Prevencija
U svrhu prevencije računalno-sigurnosnih incidenata Zavod za sigurnost informacijskih sustava izvješćuje korisnike o poznatim ranjivostima, novim načinima ugroza i mjerama zaštite informacijskih sustava, objavljuje novosti i smjernice najbolje sigurnosne prakse u svezi s tehničkim područjima informacijske sigurnosti, provodi provjeru ranjivosti informacijskih sustava te organizira savjetovanja i edukacije iz područja sigurnosti informacijskih sustava.
Provjera ranjivosti (engl. vulnerability scanning) predstavlja jednu od komponenti upravljanja ranjivostima (engl. vulnerability management) i jedan je od najboljih načina preventivnog djelovanja koji se provodi s ciljem podizanja razine sigurnosti informacijskih sustava. Provjeru ranjivosti Zavod za sigurnost informacijskih sustava provodi kao dio postupka sigurnosne akreditacije klasificiranih informacijskih sustava ili zasebno temeljem zahtjeva državnih tijela, jedinica lokalne i područne (regionalne) samouprave te pravnih osoba s javnim ovlastima, koja u svojem djelokrugu koriste klasificirane i neklasificirane podatke.
PROCEDURA
Provjera ranjivosti provodi se temeljem popunjenog Zahtjeva za provjeru ranjivosti informacijskog sustava koji se dostavlja Zavodu za sigurnost informacijskih sustava službenim putem, u privitku dopisa upućenog od čelnika tijela i pravne osobe.
Kontakt osobe u tijelima i pravnim osobama su savjetnici za informacijsku sigurnost odnosno voditelji ili zamjenici voditelja CERT timova, u slučaju da postoji organiziran CERT tim.
Svi detalji u vezi s datumom i vremenom početka provjere ranjivosti informacijskoga sustava dogovaraju se nakon zaprimanja Zahtjeva za provjeru ranjivosti informacijskoga sustava.
TEHNIČKE KARAKTERISTIKE
Provjera ranjivosti provodi se za web aplikacije i/ili mrežne servise informacijskih sustava, a pri njenom obavljanju koriste se specijalizirani alati po načelu dobrih praksi. Provjera otpornosti mreže na DoS napade (engl. Denial of Service) nije predviđena radi smanjenja utjecaja provjere na normalan rad računalne mreže i servisa.
DOSTAVA REZULTATA
Po obavljenoj provjeri ranjivosti informacijskoga sustava rezultati se dostavljaju čelniku tijela ili pravne osobe službenim putem.
Rezultat provjere ranjivosti informacijskoga sustava sadrži popis pronađenih sigurnosnih problema i upute za njihovo rješavanje, koje pomažu administratorima sustava u održavanju sigurnosti računalne mreže.
Prijava incidenata
Normativni akti
- Ustav Republike Hrvatske
- Strategija nacionalne sigurnosti
- Zakon o sustavu domovinske sigurnosti
- Zakon o sigurnosno-obavještajnom sustavu RH
- Zakon o tajnosti podataka
- Zakon o informacijskoj sigurnosti
- Uredba o mjerama informacijske sigurnosti
- Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti
- Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga
- Uredba o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga
- Smjernice za postupanje s neklasificiranim podacima
- Pravilnik o standardima sigurnosti neklasificiranih informacijskih sustava