Smjernice za primjereno upravljanje rizicima informacijskih sustava subjekata nadzora
|
|
- Војислав Бабић
- пре 6 година
- Прикази:
Транскрипт
1 HRVATSKA AGENCIJA ZA NADZOR FINANCIJSKIH USLUGA Na temelju članka 15. točke 4. Zakona o Hrvatskoj agenciji za nadzor financijskih usluga (»Narodne novine«br. 140/05 i 12/12) Upravno vijeće Hrvatske agencije za nadzor financijskih usluga je na sjednici održanoj 24. listopada donijelo SMJERNICE ZA PRIMJERENO UPRAVLJANJE RIZICIMA INFORMACIJSKIH SUSTAVA SUBJEKATA NADZORA I. UVODNE ODREDBE 1. Značenje pojmova Subjekti nadzora (u daljnjem tekstu: subjekti) definirani su člankom 2. točkom 2. Zakona o Hrvatskoj agenciji za nadzor financijskih usluga ( Narodne novine br. 140/05 i 12/12) kao sve pravne ili fizičke osobe koje se bave pružanjem financijskih usluga, savjetovanjem na financijskom tržištu, prodajom, posredovanjem ili upravljanjem imovinom korisnika financijskih usluga, a koji posluju u djelokrugu nadzora Hrvatske agencije za nadzor financijskih usluga (u daljnjem tekstu: Agencija). Informacijski sustav subjekata (u daljnjem tekstu: IS) je sustav međusobno povezanih organizacijskih, tehnoloških i ljudskih elemenata subjekata uključenih u procese obrade podataka, u cilju raspolaganja informacijama potrebnima za ostvarivanje poslovnih ciljeva. Informacijska tehnologija (u daljnjem u tekstu: IT) je element IS, čija je svrha automatizacija obrade podataka. IT obuhvaća: hardverske komponente: o osobna, prijenosna i poslužiteljska računala te periferne uređaje kao što su tipkovnice, zasloni i slično, o pametne mobilne uređaje, o aktivnu i pasivnu mrežnu i telekomunikacijsku opremu, o medije za pohranu podataka, o podržavajuću infrastrukturu, kao što su električna napajanja, klimatizacijski uređaji, kablovi i slično. 1
2 softverske komponente: o operativne sustave, o baze podataka, o sistemske poslužitelje kao što su poslužitelji elektroničke pošte i slično, o sistemske aplikacije, o poslovne aplikacije, o razvojne alate. Korisnici informacijskog sustava (u daljnjem u tekstu: korisnici IS) su sve pravne i fizičke osobe koje, kao zaposlenici subjekta, vanjski suradnici, klijenti, regulatorne institucije ili u bilo kojoj drugoj ulozi, sudjeluju u procesima obrade podataka. Obrada podataka podrazumijeva sve ručne ili automatizirane aktivnosti vezane uz podatke tijekom njihovog cjelokupnog životnog ciklusa, kao što su: prikupljanje, unos, pohrana, prijenos, uvid, prikaz, transformacija, kombiniranje ili integriranje, povrat, arhiviranje, analiza, zaštita, omogućavanje pristupa i stavljanje na raspolaganje, blokiranje te brisanje ili uništavanje. Resursi informacijskog sustava (u daljnjem u tekstu: resursi IS) omogućavaju provedbu procesa obrade podataka, primjerenih poslovnim potrebama, te obuhvaćaju: podatke i informacije, poslovne korisnike IS, zaposlenike subjekta ovlaštene za upravljanje IS i IT, vanjske suradnike koji sudjeluju u upravljanju IS i IT, informacijsku tehnologiju, stručna znanja, ugovore i licence, interne akte i drugu dokumentaciju te financijska sredstva. Rizik informacijskog sustava (u daljnjem tekstu: rizik IS) podrazumijeva vjerojatnost da određena prijetnja iskorištavanjem ranjivosti resursa IS ostvari negativan učinak na poslovanje subjekta. 2
3 Upravljanje rizicima informacijskog sustava (u daljnjem tekstu: upravljanje rizicima IS) je kontinuirani proces koji obuhvaća: identifikaciju resursa IS, identifikaciju prijetnji resursima IS, identifikaciju ranjivosti resursa IS, procjenu rizika IS i njihovog potencijalnog štetnog učinka, odabir mjera za postupanje s procijenjenim rizicima IS, primjenu mjera za postupanje s procijenjenim rizicima IS, praćenje procijenjenih rizika IS te primijenjenih mjera i postupaka za njihovo smanjenje te unaprjeđenje procesa upravljanja rizicima. Osjetljivi podaci odnosno informacije su oni podaci odnosno informacije kod kojih bi narušavanje svojstava povjerljivosti, cjelovitosti ili dostupnosti izazvalo negativne posljedice za poslovanje subjekta. 2. Ciljevi, namjena i opseg Smjernica za primjereno upravljanje rizicima informacijskih sustava subjekata nadzora 2.1. Ciljevi Smjernica za primjereno upravljanje rizicima informacijskih sustava subjekata nadzora Subjekti koji su predmet nadzora Agencije u svom poslovanju su izloženi operativnim rizicima koji obuhvaćaju i rizike IS. Usvajanjem i objavom Smjernica za primjereno upravljanje rizicima informacijskih sustava subjekata nadzora (u daljnjem tekstu: Smjernice) Agencija želi ostvariti sljedeće ciljeve: razvoj svijesti subjekata o rizicima IS, s osobitim naglaskom na rizike vezane uz uporabu IT te upoznavanje subjekata nadzora s dobrim praksama ublažavanja rizika IS. Agencija očekuje da će razumijevanje i primjena mjera i postupaka opisanih u Smjernicama doprinijeti kvaliteti upravljanja rizicima IS subjekata te na taj način umanjiti: izloženost subjekata rizicima poslovanja u cjelini te vjerojatnost neusklađenosti poslovanja subjekata s mjerodavnim propisima. 3
4 2.2. Namjena Smjernica za primjereno upravljanje rizicima informacijskih sustava subjekata nadzora Smjernice su namijenjene subjektima, a osobito: članovima uprava subjekata, odgovornim osobama za upravljanje IT subjekata, osobama odgovornima za sigurnost IS odnosno IT subjekata, osobama odgovornima za upravljanje odnosima s vanjskim pružateljima usluga subjekata, osobama odgovornima za upravljanje procesom neprekinutosti poslovanja subjekata te osobama koje obavljaju poslove unutarnjih kontrola subjekata. Agencija drugim aktima može dodatno propisati kriterije i postupke upravljanja IS i rizicima IS za određene skupine subjekata, koje je potrebno uzeti u obzir prilikom razumijevanja i primjene Smjernica Opseg Smjernica za primjereno upravljanje rizicima informacijskih sustava subjekata nadzora Smjernicama je obuhvaćeno sljedeće: 1) Ključni aspekti upravljanja rizicima IS: osnovna načela upravljanja rizicima IS, identifikacija, procjena i postupanje s rizicima IS te 2) Mjere i postupci za smanjenje rizika IS: organizacija i upravljanje IS, razvoj i održavanje IS, upravljanje promjenama u IS, izdvajanje procesa IS, neprekinutost poslovanja i oporavak nakon katastrofe, fizička i okolišna sigurnost, logičke kontrole pristupa, sigurnost računalnih mreža, sigurnost prijenosnih uređaja i medija za pohranu podataka, upravljanje incidentima, upravljanje operativnim i sistemskim zapisima te zaštita od malicioznog koda. 4
5 II. KLJUČNI ASPEKTI UPRAVLJANJA RIZICIMA INFORMACIJSKIH SUSTAVA 1. Osnovna načela upravljanja rizicima informacijskih sustava Procesi upravljanja rizicima integralni su dio svakodnevnog poslovanja subjekata. Subjekti, u najmanju ruku, iskustveno i intuitivno prepoznaju rizike koji prijete ostvarivanju poslovnih ciljeva i poduzimaju mjere kako bi se ti rizici sveli na prihvatljivu razinu. Sustavni pristup identifikaciji i primjeni mjera i postupaka, kroz proces upravljanja rizicima, može donijeti dodatne prednosti, kao što su: kvalitetnija zaštita važnih poslovnih procesa i resursa, manja vjerojatnost previda rizika kojima je subjekt izložen, manja vjerojatnost nepoštivanja mjerodavnih propisa, kvalitetnija podrška donošenju poslovnih odluka, manja vjerojatnost neučinkovitog trošenja sredstava na zaštitne mjere, manji utrošak vremena na upravljanje zaštitnim mjerama i druge. U nastavku Smjernica opisani su osnovni postupci u procesu sustavne identifikacije, procjene i postupanja s rizicima IS. Fokus procesa upravljanja rizicima IS je na informaciji, kao najvažnijem resursu IS. Vrsta i namjena informacija ovisi o vrsti industrije, tržišta, proizvoda i usluga u ponudi te mnogim drugim faktorima. Primjeri informacija s kojima mogu raspolagati subjekti u poslovanju su: informacije o ponuđenim proizvodima i uslugama, informacije o klijentima, informacije o novčanim transakcijama i slično. Raspoloživost točne i pravodobne informacije može utjecati na donošenje ispravnih poslovnih odluka, ali i na poštivanje mjerodavnih propisa. Dostupnost osjetljive informacije neovlaštenim osobama može dovesti do gubitka prednosti nad konkurencijom, gubitka povjerenja klijenata, a također i do nepoštivanja mjerodavnih propisa. 5
6 Promatrano sa stajališta informacijske sigurnosti, informacije imaju tri ključna svojstva čije narušavanje predstavlja rizik za poslovanje subjekata: 1) Povjerljivost je svojstvo informacije da je raspoloživa isključivo osobama i sustavima koje za to imaju valjano ovlaštenje. Neki primjeri posljedica narušavanja povjerljivosti informacija su: gubitak konkurentske prednosti (na primjer, otkrivanjem informacija o osobinama novog proizvoda konkurenciji), gubitak povjerenja klijenata (na primjer, curenjem osobnih podataka klijenata u javnost), nepoštivanje mjerodavnih propisa (na primjer, curenje osobnih podataka klijenata može predstavljati kršenje regulative u domeni zaštite osobnih podataka), financijske gubitke (na primjer, curenje osobnih podataka može pokrenuti tužbe klijenata i rezultirati isplatom novčanih sredstava u svrhu pokrivanja odštetnih zahtjeva). 2) Cjelovitost je svojstvo informacije da postoji razumno uvjerenje u njezinu točnost odnosno da nije neovlašteno ili nepredviđeno izmijenjena, slučajnim ili namjernim djelovanjem, što podrazumijeva i naknadno dodavanje, izmjenu ili brisanje informacija bez traga o provedenim aktivnostima koji se može slijediti. Neki primjeri posljedica narušavanja cjelovitosti informacija su: donošenje pogrešnih poslovnih odluka (na primjer, zbog pogrešnih informacija predstavljenih u važnom izvješću za upravu), gubitak povjerenja klijenata (na primjer, zbog pogrešno izračunate i naplaćene cijene usluge ili proizvoda), nepoštivanje mjerodavnih propisa (na primjer, zbog netočnih informacija u izvješćima namijenjenima regulatoru). 3) Dostupnost je svojstvo informacije da po potrebi i u prihvatljivom roku bude dostupna ovlaštenim osobama i sustavima. Neki primjeri posljedica narušavanja dostupnosti informacija su: nemogućnost isporuke proizvoda i usluga klijentima (na primjer, zbog nedostupnosti informacija o ugovornim odnosima s klijentima), nepoštivanje mjerodavnih propisa (na primjer, zbog nedostupnosti informacija potrebnih za sastavljanje izvješća koja se u zadanom roku moraju dostaviti regulatoru), nemogućnost ispunjavanja ugovornih obveza (na primjer, zbog nedostupnosti informacija o transakcijskim računima odnosno nemogućnosti zadavanja platnih naloga). Štetni učinci rizika IS rezultiraju narušavanjem navedenih svojstava informacija, a proizlaze iz djelovanja prijetnji, koje štetne učinke ostvaruju iskorištavanjem ranjivosti resursa IS. Upravo zbog toga je bitno identificirati prijetnje i ranjivosti resursa IS te procijeniti rizike IS i njihove štetne učinke, prema kojima bi se postupalo primjenom primjerenih mjera. 6
