Principi informacione sigurnosti (interni okvir)

1. Svrha dokumenta

Ovaj dokument definiše osnovne principe informacione sigurnosti s ciljem zaštite podataka, sistema i procesa od neovlaštenog pristupa, gubitka, zloupotrebe ili neplaniranog prekida rada.

Dokument služi kao temelj za sve buduće sigurnosne procedure i tehničke mjere.

2. Opseg primjene

Principi se primjenjuju na:

  • sve informacione sisteme,
  • aplikacije i servise,
  • podatke (bez obzira na format),
  • infrastrukturu i pristupe.

Odnose se na sve koji na bilo koji način imaju pristup sistemima ili podacima.

3. Osnovni sigurnosni principi

3.1 Povjerljivost

Informacije su dostupne isključivo ovlaštenim osobama i sistemima.

Pristup se dodjeljuje po principu najmanjih potrebnih prava.

3.2 Integritet

Podaci i sistemi moraju ostati tačni, potpuni i neizmijenjeni bez ovlaštenja.

Svaka izmjena treba biti kontrolisana i provjerljiva.

3.3 Dostupnost

Sistemi i podaci trebaju biti dostupni kada su potrebni, u skladu s poslovnim zahtjevima.

Prevencija prekida rada je dio sigurnosti, ne samo operativnog planiranja.

4. Upravljanje pristupom

Pristup sistemima i podacima mora biti:

  • jasno definisan,
  • dokumentovan,
  • periodično preispitivan.

Privremeni ili posebni pristupi tretiraju se kao izuzeci i zahtijevaju dodatnu pažnju.

5. Odgovornost i svijest

Svaka osoba s pristupom informacijama odgovorna je za:

  • pravilno korištenje pristupa,
  • zaštitu povjerljivih informacija,
  • prijavu sigurnosnih rizika ili incidenata.

Sigurnost se posmatra kao zajednička odgovornost, a ne samo tehnička mjera.

6. Upravljanje rizicima

Sigurnosni rizici se:

  • identifikuju,
  • procjenjuju,
  • umanjuju u razumnim okvirima.

Cilj nije eliminacija svih rizika, već svjesno i kontrolisano upravljanje.

7. Postupanje u slučaju incidenta

Svaki sigurnosni incident ili sumnja na incident mora biti:

  • prijavljena bez odlaganja,
  • analizirana,
  • korištena kao osnova za unapređenje sistema i procesa.

Incidenti su izvor učenja, ne krivice.

8. Kontinuirano unapređenje

Principi informacione sigurnosti se:

  • periodično preispituju,
  • dopunjuju na osnovu iskustva,
  • prilagođavaju razvoju sistema i prijetnji.

Ovaj dokument predstavlja početni okvir, a ne konačno stanje.

9. Odnos prema drugim dokumentima

Ovi principi se primjenjuju zajedno sa:

  • Principima zaštite podataka
  • Principima rada i validacije
  • budućim sigurnosnim procedurama i tehničkim pravilima

Završna napomena

Informaciona sigurnost nije stanje koje se “postigne”, već proces koji se održava i unapređuje.