija i
samu realizaciju Metodologije. Koordinator aktivnosti je
Ministarstvo za informaciono društvo i telekomunikacije.

2 Izraditi detaljnu analizu stanja u
već definisanim kritičnim
sektorima u Crnoj Gori
Zadužiti nosioce sektora da, svako za svoj sektor, pripremi Nosioci 01.05.2015.
analizu stanja u Crnoj Gori. Analiza treba da sadrži sljedeće sektora u
informacije: opis sektora, predlog podjele na kritične saradnji sa
usluge/proizvode i spisak provajdera. Koordinator za MIDT
realizaciju ovih aktivnosti je Ministarstvo za informaciono
društvo i telekomunikacije.

3 Napraviti spisak podsektora i Ministarstvo za informaciono društvo i telekomunikacije će, na MIDT 01.06.2015.
operatora kritičnih osnovu analiza iz Zadatka 2, napraviti spisak podsektora i
usluga/proizvoda operatora kritičnih usluga/proizvoda u Crnoj Gori

4 Pripremiti upitnik koji će se Ministarstvo za informaciono društvo i telekomunikacije će MIDT i 01.09.2015.

proslijediti operatorima kritičnih pripremiti upitnik koji ima zadatak da ispita nivo kritičnosti operatori
usluga i proizvoda usluga i proizvoda, njihovu zavisnost od ICT tehnologija i kritičnih
mogućnost prekida rada uslijed sajber napada. Operatori usluga/
kritičnih usluga su dužni da popune upitnike i iste pošalju MIDT. proizvoda

5 Kreiranje konačnog spiska KII Ministarstvo za informaciono društvo i telekomunikacije će MIDT 01.11.2015.
iskoristiti rezultate upitnika iz Zadatka 3 kao osnovu za

6 Redovna revizija spiska KII
7 Identifikovanje nacionalne KII kao
dijela međunarodne KII u skladu
sa međunarodnim okvirom (EU
okvir)
kreiranje konačnog spiska kritične informatičke infrastrukture u
Crnoj Gori.
Neophodno je redovno ispitati da li postoje novi kandidati za MIDT i Jednom
KII. Reviziju je potrebno raditi na godišnjem nivou, a operatori Nosioci godišnje
KII mogu i sami, van redovne revizije, predložiti uključivanje sektora KII
novih sistema u spisak KII.
Kao što je već navedeno u ovom dokumentu, EU radi na MIDT 01.12.2015.
definisanju evropske KI. U skladu sa tim, potrebno je analizirati i
definisati elemente za uključivanje nacionalne KII u tu grupu.