7 2. Identifikacija, procjena i postupanje s rizicima informacijskog sustava Osnovni preduvjet za identifikaciju i procjenu rizika IS je poznavanje poslovnih ciljeva, poslovne strategije i poslovnih procesa subjekta, kako bi se mogao procijeniti realni utjecaj rizika IS na poslovanje. Nadalje, potrebno je identificirati sve resurse IS koji imaju ulogu u ostvarivanju poslovnih ciljeva i strategije te podršci poslovnim procesima, a potom i procijeniti njihovu važnost u tim ulogama. Osobito je važno spoznati i međusobne ovisnosti resursa IS. Na primjer, ukoliko je neka informacija bitna za kritični poslovni proces, bitan će biti i poslužitelj baze podataka na kojem je ta informacija pohranjena, kao i operativni sustav i samo poslužiteljsko računalo, ali i mrežni uređaji i kablovi koji omogućuju dostupnost informacije putem osobnog računala krajnjem korisniku. Rizici IS proizlaze iz djelovanja prijetnji. Prijetnje se obično dijele, s obzirom na mjesto nastanka, na unutrašnje i vanjske. Neke od unutrašnjih prijetnji mogu biti: interna prijevara, neovlašteni pristup informacijama iznutra, krađa resursa IS, greške u unosu podataka u aplikacije, nesvjesno odavanje povjerljivih informacija. Neke od vanjskih prijetnji mogu, na primjer, biti: hakerski napadi, maliciozni kod, socijalni inženjering, epidemije bolesti, elementarne nepogode. Identificirane prijetnje potrebno je staviti u kontekst ranjivosti resursa IS, koje pojedine prijetnje mogu iskoristiti te na taj način izazvati štetni učinak. Neke od ranjivosti mogu biti: nepostojanje zaštite od malicioznog koda, neprimjerena konfiguracija vatrozida, pristup poslovnim aplikacijama nije kontroliran potvrdom identiteta korisnika, zaposlenici imaju nisku razinu svijesti o sigurnosti IS, nepostojanje sustava za besprekidnu opskrbu električnom energijom. 7
8 U konačnici, poznavanjem ranjivosti, prijetnji i njihovih štetnih učinaka na poslovanje mogu se procijeniti rizici IS, kroz dva njihova temeljna svojstva: vjerojatnost da će prijetnja iskoristiti ranjivost resursa IS te razina štetnog učinka ukoliko prijetnja uspješno iskoristi ranjivost. Primjer opisanog procesa može izgledati ovako: Proces prodaje usluga klijentima ovisi o dostupnosti informacija o klijentima, što uključuje podatke kao što su ime, prezime, adresa, vrsta ugovorene usluge i slično. Informacije o klijentima pohranjene su na poslužitelju baze podataka. Nestanak električne energije, do kojeg prosječno dolazi četiri puta godišnje u trajanju od četiri sata, uzrokovao bi prestanak rada poslužitelja baze podataka, s obzirom da nije implementiran sustav za besprekidno napajanje. Sve dok poslužitelj baze podataka ne funkcionira, subjekt nije u stanju pružati uslugu klijentima te na taj način ostaje bez potencijalnih financijskih prihoda, a velika je vjerojatnost i narušavanja reputacije i povjerenja klijenata. Odluka o načinu postupanja s rizicima IS u pravilu ovisi o samim rizicima te vrijednosti izloženih procesa i resursa. Načine upravljanja rizicima možemo općenito podijeliti na: Izbjegavanje - podrazumijeva ublažavanje rizika eliminacijom rizičnog procesa odnosno resursa IS. Nastavno na prethodni primjer, subjekt je zaključio da mu je rizik neprihvatljiv, ali i financijski izdaci investicije nabave sustava za besprekidno napajanje, te je odlučio izbaciti iz uporabe poslužitelj baze podataka i sve informacije o klijentima držati na papirnatim dokumentima. Na taj način eliminirana je ranjivost koju bi mogla iskoristiti prijetnja prekida opskrbe električnom energijom. Smanjenje - podrazumijeva ublažavanje rizika implementacijom mjera kojima se rizik smanjuje. Nastavno na prethodni primjer, subjekt je zaključio da mu je rizik neprihvatljiv. Analizom troškova nabave i godišnjeg održavanja sustava za besprekidno napajanje, subjekt je zaključio da su troškovi manji od potencijalnih izgubljenih prihoda i gubitaka uzrokovanih narušenom reputacijom te se odlučuje za implementaciju, čime umanjuje identificirani rizik. Prihvaćanje - podrazumijeva prihvaćanje potencijalnih posljedica štetnog učinka rizika. Nastavno na prethodni primjer, subjekt je svjestan rizika, ali je došao do zaključka da su troškovi nabave i godišnjeg održavanja sustava za besprekidno napajanje veći od potencijalnih izgubljenih prihoda i gubitaka uzrokovanih narušenom reputacijom te se odlučuje za prihvaćanje rizika bez implementacije dodatnih mjera. Prijenos podrazumijeva prijenos posljedica štetnog učinka rizika na druge fizičke ili pravne osobe. Na primjer, kupovinom police osiguranja od štetnog događaja ili ugovaranjem naknade koju bi pružatelj usluge bio dužan platiti za pojedine štetne događaje u slučaju izdvajanja procesa. 8
9 Neki rizici se ne mogu ocijeniti prihvatljivima bez obzira na troškove implementacije kontrolnih mjera primjerice rizici koji za posljedicu imaju ugrožavanje ljudskih života ili počinjenje kaznenih djela. III. MJERE I POSTUPCI ZA SMANJENJE RIZIKA INFORMACIJSKOG SUSTAVA U nastavku Smjernica opisane su neke mjere i postupci koji spadaju u dobre prakse smanjenja rizika IS, a posebno su istaknute one koje je preporučljivo primijeniti bez obzira na svojstva IS subjekta. O načinu provedbe preporuka i odabiru tehničkih rješenja koja bi se pri tome eventualno koristila odlučuju sami subjekti, temeljem vlastite procjene rizika i pri tome se vodeći načelom razmjernosti kako bi identificirali optimalna rješenja za svoj IS. 1. Organizacija i upravljanje informacijskim sustavom 1.1. Uprava subjekta Funkcioniranje IS subjekta u znatnoj mjeri ovisi o podršci uprave subjekta. Uprava je odgovorna za organizaciju, strateško odlučivanje, dodjelu resursa i donošenje pravila i procedura u kontekstu upravljanja IS, što obuhvaća i procese izdvojene vanjskim pružateljima usluga. Ukoliko uprava subjekta nije na primjeren način uključena u upravljanje IS, subjekt se može izložiti rizicima kao što su neusklađenost strategije poslovnog razvoja i razvoja IS te neučinkovito trošenje sredstava za razvoj i održavanje u IS. U svrhu umanjenja rizika IS, preporučljivo je da uprava subjekta primijeni barem sljedeće mjere i postupke: Uspostava primjerene organizacijske strukture potrebne za funkcionalnost i sigurnost IS, sukladno poslovnim ciljevima subjekta. Osiguravanje resursa potrebnih za primjerenu funkcionalnost i sigurnost IS, poglavito u kontekstu stručnih kadrova, hardvera, softvera i podržavajuće infrastrukture. Imenovanje osobe odgovorne za upravljanje IT procesima i operacijama. Osiguravanje kontinuirane upoznatosti uprave s relevantnim činjenicama vezanima uz funkcioniranje i sigurnost IS, bilo kroz neformalnu komunikaciju s osobama odgovornima za funkcioniranje i sigurnost IS ili kroz formalni sustav izvješćivanja. Usklađivanje strategije razvoja IS i razvoja poslovne strategije subjekta. 9
10 Sukladno vlastitoj procjeni rizika, uprava subjekta može dodatno razmotriti primjenu sljedećih mjera i postupaka: Formiranje odbora za upravljanje IS. Uobičajena praksa je da u radu odbora za upravljanje IS sudjeluju odgovorne osobe poslovnih organizacijskih jedinica i sustava unutarnjih kontrola, uz članove uprave i osobe odgovorne za sigurnost i funkcionalnost IS. Uobičajeno je da se rad odbora manifestira kroz zajedničke sjednice, na kojima se raspravlja o ključnim pitanjima funkcionalnosti i sigurnosti IS. Na taj način se olakšava komunikacija između sudionika, rješavaju problemi u međusobnoj suradnji te se unaprjeđuje usklađenost djelovanja organizacijskih jedinica zaduženih za osiguranje funkcionalnosti i sigurnosti IS i ostalih organizacijskih jedinica. Razdvajanje funkcije upravljanja sigurnošću IS od drugih zaduženja vezanih uz IS. Sigurnosni i funkcionalni ciljevi IS mogu biti u suprotnosti u nekim situacijama, stoga je prisutna praksa razdvajanja tih funkcija dodjelom funkcija različitim osobama. Razdvajanje međusobno nesukladnih dužnosti u procesu upravljanja IT, kao na primjer, sistemskog administratora od programera aplikacija, programera aplikacija od administratora baze podataka, sistemskog administratora od mrežnog administratora i drugo. Dodjelom tih funkcija različitim djelatnicima omogućava se njihova veća usredotočenost na dužnosti za koje su specijalizirani te se istovremeno ograničava potencijalna šteta koja bi mogla nastati namjernim štetnim djelovanjem nekog od zaposlenika navedenih u primjeru. Formiranje sustava unutarnjih kontrola IS. Unutarnje kontrole, u vidu funkcija unutarnje revizije, procjene rizika ili usklađenosti, a koje su neovisne od ostalih zaduženja vezanih uz funkcionalnost ili sigurnost IS, mogu doprinijeti kvalitetnijem upravljanju rizicima IS. Dokumentiranje i usvajanje politika, pravila, standarda, smjernica, uputa i radnih procedura u IS Ljudski resursi Ljudsko djelovanje, namjerno ili nenamjerno, može izložiti IS značajnim rizicima. Primjeri prijetnji nastalih ljudskim djelovanjem su: greške u radu s aplikacijama, nesvjesno ili namjerno odavanje povjerljivih podataka, greške u razvoju i održavanju IS, neprimjereno rukovanje informatičkom opremom i drugi. 10
11 Kako bi se umanjili štetni učinci prijetnji nastalih ljudskim djelovanjem, preporučljivo je osigurati da: Djelatnici imaju primjerena znanja i vještine u vezi korištenja poslovnih aplikacija. Djelatnici imaju primjerena znanja i vještine u vezi uporabe ostalih resursa IT koje koriste pri izvršavanju radnih zadataka, kao što su Internet, elektronička pošta i slično. Djelatnici odgovorni za upravljanje, razvoj i održavanje IS imaju primjerena znanja i vještine za dužnosti koje obavljaju. Djelatnici imaju primjerenu razinu svijesti o sigurnosti IS. Sukladno vlastitoj procjeni rizika, subjekti mogu dodatno razmotriti primjenu sljedećih mjera i postupaka: Uspostava procesa provjere kandidata za zapošljavanje. Proces može uključivati provjeru istinitosti navoda o radnom iskustvu i obrazovanju, provjeru o počinjenim kaznenim djelima i slično. Takvim i sličnim provjerama smanjuje se mogućnost zapošljavanja osoba koje bi mogle predstavljati sigurnosni rizik po IS. Uspostava procesa kontinuirane edukacije djelatnika u cilju podizanja svijesti o sigurnosti IS, što može uključivati planiranje i provedbu edukacije te prikupljanje povratnih informacija od sudionika. 2. Razvoj i održavanje informacijskog sustava 2.1. Održavanje informacijske tehnologije Hardver, softver i podržavajuća infrastruktura zahtijevaju kontinuirano održavanje kako bi se osigurala njihova primjerena funkcionalnost. Neodržavana infrastruktura može biti izložena različitim prijetnjama, kao što su primjerice: greške u funkcioniranju operativnih sustava i aplikacija, kvarovi na računalima i mrežnoj opremi, kvarovi na podržavajućoj infrastrukturi, povećana izloženost hakerskim napadima, povećana izloženost djelovanju malicioznog koda i druge. 11
12 Kako bi se umanjili štetni učinci prijetnji nastalih zbog neprimjerenog održavanja IT, preporučljivo je: Osigurati primjereno održavanje hardvera, softvera i podržavajuće infrastrukture, u vidu nadogradnji i ispravljanja pogrešaka u softveru, redovnog servisiranja hardvera i podržavajuće infrastrukture, zamjene zastarjelih i dotrajalih komponenti i slično. Ograničiti ovlaštenja za izmjene na hardveru, softveru i podržavajućoj infrastrukturi isključivo na osobe koje imaju odgovarajuća stručna znanja i vještine. Primjereno nadzirati ključne pokazatelje funkcionalnosti IT, kao što su primjerice slobodni kapaciteti medija za pohranu podataka, raspoloživost sistemskih resursa poslužiteljskih računala i slično Razvoj aplikacija Primjerena funkcionalnost i sigurnost poslovnih aplikacija veoma je bitna za funkcionalnost i sigurnost IS u cjelini. Stoga je osobito važno posvetiti pozornost razvoju poslovnih, ali i ostalih aplikacija kroz cijeli razvojni ciklus. Propusti u razvoju mogu rezultirati izloženošću različitim prijetnjama, kao što su na primjer: neusklađenost značajki aplikacija s potrebama poslovnih procesa, nekompatibilnost aplikacija s ostalim komponentama IT, neovlašteni pristup osjetljivim podacima, greške u funkcioniranju aplikacija, povećana izloženost hakerskim napadima, povećana izloženost djelovanju malicioznog koda i druge. Kako bi se umanjili štetni učinci prijetnji nastalih zbog neprimjerenog pristupa razvoju aplikacija, preporučljivo je: Uključiti krajnje korisnike aplikacija u proces izrade specifikacija aplikacije, kako bi se unaprijed definirale značajke poput korisničkog sučelja, ulaznih i izlaznih podataka i slično. Planirati sigurnosne kontrole u fazi razvoja, kao što su identifikacija korisnika i autorizacija pristupa resursima aplikacije, kriptografski mehanizmi, kontrole unosa podataka, kontrole izlaznih podataka i slično. Zaštititi izvorni kod aplikacija od neovlaštenog pristupa. Testirati funkcionalnost i sigurnost novih i izmijenjenih aplikacija prije njihovog uključenja u normalnu produkciju. Bilo bi poželjno, osim testiranja sistemskih i integracijskih značajki, u proces testiranja funkcionalnosti uključiti i krajnje korisnike i dobiti povratne informacije od njih o prihvatljivosti uporabnih svojstava aplikacije. 12
13 Sukladno vlastitoj procjeni rizika, subjekti mogu dodatno razmotriti primjenu sljedećih mjera i postupaka: Razdvajanje razvojnog i testnog okruženja aplikacija od produkcijskog, primjerice korištenjem odvojenih baza podataka ili čak i potpuno odvojenih osobnih i poslužiteljskih računala za različita okruženja. Na taj način se znatno umanjuje rizik narušavanja cjelovitosti produkcijskih podataka tijekom razvoja ili testiranja. Izbjegavanje korištenja produkcijskih podataka za potrebe razvoja ili testiranja. Ukoliko se za potrebe razvoja ili testiranja koriste produkcijski podaci, povećava se rizik pristupa tim podacima od strane neovlaštenih osoba. Stoga je preporučljivo takve podatke ne koristiti prilikom razvoja ili testiranja ili pak prethodno iz njih ukloniti osjetljivi sadržaj poput osobnih podataka. Ukoliko je razvoj aplikacija izdvojen vanjskim pružateljima usluga, primjena gore opisanih mjera i postupaka može biti znatno otežana. U tom slučaju preporučljivo je da subjekti traže informacije od samog pružatelja usluge o sigurnosnim značajkama aplikacije kako bi procijenili njihovu primjerenost. 3. Upravljanje promjenama u informacijskom sustavu 3.1. Upravljanje promjenama Promjene u IS neizbježan su dio procesa razvoja i održavanja IS. Međutim, nekontrolirane promjene ujedno mogu proizvesti i negativne efekte, primjerice kroz: provedbu promjena koje mogu narušiti funkcionalnost komponenti IT, provedbu promjena koje IS mogu izložiti sigurnosnim prijetnjama, problemi u radu korisnika koji nisu primjereno upoznati s promjenama, na primjer u vidu novih funkcionalnosti u aplikacijama i slično. Kako bi se umanjili štetni učinci prijetnji nastalih zbog nekontroliranih promjena, preporučljivo je osigurati da su: Odgovorne osobe za upravljanje IT upoznate s planiranim promjenama i potencijalnim rizicima tih promjena prije same provedbe. Planirane promjene odobrene od strane odgovorne osobe za upravljanje IT prije same provedbe. Promjene primjereno testirane prije njihove primjene u produkcijskim sustavima, Korisnici IS upoznati s promjenama ukoliko one utječu na provedbu korisničkih radnih zadataka, primjerice kad se radi o funkcionalnim promjenama u poslovnim aplikacijama. Sukladno vlastitoj procjeni rizika, subjekti mogu dodatno razmotriti primjenu sljedećih mjera i postupaka: 13
14 Vođenje evidencije o promjenama u IS, što primjerice može uključivati opis svake promjene, ime predlagatelja, ime odobravatelja, procijenjene rizike, status odobrenja, status testiranja i status provedbe. Takva evidencija može se koristiti u svrhu revizije i kontrole, ali i kao baza znanja koja može doprinijeti učinkovitijem upravljanju promjenama u budućnosti. 4. Izdvajanje procesa informacijskog sustava 4.1. Izdvajanje procesa informacijskog sustava Izdvajanje procesa IS subjekata podrazumijeva uključivanje druge pravne ili fizičke osobe u obavljanje poslova vezanih uz IS, kao što su primjerice: održavanje komponenti IT, razvoj posebno dizajniranih aplikacija, primjerice izrada aplikacije za podršku središnjim poslovnim procesima po narudžbi subjekta, izrada internetskih stranica i slično, bilo kakav vid obrade podataka, primjerice kreiranje, izmjena i brisanje korisničkih računa i prava u operativnim sustavima računala i mrežnih uređaja, bazama podataka te aplikacijama, zatim pohrana podataka, izrada pričuvnih kopija podataka i slično, pružanje usluga uporabe tehničke i sigurnosne infrastrukture, primjerice smještaj poslužitelja u podatkovnom centru pružatelja usluga, smještaj internetskih stranica na poslužitelje pružatelja usluga i slično, pružanje savjetodavnih usluga poput vođenja sigurnosti IS, vođenja projekata i slično, pružanje usluga unutarnjih kontrola poput unutarnje revizije IS. Za ilustraciju, kupovina gotovog, tržišno dostupnog softvera za koji proizvođač izdaje ispravke i nadogradnje koje subjekt sam primjenjuje u svom sustavu ne smatra se izdvajanjem procesa. Međutim, u slučaju da proizvođač provodi primjenu ispravaka i nadogradnji u sustavu subjekta, što se smatra održavanjem sustava, odnosno da proizvođač provodi administraciju u vidu upravljanja korisničkim pravima i računima umjesto subjekta, što se smatra obradom podataka, govorimo o izdvajanju procesa. Osobito je važno naglasiti da izdvajanjem procesa subjekti ne mogu ujedno prebaciti i odgovornost za izvršavanje procesa i rezultirajuće posljedice na pružatelja usluge kojem je proces izdvojen. S obzirom na razinu ovisnosti poslovanja subjekta o izdvojenim procesima, može se procijeniti značajnost izdvajanja. Primjerice, ukoliko o nekom izdvajanju ovisi funkcioniranje središnjih poslovnih procesa, ili pak ukoliko se izdvojenim procesom obrađuju osjetljivi podaci poput financijskih ili osobnih, možemo govoriti o značajnom izdvajanju. 14
15 Ovisno o značaju izdvajanja, subjekti se mogu izložiti različitim rizicima, od manjih neugodnosti do znatnih financijskih gubitaka, narušavanja povjerljivosti, cjelovitosti i dostupnosti osjetljivih podataka te prekida središnjih poslovnih procesa, izazvanih djelovanjem prijetnji, kao što su primjerice: nemogućnost pružatelja da osigura primjerenu uslugu, potpuni prekid pružanja usluge, primjerice uslijed stečaja pružatelja, više sile i slično, krađu i oštećenje resursa IS od strane pružatelja, odavanje povjerljivih podataka od strane pružatelja, nemogućnost izvršavanja ugovornih obveza subjekta prema pružatelju. Kako bi se smanjile štete nastale zbog rizika vezanih uz vanjske pružatelje usluga, preporučljivo je: Procijeniti rizike izdvajanja procesa. Potrebno je provesti i dokumentirati analizu u cilju dobivanja odgovora na pitanja: o Na koje poslovne procese i resurse te na koji način na njih utječe izdvajanje procesa? o Kako bi prekid pružanja usluge utjecao na poslovanje? o Kojim rizicima proizašlima uslijed izdvajanja bi subjekt bio izložen? o Na koji način će subjekt nadzirati pružanje usluge i povezane rizike? o Na koji način se može osigurati neprekinutost poslovanja u slučaju prekida pružanja usluge ili pružanja neprimjerene usluge? Procijeniti primjerenost pružatelja usluga. Potrebno je provesti i dokumentirati analizu u cilju dobivanja odgovora na pitanja: o Da li pružatelj ima perspektivu stabilnog poslovanja za vrijeme pružanja usluge? o Da li pružatelj posjeduje reference, iskustvo, znanje, stručnost te kadrove i druge resurse koji daju razumno uvjerenje u primjereno pružanje usluge? o Da li pružatelj udovoljava mjerodavnim propisima u kontekstu pružane usluge? Definirati i sklopiti ugovor primjeren usluzi koja se pruža. Ugovor bi najmanje trebao sadržavati sljedeće stavke: o detaljan opis predmeta ugovora, o obveze čuvanja povjerljivih podataka, o prihvatljive razine pružane usluge, o obveze i odgovornosti pružatelja i subjekta, o novčanu vrijednost ugovora, o uvjete jednostranog raskida ugovora, o trajanje ugovora te o način rješavanja sporova. Osigurati primjeren nadzor nad pružanjem usluge. Osigurati pravodoban pristup informacijama u vezi pružatelja i same usluge, a koje su relevantne za pružanje usluge. Planirati neprekinutost poslovanja u slučaju prestanka ili neprimjerenog pružanja usluge. 15
16 4.2. Uporaba Cloud Computing usluga u izdvojenim procesima Cloud Computing usluge postupno dobivaju na značaju i pobuđuju interes tvrtki u različitim industrijskim granama. Prednosti korištenja Cloud Computing usluga mogu se manifestirati u vidu ušteda kod nabavke informatičke opreme, zapošljavanja stručnih kadrova, troškova održavanja, jednostavnijeg načina rješavanja pitanja planova oporavka nakon katastrofe i drugih. Cloud Computing, u kontekstu izdvajanja procesa, predstavlja obradu podataka korištenjem računalne infrastrukture pružatelja usluga, dijeljene s drugim pravnim ili fizičkim osobama kao jednakopravnim korisnicima te smještene izvan poslovnih lokacija subjekta, a na koju se subjekt povezuje koristeći računalne mreže ili druge metode udaljenog povezivanja u cilju pristupa svojim podacima. Upravo zbog tih osobina, uporaba Cloud Computing usluga inherentno nosi sa sobom i neke specifične rizike: Kako se podaci subjekta obrađuju izvan njegovih poslovnih prostorija, postavlja se pitanje koji su tokovi kretanja podataka i tko im sve ima pristup. Nadalje, kako se u većini slučajeva infrastruktura dijeli s drugim pravnim i fizičkim osobama kao korisnicima jednakopravnima subjektu, postavlja se pitanje na koji način je osigurano kvalitetno razdvajanje i ograničavanje pristupa podacima pojedinih korisnika. Ukoliko navedena pitanja nisu kvalitetno riješena, subjekt se može izložiti povećanim rizicima narušavanja povjerljivosti i cjelovitosti svojih podataka od strane neovlaštenih korisnika te nepoštivanje mjerodavnih propisa u kontekstu zaštite osobnih podataka. Subjekt nema izravnu kontrolu nad procesima održavanja opreme, podržavajućom infrastrukturom, kontrolama fizičkog pristupa te kontrolama zaštite od prijetnji iz okoliša. Ukoliko navedene mjere nisu primjereno uspostavljene, subjekti se izlažu rizicima gubitka povjerljivosti, cjelovitosti i dostupnosti podataka, primjerice uslijed neovlaštenog pristupa ili elementarnih nepogoda. Subjekt najčešće ima ograničenu kontrolu nad komunikacijskim kanalima kojima pristupa svojim podacima. Ukoliko komunikacijski kanali nisu pouzdani i primjereno zaštićeni, subjekti se izlažu rizicima gubitka povjerljivosti, cjelovitosti i dostupnosti podataka, primjerice uslijed nedostupnosti kanala ili presretanja komunikacije od strane neovlaštenih osoba. Kako bi se navedeni rizici umanjili, preporučljivo je primjenjivati sve mjere i postupke opisane u poglavlju 4.1. Smjernica, ali i posebnu pozornost obratiti na primjenu sljedećeg: Steći uvjerenje da će pružatelj obavljati uslugu u skladu s mjerodavnim propisima, poglavito u kontekstu obveza subjekta vezanih za zaštitu podataka, primjerice putem neovisnih revizijskih izvješća, izravnim uvidom ili verifikacijom certifikata i potvrda koje pružatelj usluga posjeduje. Steći uvjerenje u primjerenost tehnološke i podržavajuće infrastrukture te sigurnosnih i okolišnih kontrola za što subjekt također može koristiti neovisna revizijska izvješća, izravni uvid ili verifikaciju certifikata i potvrda koje pružatelj usluga posjeduje. 16
17 4.3. Izdvajanje unutar iste grupe društava Česta je poslovna praksa izdvajanje procesa pravnim osobama koje su dio iste grupe društava. S obzirom da se i dalje radi o drugoj pravnoj osobi, provode se sve mjere i postupci opisani u poglavlju 4.1. Smjernica. Činjenica da se radi o društvima povezanima unutar iste grupe može se uzeti u obzir prilikom procjene rizika izdvajanja i analize primjerenosti pružatelja usluga. 5. Neprekinutost poslovanja i oporavak nakon katastrofe 5.1. Planiranje neprekinutosti poslovanja Vjerojatnost da prijetnje, usprkos primijenjenim zaštitnim mjerama i postupcima, ostvare štetne učinke i pri tome otežaju ili onemoguće normalno poslovanje uvijek postoji. Stoga je potrebno takve situacije predvidjeti te planirati kako u tom slučaju nastaviti poslovanje. Kako bi se umanjili rizici nemogućnosti nastavka poslovanja uslijed djelovanja štetnih događaja, preporučljivo je: Identificirati ključne poslovne procese i resurse potrebne za njihovo izvršavanje, što uključuje IT, kadrove, uredsku opremu, ugovore i licence i drugo. Analizirati kako prekid poslovnih procesa utječe na poslovanje u cjelini s obzirom na različite dužine vremena u kojima su procesi u prekidu te na taj način odrediti najveće prihvatljive dužine vremena prekinutosti procesa. Usvojiti i dokumentirati planove nastavka poslovanja u slučaju prekida poslovnih procesa, primjerice, ovisno o scenariju, kroz alternativne načine provedbe procesa, povrat podataka iz pričuvne pohrane, oporavak procesa na alternativnoj lokaciji i slično. Planovi bi trebali obuhvatiti sve kritične poslovne procese te sadržavati najmanje: o odgovornosti i uloge u provedbi, o kriterije koji utječu na provedbu plana, primjerice pojava štetnog scenarija ili prekid kritičnog procesa te o mjere i postupke kojima će se osigurati nastavak poslovanja. Osigurati da su planovi razumljivi i stalno dostupni osobama odgovornima za njihovu provedbu. Pri tome je preporučljivo predvidjeti i djelovanje štetnih scenarija koji bi mogli ugroziti dostupnost samih planova. Periodički testirati učinkovitost planova, primjerice kroz testiranje povrata podataka iz pričuvne pohrane, Table Top testove i slično. Planove korigirati sukladno rezultatima testova i periodički prilagođavati poslovnim potrebama i ciljevima. 17
18 Sukladno vlastitoj procjeni rizika, subjekti mogu dodatno razmotriti primjenu sljedećih mjera i postupaka: Uspostava pričuvnog računalnog centra na udaljenoj lokaciji koji svojim kapacitetima može osigurati nastavak poslovanja u slučaju nedostupnosti primarnog. Uspostava alternativne lokacije za oporavak poslovnih procesa u slučaju neupotrebljivosti primarne poslovne lokacije Pričuvna pohrana podataka Pričuvna pohrana podataka omogućava nastavak poslovanja u slučaju gubitka ili narušavanja cjelovitosti poslovnih podataka. Kako bi ti rizici umanjili preporučljivo je: Identificirati podatke koji će biti predmet izrade pričuvne pohrane, što obično podrazumijeva podatke koji su ocijenjeni kao bitni za poslovanje. Identificirati učestalost izrade pričuvnih kopija pojedinih podataka. Primjerice, kopije veoma bitnog skupa podataka, podložnog čestim promjenama u toku dana, bi se mogle izrađivati i više puta dnevno, a kopije manje bitnih, statičnih skupova podataka jednom tjedno ili mjesečno. Osigurati izradu pričuvnih kopija podataka sukladno planovima učestalosti. Zaštititi povjerljivost i cjelovitost pričuvnih kopija podataka sukladno njihovom značaju. U pravilu, pričuvnim kopijama podataka bi trebalo osigurati barem jednaku razinu zaštite kao i izvornicima u produkcijskim sustavima. Periodički testirati mogućnost povrata podataka iz pričuvnih kopija. Dokumentirati aktivnosti izrade i testiranja povrata pričuvnih kopija podataka putem automatski generiranih zapisa ili ručno. Periodički odlagati pričuvne kopije podataka na udaljenu lokaciju. Primjerenu udaljenost lokacije bi subjekti trebali odrediti temeljem vlastite procjene rizika, no preporučljivo je da se barem radi o izdvojenoj poslovnoj zgradi. 18
19 6. Fizička i okolišna sigurnost 6.1. Fizička sigurnost Fizička sigurnost podrazumijeva primjenu mjera i postupaka kako bi se kontrolirao fizički pristup resursima IS. Nepostojanjem primjerenih mjera i postupaka fizičke sigurnosti, subjekti se mogu izložiti rizicima otuđenja i oštećenja informatičke opreme te dodatno povećati rizike neovlaštenog pristupa osjetljivim podacima pohranjenima na informatičkoj opremi. Kako bi se umanjili rizici koji proizlaze iz nepostojanja primjerenih kontrola fizičke sigurnosti, preporučljivo je: Smjestiti značajnu informatičku opremu u posebne prostorije, što primjerice uključuje opremu poput poslužiteljskih računala, medija za pohranu podataka, konfiguracijskih terminala, aktivne mrežne opreme i slično. Ograničiti pravo pristupa prostorijama u kojima je smještena značajna informatička oprema na zaposlenike subjekta koji imaju za to opravdanu potrebu, primjerice stručno osoblje subjekta koje održava tu opremu. Osigurati da su osobe koje pristupaju prostorijama sa značajnom informatičkom opremom, a koje za to inače nemaju pravo pristupa, pod stalnim nadzorom ovlaštenih osoba. To se prije svega odnosi na vanjske suradnike koje pristupaju prostorijama zbog održavanja informatičke opreme. Osigurati kontrolu pristupa medijima za pohranu podataka koji su bez nadzora, primjerice zaključavanjem u ormar ili sigurnosni sef papirnatih dokumenata, CD, DVD i USB podatkovnih medija, pametnih kartica i slično. Sukladno vlastitoj procjeni rizika, subjekti mogu dodatno razmotriti primjenu sljedećih mjera i postupaka: Vođenje evidencije osoba koje pristupaju prostorijama sa značajnom informatičkom opremom, ručnim ili automatiziranim putem. Primjena dodatnih mjera za kontrolu pristupa prostorijama sa značajnom računalnom opremom, kao što su primjerice video nadzor, protuprovalni alarm, protuprovalna vrata i slično. 19
20 6.2. Okolišna sigurnost Okolišna sigurnost podrazumijeva primjenu mjera i postupaka u cilju zaštite resursa IS od djelovanja prirodnih pojava poput vatre, prodora vode, pojave vlage i slično. Djelovanje prirodnih pojava može biti pogubno po resurse IS i učiniti ih trajno nedostupnima ili neupotrebljivima. Kako bi se umanjili rizici nastali uslijed djelovanja prirodnih pojava, preporučljivo je: Ograničiti izloženost značajne informatičke opreme prirodnim pojavama. Pri tome je preporučljivo uzeti u obzir: o osigurati primjerenost prostorije u kojoj je smještena, u smislu da u njoj nisu prisutne sanitarije, da nije izložena vanjskim utjecajima poput kiše, vjetra i sunca te da nije izložena prodoru vode, primjerice zbog podrumskog položaja ili prisustva vodovodnih cijevi u zidovima. o ne skladištiti zapaljivi materijal čije prisustvo nije zahtijevano funkcionalnošću opreme u prostoriji, poput raznih papirnatih dokumenata. Osigurati primjerenu zaštitu od požara poslovnih prostora i prostorija sa značajnom informatičkom opremom, u vidu sustava za detekciju i gašenje požara na elektroničkoj opremi. Pri tome je osobito važno da su protupožarni sustavi redovito održavani i atestirani. Osigurati temperaturu prostorije u kojoj je smještena značajna informatička oprema primjerenu za funkcioniranje te opreme, primjerice putem uređaja za klimatizaciju. Sukladno vlastitoj procjeni rizika, subjekti mogu dodatno razmotriti primjenu sljedećih mjera i postupaka: Primjena dodatnih mjera okolišne sigurnosti poput senzora vlage, sustava za detekciju prodora vode i drugih. 20
21 7. Logičke kontrole pristupa 7.1. Logičke kontrole pristupa Logičke kontrole pristupa pripadaju skupu sigurnosnih mjera implementiranih na softverskoj razini informatičke opreme, poput operativnih sustava računala i mrežne opreme, baza podataka te aplikacija. Primjerice, mehanizam potvrde identiteta i autorizacije korisnika u poslovnim aplikacijama spada u mjere logičke sigurnosti. Neprimjerene logičke kontrole pristupa mogu izložiti subjekte različitim prijetnjama putem kojih je moguće ostvariti neovlašteni pristup IS, primjerice poput: hakerskih napada, malicioznog koda, zlonamjernog djelovanja zaposlenika i drugih. Kako bi se umanjili rizici proizašli iz neprimjerenih logičkih kontrola pristupa, preporučljivo je: Osigurati postojanje primjerenih logičkih kontrola pristupa operativnim sustavima računala i mrežne opreme, sistemskih i poslovnih aplikacija i servisa te drugim softverskim resursima IS putem kojih je omogućen pristup osjetljivim podacima te putem njih omogućiti pristup samo ovlaštenim osobama i to samo resursima za koje te osobe imaju odgovarajuća ovlaštenja pristupa. Osigurati logičke kontrole pristupa informatičkoj opremi koja je privremeno bez nadzora, primjerice obvezom zaključavanja korisničkog sučelja operativnog sustava računala prije napuštanja radnog mjesta od strane korisnika. 21
22 7.2. Korisnički računi i prava pristupa Dodjela, izmjena i ukidanje korisničkih računa i prava pristupa integralni je dio većine sustava za logičku kontrolu pristupa. Dodjelom računa korisniku se omogućuje pristup jednom sustavu, primjerice operativnom sustavu računala ili poslovnoj aplikaciji, dok se dodjelom prava pristupa ovlaštenim korisnicima omogućuje pristup pojedinačnim resursima unutar tog sustava, primjerice samo određenom skupu podataka unutar aplikacije. Neprimjereno upravljanje korisničkim računima i pravima pristupa može znatno umanjiti učinkovitost mjera logičke kontrole pristupa. Stoga je preporučljivo: Dodjelu, izmjenu i ukidanje korisničkih računa i prava pristupa provoditi na temelju dokumentirane poslovne potrebe. Zahtjev za dodjelu, izmjenu ili ukidanje trebao bi biti upućen od strane odgovorne osobe organizacijskoj jedinici kojoj pripada korisnik prema osobama odgovornima za odobravanje i provedbu operacija vezanih uz korisničke račune i prava pristupa. Zahtjev bi trebao biti dokumentiran, primjerice upućen putem elektroničke pošte ili za to predviđenog obrasca, te bi trebao sadržavati sve informacije bitne za provedbu operacija dodjele, izmjene ili ukidanja. Dodjelu korisničkih računa i prava pristupa provoditi temeljem minimalnih potrebnih prava za obavljanje radnih zadataka. Provoditi periodičku provjeru usklađenosti dodijeljenih korisničkih računa i prava pristupa s poslovnim potrebama. Svakom korisniku IS dodijeliti poseban korisnički račun te u najvećoj mogućoj mjeri izbjegavati korištenje grupnih korisničkih računa. Nazivi korisničkih računa u sustavima bi se u svakom trenutku morali moći identificirati sa stvarnim identitetom korisnika Korisnički računi s pravima povlaštenog pristupa Korisnički računi s povlaštenim pravima pristupa su oni računi čija prava pristupa omogućavaju izmjenu sistemskih postavki IT. Prava povlaštenog pristupa trebali bi imati samo oni korisnici čiji radni zadaci to opravdavaju, primjerice stručno osoblje koje održava IT. Zloupotrebom računa s pravima povlaštenog pristupa povećava se rizik od neovlaštenog pristupa i izmjene konfiguracija sustava, kroz primjerice djelovanje malicioznog koda ili zlonamjernih osoba. Kako bi se umanjili rizici proizašli iz zlouporabe povlaštenih prava pristupa preporučljivo je provoditi mjere i postupke opisane u poglavlju 7.2. smjernica i za korisničke račune s pravima povlaštenog pristupa. 22
23 7.4. Upravljanje lozinkama Lozinke u IS predstavljaju mehanizam potvrde korisničkog identiteta te su dio sustava logičkih kontrola pristupa. Lozinka se najčešće pojavljuje u obliku alfanumeričkog izraza ili identifikacijskog broja kojeg korisnik mora unijeti prilikom prijave u sustav kako bi potvrdio svoj identitet. Neprimjereno upravljanje lozinkama može znatno umanjiti učinkovitost mjera logičke kontrole pristupa. Stoga je preporučljivo: Identificirati i primijeniti minimalne standarde svojstava lozinki za pristup pojedinim resursima IS sukladno vlastitoj procjeni rizika odnosno važnosti resursa kojima se pristupa. Neka svojstva lozinki mogu biti: o dužina, o rok trajanja, o složenost, o dopušteni broj unosa lozinke prije zaključavanja korisničkog računa i druga. Čuvati tajnost lozinke. Lozinku bi trebala znati isključivo osoba koja njome potvrđuje svoj identitet. Lozinke pamtiti, nikad ih zapisivati na papir ili u elektroničke datoteke. Izmijeniti lozinke na resursima IS koje su inicijalno postavljene od administratora sustava ili proizvođača opreme. Osigurati da su lozinke u sustavima pohranjene u nečitljivom obliku. Kad korisnik unese lozinku u sustav, mehanizam potvrde identiteta uspoređuje unesenu lozinku s onom pohranjenom u sustavu. Takva lozinka bi trebala biti pohranjena u nečitljivom obliku, primjerice kao ireverzibilni digitalni sažetak. Pri definiranju lozinki izbjegavati korištenje riječi iz rječnika, osobne podatke ili druge fraze koje se mogu lako pogoditi ili povezati s korisnikom računa. 23
24 8. Sigurnost računalnih mreža 8.1. Sigurnost računalnih mreža Računalne mreže služe za međusobno povezivanje računala i drugih uređaja te predstavljaju komunikacijski kanal za razmjenu podataka elektroničkim putem. Računalne mreže koje služe za povezivanje računala i uređaja subjekta te im je pristup izvana ograničen nazivaju se privatne ili lokalne računalne mreže. U većini slučajeva lokalnim mrežama se vrši najveći dio prijenosa osjetljivih poslovnih podataka te je njima potrebno pružiti i najveću pozornost u kontekstu zaštite i sigurnosti. Neprimjereno zaštićene računalne mreže izložene su rizicima neovlaštenog pristupa i zlouporabe što može dovesti do narušavanja povjerljivosti, cjelovitosti i dostupnosti važnih poslovnih informacija. Kako bi se umanjili rizici proizašli iz neprimjerene zaštite računalnih mreža preporučljivo je: Ograničiti pristup konfiguracijskim sučeljima mrežnih uređaja, poput preklopnika i usmjerivača, na isključivo za to ovlaštene osobe, Primjereno zaštititi računala i poslužiteljske servise subjekta kojima je omogućen pristup putem javnih mreža, primjerice zaštititi poslužitelj internetske stranice primjenom vatrozida ili sustava za detekciju neovlaštenog pristupa. Računala i poslužiteljske servise kojima je omogućen pristup putem javnih mreža izdvojiti u mrežni segment odvojen od lokalne računalne mreže. Primjer takvog sustava je poslužitelj internetske stranice. Takav poslužitelj je izložen zlonamjernom djelovanju osoba i malicioznog koda putem javnih mreža. U slučaju da dođe do kompromitacije poslužitelja u takvim scenarijima, njegovo izdvajanje u poseban segment otežalo bi daljnji neovlašteni pristup lokalnoj mreži. Primjereno zaštititi prijenos osjetljivih podataka putem javnih mreža, primjerice kriptografskom zaštitom SSL/TLS komunikacijskog protokola. Koristiti naprednu zaštitu bežičnih mreža, poput WPA2 protokola Udaljeni pristup Udaljeni pristup podrazumijeva pristup lokalnoj mreži i korištenje IS subjekta s lokacije smještene izvan njegovih poslovnih prostora. Za dodjelu prava udaljenog pristupa vrijede iste preporuke kao i u poglavlju 7.2. Smjernica. Nadalje, u svrhu primjerene zaštite računalnih mreža pri udaljenom pristupu preporučuje se: Primjereno zaštititi podatke u prijenosu između udaljene lokacije i točke pristupa računalnoj mreži subjekta, primjerice korištenjem protokola SSL ili IPSEC. Osigurati izradu operativnih i sistemskih zapisa o aktivnostima korisnika udaljenog pristupa. 24
25 9. Sigurnost prijenosnih uređaja i medija za pohranu podataka 9.1. Sigurnost prijenosnih uređaja i medija za pohranu podataka Prijenosni uređaji i mediji za pohranu podataka, poput prijenosnih računala, pametnih telefona i CD/DVD/USB medija za pohranu podataka inherentno su izloženi povećanim rizicima otuđenja i gubitka zbog svoje prenosivosti, a time i neovlaštenom pristupu osjetljivim podacima ukoliko su takvi na njima pohranjeni. Kako bi se umanjili rizici koji proizlaze iz gubitka ili otuđenja opreme preporučuje se: Koristiti tehnike kriptiranja povjerljivih podataka pohranjenih na prijenosnim uređajima i medijima za pohranu. Zaštititi pristup sučeljima operativnih sustava prijenosnih računala i pametnih telefona metodama potvrde identiteta korisnika, primjerice putem lozinke ili skeniranjem otiska prsta. Omogućiti udaljeno brisanje podataka pohranjenih na pametnim telefonima u slučajevima njihovog gubitka ili otuđenja Otpis medija za pohranu podataka Prilikom otpisa medija za pohranu podataka, primjerice tvrdih diskova unutar računala, USB medija ili magnetnih traka, potrebno je voditi računa o podacima koji su na njima pohranjeni. Prije promjene vlasnika opreme ili njezinog odlaganja na elektronički otpad potrebno je osigurati da su podaci obrisani na siguran način, primjerice upisivanjem novih podataka preko starih ili fizičkim oštećivanjem medija, kako bi se osiguralo da je neovlašteni pristup povjerljivim podacima onemogućen. 10. Upravljanje incidentima Incidenti u kontekstu IS mogu se definirati kao nepredviđeni događaji i situacije koje mogu narušiti funkcionalnost i sigurnost IS. Primjereni proces upravljanja incidentima omogućuje pravovremenu prijavu, rješavanje i analizu incidenata u svrhu buduće prevencije, kako bi se minimizirao utjecaj incidenata na IS. U cilju primjerenog upravljanja incidentima, preporučljivo je: Omogućiti korisnicima IS pravovremenu prijavu uočenih incidenata. Odrediti obveze i odgovornosti u zaprimanju, daljnjoj eskalaciji i rješavanju incidenata. Rješavati uočene incidente i primjenjivati mjere u prevenciji pojave incidenata u budućnosti. 25
Opća politika zaštite osobnih podataka u Elektrodi Zagreb d.d Verzija: 1.0
u Elektrodi Zagreb d.d. 20.5.2018. Verzija: 1.0 Sadržaj 1 UVOD... 2 1.1 SVRHA DOKUMENTA... 2 1.2 PODRUČJE PRIMJENE... 2 2 OPĆA POLITIKA ZAŠTITE OSOBNIH PODATAKA... 2 3 TEMELJNA NAČELA... 2 4 SUSTAV ZAŠTITE
ВишеOpći uvjeti korištenja servisa e-Račun za državu povezivanjem_obveznici javne nabave_052019_konačna verzija
Opći uvjeti korištenja servisa e-račun za državu povezivanjem web servisom za obveznike javne nabave 1. Uvod i značenje pojmova 1.1. Ovim Općim uvjetima korištenja servisa e-račun za državu (u daljnjem
ВишеMicrosoft Word - privitak prijedloga odluke
Informatički sustav za prikupljanje, simulaciju i prikaz podataka o cijenama javnih komunikacijskih usluga (dalje: Sustav e-tarife) Zagreb, HRVATSKA AGENCIJA ZA POŠTU I ELEKTRONIČKE KOMUNIKACIJE Roberta
ВишеSmjernice o mjerama za ograničavanje procikličnosti iznosa nadoknade za središnje druge ugovorne strane prema EMIR-u 15/04/2019 ESMA HR
Smjernice o mjerama za ograničavanje procikličnosti iznosa nadoknade za središnje druge ugovorne strane prema EMIR-u 15/04/2019 ESMA70-151-1496 HR Sadržaj I. Područje primjene... 2 II. Zakonodavni referentni
ВишеGDPR Uvodna razmatranja Ljubimko Šimičić, dipl.ing.el. Stariji konzultant (50+)
GDPR Uvodna razmatranja Ljubimko Šimičić, dipl.ing.el. Stariji konzultant (50+) 2 Razvoj digitalnog poslovanja Povezivanje digitalnog i stvarnog svijeta Jeftiniji načini povezivanja Pokretačke tehnologije
ВишеDJEČJI VRTIĆ IVANIĆ GRAD
REPUBLIKA HRVATSKA ISTARSKA ŽUPANIJA GRAD LABIN Gradonačelnik Klasa: 008-01/18-01/4 Urbroj: 2144/01-01-18-3 Labin, 17. rujna 2018. Na temelju Zakona o provedbi Opće uredbe o zaštiti osobnih podataka (NN
ВишеAgencija za zaštitu tržišnog natjecanja na temelju Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja o zaštiti pojedinaca u vezi
Agencija za zaštitu tržišnog natjecanja na temelju Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju
ВишеUVJETI KORIŠTENJA INTERNETSKE STRANICE Korisnik posjetom web stranicama potvrđuje da je pročitao i da u cijelosti prihvaća o
UVJETI KORIŠTENJA INTERNETSKE STRANICE WWW.TELE2.HR Korisnik posjetom www.tele2.hr web stranicama potvrđuje da je pročitao i da u cijelosti prihvaća ove Uvjete korištenja web stranice www.tele2.hr (dalje
ВишеSVEUČILIŠTE U ZAGREBU SVEUČILIŠNI RAČUNSKI CENTAR UVJETI KORIŠTENJA USLUGE EDUADRESAR Zagreb, kolovoz 2013.
SVEUČILIŠTE U ZAGREBU SVEUČILIŠNI RAČUNSKI CENTAR UVJETI KORIŠTENJA USLUGE EDUADRESAR Zagreb, kolovoz 2013. S A D R Ž A J 1. TEMELJNI POJMOVI... 4 2. OPSEG I NAMJENA USLUGE... 4 3. PRAVA I OBVEZE SRCA...
ВишеPravilnik o načinu i uvjetima sprječavanja i suzbijanja zlouporaba i prijevara u pružanju usluga elektroničke pošte
HRVATSKA AGENCIJA ZA POŠTU I ELEKTRONIČKE KOMUNIKACIJE Temeljem članka 12. stavka 1. i članka 107. stavka 12. Zakona o elektroničkim komunikacijama (»Narodne novine«br. 73/08), Vijeće Hrvatske agencije
ВишеREPUBLIKA HRVATSKA DRŽAVNI URED ZA REVIZIJU Područni ured Varaždin IZVJEŠĆE O OBAVLJENOJ PROVJERI PROVEDBE DANIH PREPORUKA ZA REVIZIJU UČINKOVITOSTI R
REPUBLIKA HRVATSKA DRŽAVNI URED ZA REVIZIJU Područni ured Varaždin IZVJEŠĆE O OBAVLJENOJ PROVJERI PROVEDBE DANIH PREPORUKA ZA REVIZIJU UČINKOVITOSTI RADA NADZORNIH ODBORA TRGOVAČKIH DRUŠTAVA U VLASNIŠTVU/SUVLASNIŠTVU
ВишеAnnex III GA Mono 2016
PRILOG III. FINANCIJSKA I UGOVORNA PRAVILA I. PRAVILA KOJA SE PRIMJENJUJU NA PRORAČUNSKE KATEGORIJE NA TEMELJU JEDINIČNIH DOPRINOSA I.1. Uvjeti prihvatljivosti jediničnih doprinosa Ako se bespovratna sredstva
ВишеMicrosoft Word - 3. KODEKS SAVJETOVANJA SA ZAINTERESIRANOM JAVNOŠĆU U POSTUPCIMA DONOŠENJA ZAKONA, DRUGIH PROPISA I AKATA
VLADA REPUBLIKE HRVATSKE 3402 Na temelju članka 30. stavka 3. Zakona o Vladi Republike Hrvatske (»Narodne novine«, br. 101/98, 15/2000, 117/2001, 199/2003, 30/2004 i 77/2009), Vlada Republike Hrvatske
ВишеPRAVILNIK O ZAŠTITI OSOBNIH PODATAKA
Temeljem čl. 3. i čl. 7. Zakona o zaštiti osobnih podataka (NN 103/03, 118/06, 41/08, 130/11, 106/12), čl. 4. i čl. 5. Zakona o radu (NN 93/14, 127/17) i čl. 18. Statuta Narodne knjižnice i čitaonice Murter,
ВишеPodružnica za građenje
Dodatak A OPIS USLUGA DODATAK A-1 PROJEKTNI ZADATAK Revizija scenarija i algoritama Regionalnih centara za nadzor i upravljanje prometom na autocestama Zagreb, srpanj 2019. 1. Uvod Sve veći porast prometa
ВишеSAMPLE CONTRACT FOR CONSULTING SERVICES
OPIS OBVEZA ZA PRUŽANJE USLUGA POJEDINAČNOG SAVJETNIKA ZA PODRŠKU PROVEDBI HOMOGENIZACIJE KATASTARSKIH PLANOVA (DGU SLUŽBA ZA ODRŽAVANJE KATASTARSKIH OPERATA I ZIS) OPIS OBVEZA ZA PRUŽANJE USLUGA POJEDINAČNOG
ВишеU proračunu Europske unije za Hrvatsku je ukupno namijenjeno 3,568 milijardi Eura za prve dvije godine članstva
Copernicus Općenito o programu: Program Copernicus, koji je u prijašnjem programskom razdoblju bio poznat pod nazivom GMES (Globalni nadzor za zaštitu okoliša i sigurnost), europski je program namijenjen
ВишеULOGA KONTROLE KVALITETE U STVARANJU INFRASTRUKTURE PROSTORNIH PODATAKA Vladimir Baričević, dipl.ing.geod. Dragan Divjak, dipl.ing.geod.
ULOGA KONTROLE KVALITETE U STVARANJU INFRASTRUKTURE PROSTORNIH PODATAKA Vladimir Baričević, dipl.ing.geod. Dragan Divjak, dipl.ing.geod. Sadržaj NIPP STANDARDI KONCEPT KONTROLE KVALITETE PROCES KONTROLE
ВишеREPUBLIKA HRVATSKA DRŽAVNI URED ZA REVIZIJU Područni ured Osijek IZVJEŠĆE O OBAVLJENOJ PROVJERI PROVEDBE DANIH PREPORUKA ZA REVIZIJU UČINKOVITOSTI JAV
REPUBLIKA HRVATSKA DRŽAVNI URED ZA REVIZIJU Područni ured Osijek IZVJEŠĆE O OBAVLJENOJ PROVJERI PROVEDBE DANIH PREPORUKA ZA REVIZIJU UČINKOVITOSTI JAVNE NABAVE U DRUŠTVU HEP-PLIN D.O.O., OSIJEK Osijek,
ВишеFINAL-Pravilnik o sustavu osiguravanja kvalitete - SENAT lektorirano
Na temelju članka 21. Statuta Sveučilišta u Zagrebu, a u skladu s člankom 18. stavcima 5. i 6. Zakona o osiguravanju kvalitete u znanosti i visokom obrazovanju (NN 45/09) Senat Sveučilišta u Zagrebu na
ВишеMicrosoft Word - ToR_Opis obveza_C2 6_Pula.docx
OPIS OBVEZA ZA PRUŽANJE USLUGA POJEDINAČNOG SAVJETNIKA U FUNKCIJI STRUČNOG SURADNIKA ZA GEODETSKE POSLOVE NA LOKACIJI ZAJEDNIČKOG INFORMACIJSKOG SUSTAVA (PUK PULA) 1 1. OPĆE INFORMACIJE Projekt implementacije
ВишеNa temelju Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodno
Na temelju Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage
ВишеMicrosoft Word - Maran_transparency_2012
Revizorska tvrtka MARAN d.o.o. Josipa Jovića 51 21000 Split Tel/fax:021/374-294 OIB:67202619578 IZVJEŠĆE O TRANSPARENTNOSTI ZA 2012. GODINU Split, ožujak 2013. godine SADRŽAJ Uvod 1 Pravno ustrojstvo,
ВишеPPT
Sve što trebate znati o eračunima u javnoj nabavi U našem priručniku smo ukratko pojasnili što nam je donio Zakon o elektroničkom izdavanju računa u javnoj nabavi. ZAKONSKA REGULATIVA Stupanjem na snagu
ВишеSB TOURS
IZVJEŠĆE O TRANSPARENTNOSTI ZA 2013. GODINU Split, ožujak 2014. SJEDIŠTE SPLIT: Mediteranskih igara 1 (Barake PIS-a), tel./fax. (021) 384-448 Ispostava Makarska: Kralja Petra Krešimira IV. 12. Tel. (021)
ВишеGTM plan MS&HT coop
Poslovni uzlet grada Novigrada 6. studenoga 2015. Uz Cloud usluge poslujte uspješno i kada niste u uredu Dvadese Krešimir Jusup Savjetnik za prodaju ICT usluga poslovnim korisnicima NAŠ DANAŠNJI CILJ?
ВишеMicrosoft Word - TehmedGDPR.docx
Izjava o obradi i zaštiti osobnih podataka (GDPR-friendly) Opće odredbe U postupku obrade osobnih podataka i zaštite pojedinaca u pogledu obrade osobnih podataka i pravila povezana sa slobodnim kretanjem
ВишеSTUDIJA SLUČAJA: Konsolidacija informatičkog sustava Grada Raba siječanj, Informacijske tehnologije
STUDIJA SLUČAJA: Konsolidacija informatičkog sustava Grada Raba siječanj, 2017. Informacijske tehnologije Studija slučaja (Case study) Informatički sustav Grada Raba sastoji se od 1 fizičkog poslužitelja
ВишеNN indd
Članak 23. Tijela javnog sektoru dužna su kontinuirano unositi podatke o javnim registrima, a naročito prije uspostave novog registra te promjene registra. Unos podataka u Metaregistar Članak 24. (1) Tijela
ВишеSustav za informatizaciju poslovanja ustanove (SIPU)
Sustav za informatizaciju poslovanja ustanove (SIPU) IMPRESUM SADRŽAJ Nakladnik: Hrvatska akademska i istraživačka mreža CARNET Idejno, sadržajno i grafičko oblikovanje i priprema: Tridea d.o.o., Demode
ВишеThoriumSoftware d.o.o. Izvrsni inženjeri koriste izvrstan alat! Mobile: +385 (0) Kontakt: Dario Ilija Rendulić
PRAVILNIK O ODRŽAVANJU GRAĐEVINA (NN 122/14, 25.10.2014.) 1 1 0 OPĆE ODREDBE... 3 Članak 1.... 3 Članak 2.... 3 Članak 3.... 4 Članak 4.... 4 Članak 5.... 4 ODRŽAVANJE GRAĐEVINE... 5 Uvjeti za održavanje
ВишеNIAS Projekt e-građani KORISNIČKA UPUTA za aplikaciju NIAS Verzija 1.1 Zagreb, srpanj 2014.
Projekt e-građani KORISNIČKA UPUTA za aplikaciju Verzija 1.1 Zagreb, srpanj 2014. Naslov: Opis: Korisnička uputa za aplikaciju Dokument sadrži upute korisnicima aplikacije u sustavu e-građani Ključne riječi:
ВишеMicrosoft Word - Opis obveza za pružanje usluga pojedinačnih savjetnika na poslovima prijepisa i verifikacije_FINAL.doc
PROJEKT IMPLEMENTACIJE INTEGRIRANOG SUSTAVA ZEMLJIŠNE ADMINISTRACIJE (IBRD Zajam br. 8086-HR) OPIS OBVEZA ZA PRUŽANJE USLUGA POJEDINAČNIH SAVJETNIKA NA POSLOVIMA PRIJEPISA I VERIFIKACIJE ZEMLJIŠNIH KNJIGA
ВишеCARNET: Upute za korisnike Sadržaj uputa 1. Što je CARNET? Tko ima pravo na CARNET uslugu? CARNET APN Uvjeti korištenja usluge
CARNET: Upute za korisnike Sadržaj uputa 1. Što je CARNET?... 2 2. Tko ima pravo na CARNET uslugu?... 2 3. CARNET APN... 3 4. Uvjeti korištenja usluge CARNET... 5 1. Što je CARNET? CARNET usluga omogućava
ВишеMicrosoft Word - RMD - pravila korporativnog upravljanja - HUPZ.docx
RAIFFEISEN DRUŠTVO ZA UPRAVLJANJE OBVEZNIM I DOBROVOLJNIM MIROVINSKIM FONDOVIMA d.d., Zagreb PRAVILA KORPORATIVNOG UPRAVLJANJA I POSTUPANJA PREMA IZDAVATELJU Nadzorni odbor Raiffeisen društva za upravljanje
ВишеPrezentator: Nataša Dvoršak Umag, 20.listopad 2006
IIS BURIN BURIN HD - HelpDesk Nenad Lenđel, projektant programer IS-a HROUG 2007, Rovinj, 19. Listopada 2007.g. ULJANIK IRI d.o.o. SADRŽAJ Uvod Ciljevi izgradnje HelpDeska Funkcijske cjeline HelpDesk integracija
ВишеOBAVIJEST O PRVOJ IZMJENI DOKUMENTACIJE Naziv Naručitelja: GENERA d.d., Kalinovica, Svetonedeljska cesta 2, Rakov Potok Naziv projekta: Izgradn
OBAVIJEST O PRVOJ IZMJENI DOKUMENTACIJE Naziv Naručitelja: GENERA d.d., Kalinovica, Svetonedeljska cesta 2, 10 436 Rakov Potok Naziv projekta: Izgradnja fotonaponske elektrane GENERA za potrebe proizvodnog
ВишеREmira' d.o.o. za reviziju ZAGREB, Mrazovićeva 9, Tel/Fax: 01/ IZVJEŠĆE O TRANSPARENTNOSTI za godinu Zagreb, 28. ožujka 2014.g.
REmira' d.o.o. za reviziju ZAGREB, Mrazovićeva 9, Tel/Fax: 01/48-16-856 IZVJEŠĆE O TRANSPARENTNOSTI za 201. godinu Zagreb, 28. ožujka 2014.g. SADRŽAJ Stranica 1. Pravno-ustrojbeni oblik i struktura vlasništva
ВишеIzmjena natječajne dokumentacije br. 3 Ograničenog poziva na dostavu projektnih prijedloga Izgradnja kapaciteta za programsko financiranje visokih uči
Izmjena natječajne dokumentacije br. 3 Ograničenog poziva na dostavu projektnih prijedloga Izgradnja kapaciteta za programsko financiranje visokih učilišta BROJ POZIVA: HR.3.1.17 U Pozivu na dostavu projektnih
ВишеNa osnovu člana 7. stav 4. Zakona o informacionoj bezbednosti ( Službeni glasnik RS, broj 6/16) i člana 42. stav 1. Zakona o Vladi ( Službeni glasnik
Na osnovu člana 7. stav 4. Zakona o informacionoj bezbednosti ( Službeni glasnik RS, broj 6/16) i člana 42. stav 1. Zakona o Vladi ( Službeni glasnik RS, br. 55/05, 71/05 ispravka, 101/07, 65/08, 16/11,
ВишеNa temelju članka 4. stavka 3. Zakona o službenicima i namještenicima u lokalnoj i područnoj (regionalnoj) samoupravi ("Narodne novine" broj 86/08, 61
Na temelju članka 4. stavka 3. Zakona o službenicima i namještenicima u lokalnoj i područnoj (regionalnoj) samoupravi ("Narodne novine" broj 86/08, 61/11 i 4/18) Gradonačelnik Grada Rijeke, na prijedlog
ВишеPuTTY CERT.hr-PUBDOC
PuTTY CERT.hr-PUBDOC-2018-12-371 Sadržaj 1 UVOD... 3 2 INSTALACIJA ALATA PUTTY... 4 3 KORIŠTENJE ALATA PUTTY... 7 3.1 POVEZIVANJE S UDALJENIM RAČUNALOM... 7 3.2 POHRANA PROFILA KORISNIČKIH SJEDNICA...
ВишеIzvješće o godišnjoj računovodstvenoj dokumentaciji Izvršne agencije za inovacije i mreže za financijsku godinu s odgovorom Agencije
1.12.2016. HR Službeni list Europske unije C 449/219 IZVJEŠĆE o godišnjoj računovodstvenoj dokumentaciji Izvršne agencije za inovacije i mreže za financijsku godinu 2015. s odgovorom Agencije (2016/C 449/41)
ВишеLučka uprava Ploče 1. IZMJENE GODIŠNJEG PROGRAMA RADA I RAZVOJA LUKE SA FINANCIJSKIM PLANOM LUČKE UPRAVE PLOČE ZA GODINU Listopad
Lučka uprava Ploče 1. IZMJENE GODIŠNJEG PROGRAMA RADA I RAZVOJA LUKE SA FINANCIJSKIM PLANOM LUČKE UPRAVE PLOČE ZA 2017. GODINU Listopad 2017 1 OBRAZLOŽENJE: Na svojoj 127. sjednici održanoj 28.3.2017.
ВишеGodišnje izvješće
Izvješće o provedbi Zakona o pravu na pristup informacijama za 2018. godinu OPĆI PODACI U TIJELU JAVNE VLASTI Hrvatska poljoprivredna agencija Poljana Križevačka 185, 48260 Križevci Broj telefona: (+385
ВишеBIOTER d.o.o., BIOTER KONTROLA Križevačka ulica 30, HR Koprivnica Pravila za uporabu certifikacijskih simbola PR-02/7 Izdanje 2. Pravila su vlas
Križevačka ulica 30, HR-48000 Koprivnica Pravila za uporabu certifikacijskih simbola PR-02/7 Izdanje 2. Pravila su vlasništvo tvrtke BIOTERd.o.o. Zabranjeno je svako neovlašteno umnožavanje bez odobrenja
ВишеREmira' d.o.o. za reviziju ZAGREB, Mrazovićeva 9, Tel/Fax: 01/ IZVJEŠĆE O TRANSPARENTNOSTI za godinu Zagreb, 28
REmira' d.o.o. za reviziju ZAGREB, Mrazovićeva 9, Tel/Fax: 0/48-6-856 Email: remira@remira.hr IZVJEŠĆE O TRANSPARENTNOSTI za 206. godinu Zagreb, 28. ožujka 207.g. SADRŽAJ Stranica. Pravno-ustrojbeni oblik
ВишеCEBS Meeting Document template
Joint Committee JC 2014 43 27 May 2014 Smjernice za rješavanje pritužbi/prigovora za sektore vrijednosnih papira (ESMA) i bankarstva (EBA) 1 Sadržaj Smjernice za rješavanje pritužbi/prigovora za sektore
ВишеGTS obrt za savjetovanje, trgovinu i sport, vl. Tihomir Grbac HR Sveta Nedelja, Ferde Livadića 15 Tel/Fax: ,
REKLAMACIJE KUPACA - UPUTE ZA RAD 1. Instalacija programa na računalo/server Vidi Programska podrška-upute. 2. Osnovne informacije o korištenju 2.1. Osnovne informacije o korištenju Podaci koji se biraju
ВишеUpravljanje rizicima od katastrofa
Državna uprava za zaštitu i spašavanje Sektor za civilnu zaštitu Upravljanje rizicima od katastrofa Preduvjet održivog razvoja Strategija prilagodbe klimatskim promjenama - Upravljanje rizicima 22. veljače
ВишеThoriumSoftware d.o.o. Izvrsni inženjeri koriste izvrstan alat! Mobile: +385 (0) Kontakt: Dario Ilija Rendulić
PRAVILNIK O KONTROLI ENERGETSKOG CERTIFIKATA ZGRADE I IZVJEŠĆA O REDOVITOM PREGLEDU SUSTAVA GRIJANJA I SUSTAVA HLAĐENJA ILI KLIMATIZACIJE U ZGRADI (NN 73/15, 09.07.2015) 1/13 I. OPĆE ODREDBE... 4 Članak
ВишеMicrosoft Word - Strateski plan Drzavnog zavoda za statistiku za razdoblje docx
STRATEŠKI PLAN DRŽAVNOG ZAVODA ZA STATISTIKU ZA RAZDOBLJE 2016. 2018. Zagreb, 31. ožujka 2015. STRATEŠKI PLAN DRŽAVNOG ZAVODA ZA STATISTIKU za razdoblje 2016. 2018. Državni zavod za statistiku (u nastavku
Вишеdozvola_operator_oieiek_hr
REGULATORNA KOMISIJA ZA ENERGIJU U FEDERACIJI BOSNE I HERCEGOVINE - F E R K РЕГУЛАТОРНА КОМИСИЈА ЗА ЕНЕРГИЈУ У ФЕДЕРАЦИЈИ БОСНЕ И XЕРЦЕГОВИНЕ Ф Е Р К DOZVOLA ZA RAD OPERATORU ZA OIEiEK NAZIV IMATELJA DOZVOLE:
ВишеAM_Ple_LegReport
6.9.2018 A8-0245/170 Amandman 170 Uvodna izjava 3. (3) Zbog brzog tehnološkog razvoja i dalje se mijenja način stvaranja, proizvodnje, distribucije i iskorištavanja djela i drugih sadržaja. Javljaju se
ВишеPowerPoint Presentation
Kompetencijski profil nastavnika u visokom obrazovanju Prof. dr. sc. Aleksandra Čižmešija Sveučilište u Zagrebu Prirodoslovno-matematički fakultet cizmesij@math.hr Educa T projekt Kompetencijski profil
ВишеVijeće Europske unije Bruxelles, 27. svibnja (OR. en) 9664/19 NAPOMENA Od: Za: Predsjedništvo Vijeće Br. preth. dok.: 9296/19 Br. dok. Kom.: Pre
Vijeće Europske unije Bruxelles, 27. svibnja 2019. (OR. en) 9664/19 NAPOMENA Od: Za: Predsjedništvo Vijeće Br. preth. dok.: 9296/19 Br. dok. Kom.: Predmet: 6110/19 ADD1 JAI 575 COPEN 233 CYBER 180 DROIPEN
ВишеREPUBLIKA HRVATSKA DRŽAVNI URED ZA REVIZIJU Područni ured Vukovar IZVJEŠĆE O OBAVLJENOJ PROVJERI PROVEDBE DANIH PREPORUKA ZA REVIZIJU UČINKOVITOSTI JA
REPUBLIKA HRVATSKA DRŽAVNI URED ZA REVIZIJU Područni ured Vukovar IZVJEŠĆE O OBAVLJENOJ PROVJERI PROVEDBE DANIH PREPORUKA ZA REVIZIJU UČINKOVITOSTI JAVNE NABAVE U DRUŠTVU LUKA-VUKOVAR D.O.O. Vinkovci,
ВишеKorporativna_prezentacija
PROFIL TVRTKE INOVATIVNA PLAĆANJA NA GLOBALNOJ RAZINI June 2017 Mercury Processing Services International je pružatelj platnih rješenja, posvećen razvoju i upravljanju platnim poslovanjem na međunarodnoj
ВишеRadionice, webinari i MOOC-ovi u sklopu projekta E-škole Radionica "E-učitelj suvremena nastava uz pomoć tehnologije" Trajanje: 5 sati Polaznici radio
Radionice, webinari i MOOC-ovi u sklopu projekta E-škole Radionica "E-učitelj suvremena nastava uz pomoć tehnologije" Polaznici radionice: Nastavnici predmeta matematika, fizika, biologija i kemija, stručni
ВишеAnaliza stanja sustava civilne zaštite na području općine Ljubešćica za godinu
Smjernice za organizaciju i razvoj sustava civilne zaštite za razdoblje 2017. 2020. UVOD Zakonom o sustavu civilne zaštite ( Narodne novine broj 82/2015.) određeno je da sustav civilne zaštite obuhvaća
ВишеP/ Na temelju članka 23. Statuta Hrvatske energetske regulatome agencije, klasa: /13-01/05, urbroj: /13-14, od 16. listopada i
P/115144 Na temelju članka 23. Statuta Hrvatske energetske regulatome agencije, klasa: 011-01/13-01/05, urbroj: 371-01/13-14, od 16. listopada 2013. i članka 22. stavka 1. Pravilnika o unutarnjoj reviziji
ВишеPowerPoint Presentation
GRAD ZAGREB U pametnom gradu investicije u ljudski i društveni kapital, tradicionalnu i modernu komunikacijsku infrastrukturu pridonose održivom gospodarskom rastu i visokoj kvaliteti života, sa mudrim
ВишеGodišnje izvješće
Izvješće o provedbi Zakona o pravu na pristup informacijama za 217. godinu OPĆI PODACI U TIJELU JAVNE VLASTI Institut za jadranske kulture i melioraciju krša Put Duilova 11 (p.p. 288), 21 Split Broj telefona:
ВишеMicrosoft Word - program-rada.docx
PROGRAM RADA I FINANCIJSKI PLAN GLAS-A ZA 2018. GODINU PROGRAM RADA GLAS-A ZA 2018. GODINU ORGANIZACIJSKI USTROJ Uz kontinuiranu koordinaciju i suradnju Središnjih tijela GLAS-a, cilj Stranke je osnivanje
ВишеPROVEDBENA UREDBA KOMISIJE (EU) 2017/ оd prosinca o utvrđivanju administrativnih i znanstvenih zahtjeva koji se od
30.12.2017. L 351/55 PROVEDBENA UREDBA KOMISIJE (EU) 2017/2468 оd 20. prosinca 2017. o utvrđivanju administrativnih i znanstvenih zahtjeva koji se odnose na tradicionalnu hranu iz trećih zemalja u skladu
ВишеGodišnje izvješće
Izvješće o provedbi Zakona o pravu na pristup informacijama za 216. godinu OPĆI PODACI U TIJELU JAVNE VLASTI Turistička zajednica Općine Brela Trg Alojzija Stepinca b.b., 21322 Brela Broj telefona: (+385
ВишеStručno povjerenstvo za pripremu
JEDNOSTAVNA NABAVA Evidencijski broj: EVB 079-19 POZIV NA DOSTAVU PONUDA u postupku jednostavne nabave usluga penetracijskog testiranja Zagreb, kolovoz 2019. I. OPĆI PODACI 1. PODACI O NARUČITELJU: Naziv:
ВишеMicrosoft PowerPoint - Inoviraj_Dan prozora_2016.ppt [Način kompatibilnosti]
Projekti i sredstva iz EU fondova (unaprjeđenje proizvodnje i energetski učinkoviti i održivi proizvodi) Zagreb, Hotel Antunović,23.03.2016. Međunarodna konferencija DAN PROZORA 2016 Strateški i programski
ВишеREPUBLIKA HRVATSKA DRŽAVNI URED ZA REVIZIJU Područni ured Zadar IZVJEŠĆE O OBAVLJENOJ PROVJERI PROVEDBE DANIH PREPORUKA ZA REVIZIJU UČINKOVITOSTI JAVN
REPUBLIKA HRVATSKA DRŽAVNI URED ZA REVIZIJU Područni ured Zadar IZVJEŠĆE O OBAVLJENOJ PROVJERI PROVEDBE DANIH PREPORUKA ZA REVIZIJU UČINKOVITOSTI JAVNE NABAVE U DRUŠTVU ZRAČNA LUKA ZADAR D.O.O. Zadar,
ВишеMODIFIKACIJE PROJEKATA
Pravne obaveze i početna faza provedbe projekta Drugi poziv na dostavu projektnih prijedloga Provedbene radionice 9. 12. 7. 2019. Ugovaranje ključni koraci Optimizacija Aplikacije (budžet, aktivnosti,
ВишеStručno povjerenstvo za pripremu
JEDNOSTAVNA NABAVA Evidencijski broj: EVB 114-18 POZIV NA DOSTAVU PONUDA u postupku jednostavne nabave usluga nastavka održavanja RHEL operativnog sustava za 2018. godinu Zagreb, rujan 2018. I. OPĆI PODACI
ВишеREPUBLIKA HRVATSKA MINISTARSTVO GOSPODARSTVA Temeljem Nacionalnog programa energetske učinkovitosti Republike Hrvatske za razdoblje i Odlu
REPUBLIKA HRVATSKA MINISTARSTVO GOSPODARSTVA Temeljem Nacionalnog programa energetske učinkovitosti Republike Hrvatske za razdoblje 2008.-2016. i Odluke ministra gospodarstva (KLASA: 402-01/14-01/828,
ВишеFunkcionalna specifikacija za provođenje elektroničkog glasovanja
1/19 Stranica 1 2/19 Sadržaj 1. Lista skraćenica... 3 2.... 4 2.1 Pristup glasačkoj aplikaciji... 4 2.1.1 Prava pristupa... 4 2.1.2 Pristup uvodnom ekranu sustava evote... 5 2.1.3 Informacije o sustavu
ВишеVaba d
POLITIKA UPRAVLJANJA PRITUŽBAMA/PRIGOVORIMA KLIJENATA BANKE Rujan 2018. 1 Područje primjene Politika upravljanja pritužbama/prigovorima klijenata Banke (dalje: Politika), definira opća pravila i načela
ВишеINDIKATIVNI GODIŠNJI PLAN OBJAVE NATJEČAJA ZA PODUZETNIKE U GODINI IZ OPERATIVNOG PROGRAMA KONKURENTNOST I KOHEZIJA 1. POVEĆANJE RAZVOJA NOVIH P
INDIKATIVNI GODIŠNJI PLAN OBJAVE NATJEČAJA ZA PODUZETNIKE U 2018. GODINI IZ OPERATIVNOG PROGRAMA KONKURENTNOST I KOHEZIJA 1. POVEĆANJE RAZVOJA NOVIH PROIZVODA I USLUGA KOJI PROIZLAZE IZ AKTIVNOSTI ISTRAŽIVANJA
ВишеU proračunu Europske unije za Hrvatsku je ukupno namijenjeno 3,568 milijardi Eura za prve dvije godine članstva
CARINE 2020 Općenito o programu: Program je pokrenut s ciljem podrške u suradnji između nadležnih tijela za carinske postupke u Europskoj uniji kako bi se maksimizirala njihova učinkovitost. Programom
ВишеEDITEL_Adria_Brochure_HR.indd
EDITEL Adria povezuje vaše poslovanje EDI rješenja za pametne lance nabave O nama EDITEL Adria Tvrtka EDITEL Adria započela je svoje poslovanje u Hrvatskoj pod imenom Panteon Plus kao lokalni predstavnik
ВишеHAKOM-Plan nabave-2015 (s VII. izmjenama i dopunama) Red. br. Predmet nabave Evidencijski broj Procijenjena vrijednost nabave Planirani početak postup
Red. br. Predmet nabave Evidencijski broj Procijenjena vrijednost nabave Planirani početak postupka (kvartal) Vrsta postupka Ugovor ili okvirni sporazuma (UG ili OS) Planirano trajanje UG ili OS 1 Izgradnja
ВишеZlatna Mastercard kartica Saznaj više na
Zlatna Mastercard kartica Saznaj više na www.unicredit.ba Dobrodošli u svijet Zlatne Mastercard kartice. Ako ste osoba čiji životni stil obilježavaju putovanja i društvene aktivnosti, za svakodnevno plaćanje
ВишеZagreb, 31. svibnja Klasa: /19/300 Ur.broj: I Predmet: Obavijest gospodarskim subjektima prije formalnog početka postupk
Zagreb, 31. svibnja 2019. Klasa: 100-930/19/300 Ur.broj: I52377-650-42-19-1 Predmet: Obavijest gospodarskim subjektima prije formalnog početka postupka javne nabave s ciljem prethodnog istraživanja tržišta
ВишеGodišnje izvješće
Izvješće o provedbi Zakona o pravu na pristup informacijama za 2015. godinu OPĆI PODACI U TIJELU JAVNE VLASTI Gradska knjižnica i čitaonica Petrinja Matije Gupca 2, 44250 Petrinja Broj telefona: (+385
Више08_03
OBAVIJEST O SLOBODNOM RADNOM MJESTU ZA IZRADU POPISA USPJEŠNIH KANDIDATA Naziv radnog mjesta Funkcijska skupina / razred AD 6 Vrsta ugovora Referentna oznaka Rok za podnošenje prijava Mjesto zaposlenja
ВишеOdgovori na komentare sa završene javne rasprave o prijedlogu teksta Odluke o uvođenju Sustava pokazatelja SPOK kao elektroničkog načina prikupljanja
Odgovori na komentare sa završene javne rasprave o prijedlogu teksta Odluke o uvođenju Sustava pokazatelja SPOK kao elektroničkog načina prikupljanja podataka o tržištu elektroničkih komunikacija (rasprava
Вишеeredar Sustav upravljanja prijavama odjelu komunalnog gospodarstva 1 UPUTE ZA KORIŠTENJE SUSTAVA 1. O eredar sustavu eredar je sustav upravljanja prij
eredar Sustav upravljanja prijavama odjelu komunalnog gospodarstva 1 UPUTE ZA KORIŠTENJE SUSTAVA 1. O eredar sustavu eredar je sustav upravljanja prijavama koje građani mogu slati Upravnom odjelu za komunalno
ВишеUvjeti korištenja Male Žestoke tarife 1. Tomato tarifni model Mala Žestoka tarifa (dalje u tekstu: Mala Žestoka tarifa) dostupan je za aktivaciju priv
Uvjeti korištenja Male Žestoke tarife 1. Tomato tarifni model Mala Žestoka tarifa (dalje u tekstu: Mala Žestoka tarifa) dostupan je za aktivaciju privatnim korisnicima (u daljnjem tekstu: Korisnici) do
ВишеPODACI O VODITELJU OBRADE: Karlovačka banka d.d. Ivana Gorana Kovačića Karlovac Telefon: PODACI O SLUŽBENIKU ZA ZAŠTI
PODACI O VODITELJU OBRADE: Karlovačka banka d.d. Ivana Gorana Kovačića 1 47000 Karlovac Telefon: 047 417 500 info@kaba.hr PODACI O SLUŽBENIKU ZA ZAŠTITU OSOBNIH PODATAKA: Karlovačka banka d.d. Službenik
ВишеKORISNIČKE UPUTE APLIKACIJA ZA POTPIS DATOTEKA
KORISNIČKE UPUTE APLIKACIJA ZA POTPIS DATOTEKA SADRŽAJ 1. UVOD... 3 1.1. Cilj i svrha... 3 1.2. Područje primjene... 3 2. POJMOVI I SKRAĆENICE... 4 3. PREDUVJETI KORIŠTENJA... 5 4. PREGLED APLIKACIJE...
ВишеSlide 1
Primjeri dobre prakse komuniciranja informacija o kvaliteti visokih učilišta sa zainteresiranom javnošću Fakultet kemijskog inženjerstva i tehnologije Sveučilišta u Zagrebu Povijest Fakulteta 97. obljetnica
ВишеPowerPoint Presentation
. ICT sustavi za energetski održivi razvoj grada Energetski informacijski sustav Grada Zagreba Optimizacija energetske potrošnje kroz uslugu točne procjene solarnog potencijala. Energetski informacijski
Више