10 obveznih mjera (čl. 21 ZKS)
Članak 21. ZKS-a propisuje 10 obveznih mjera koje svaki važan i kritičan subjekt mora implementirati kao dio upravljanja kibernetičkim rizicima.
Pregled mjera
| Šifra | Članak | Područje |
|---|---|---|
| M01 | čl.21.1.a | Politike rizika i sigurnosti informacija |
| M02 | čl.21.1.b | Upravljanje incidentima |
| M03 | čl.21.1.c | Kontinuitet poslovanja i krizno upravljanje |
| M04 | čl.21.1.d | Sigurnost lanca opskrbe |
| M05 | čl.21.1.e | Sigurnost pri nabavi, razvoju i održavanju |
| M06 | čl.21.1.f | Procjena učinkovitosti mjera |
| M07 | čl.21.1.g | Kiberhigijena i osposobljavanje |
| M08 | čl.21.1.h | Kriptografija i enkripcija |
| M09 | čl.21.1.i | Sigurnost ljudskih potencijala i kontrola pristupa |
| M10 | čl.21.1.j | Višefaktorska autentifikacija i sigurne komunikacije |
Detaljan opis mjera
M01 — Politike rizika i sigurnosti informacija
Uspostava i provedba politika za procjenu rizika kibernetičke sigurnosti i sigurnosti informacijskih sustava.
Što treba dokumentirati:
- Politika upravljanja informacijskom sigurnošću
- Postupak procjene rizika (metodologija, učestalost)
- Registar rizika s tretmanima
- Prihvaćanje rezidualnih rizika od strane uprave
Dokazi za reviziju: Potpisana politika IS, rezultati zadnje procjene rizika, zapisnik s pregleda od strane uprave.
M02 — Upravljanje incidentima
Uspostava postupaka za sprječavanje, otkrivanje, analizu i odgovor na incidente kibernetičke sigurnosti.
Što treba dokumentirati:
- Procedura upravljanja incidentima
- Definicija značajnog incidenta (prema čl. 23 ZKS)
- Kontakt lista za escalaciju (SOA, CERT.hr)
- Evidencija incidenata
Rokovi za prijavu značajnih incidenata:
| Prijava | Rok | Tijelo |
|---|---|---|
| Inicijalna | 24 sata | SOA / CERT.hr |
| Detaljna | 72 sata | SOA / CERT.hr |
| Završna | 30 dana | SOA / CERT.hr |
!!! danger "Automatski rokovi" GRC Platforma automatski izračunava rokove prijave čim unesete datum otkrivanja incidenta i šalje upozorenja ako se rokovi bliže.
M03 — Kontinuitet poslovanja i krizno upravljanje
Upravljanje kontinuitetom poslovanja uključujući upravljanje sigurnosnim kopijama, oporavak od katastrofe i krizno upravljanje.
Što treba dokumentirati:
- Plan kontinuiteta poslovanja (BCP)
- Plan oporavka od katastrofe (DRP)
- RTO (Recovery Time Objective) i RPO (Recovery Point Objective)
- Procedura sigurnosnih kopija i plan testiranja oporavka
M04 — Sigurnost lanca opskrbe
Sigurnost u lancu opskrbe, uključujući sigurnosne aspekte odnosa s izravnim dobavljačima i pružateljima usluga.
Što treba dokumentirati:
- Popis kritičnih dobavljača s pristupom IT sustavima
- Sigurnosni upitnici za dobavljače (u platformi: Vendor upitnici)
- DPA ugovori s izvršiteljima obrade
- Godišnja revizija dobavljača
!!! tip "Integracija s Vendor upitnicima" Koristite modul Vendor upitnici za automatizaciju M04. Platforma generira PDF evidenciju lanca opskrbe za čl. 20 ZKS-a.
M05 — Sigurnost pri nabavi, razvoju i održavanju
Sigurnost pri nabavi, razvoju i održavanju mreža i informacijskih sustava, uključujući postupanje s ranjivostima.
Što treba dokumentirati:
- Politika sigurnog razvoja softvera (ako je primjenjivo)
- Postupak upravljanja zakrpama (patch management)
- Evidencija ranjivosti i plan sanacije
- Kriteriji sigurnosti pri nabavi IT opreme i usluga
M06 — Procjena učinkovitosti mjera
Politike i postupci za procjenu učinkovitosti mjera upravljanja kibernetičkim rizicima.
Što treba dokumentirati:
- Plan internih revizija (audit plan)
- Rezultati provedenih revizija
- KPI i metrike kibernetičke sigurnosti
- Godišnji izvještaj o stanju kibernetičke sigurnosti za upravu
M07 — Kiberhigijena i osposobljavanje
Osnovna praksa kibernetičke higijene i osposobljavanje u području kibernetičke sigurnosti.
Što treba dokumentirati:
- Program osposobljavanja zaposlenika
- Evidencija provedenih edukacija (u platformi: Edukacije)
- Politika kiberhigijene (lozinke, clean desk, phishing)
- Testovi svjesnosti (phishing simulacije)
M08 — Kriptografija i enkripcija
Politike i postupci koji se odnose na upotrebu kriptografije i, prema potrebi, enkripcije.
Što treba dokumentirati:
- Politika kriptografije
- Evidencija gdje se koristi enkripcija (email, prijenosni mediji, baze podataka)
- Upravljanje kriptografskim ključevima
- Korištenje sigurnih protokola (TLS 1.2+, SSH)
M09 — Sigurnost ljudskih potencijala i kontrola pristupa
Sigurnost ljudskih potencijala, politike kontrole pristupa i upravljanje imovinom.
Što treba dokumentirati:
- Politika kontrole pristupa (najmanje privilegija)
- Evidencija korisničkih računa i prava pristupa
- Postupak onboardinga i offboardinga zaposlenika
- Registar IT imovine (u platformi: Asset registar)
M10 — Višefaktorska autentifikacija i sigurne komunikacije
Upotreba višefaktorske autentifikacije ili kontinuiranih rješenja za provjeru autentičnosti, zaštićenih glasovnih, video i tekstualnih komunikacija.
Što treba dokumentirati:
- Gdje je implementiran MFA (Remote access, admin računi, cloud servisi)
- Politika sigurnih komunikacija
- Enkripcija email komunikacije (S/MIME, TLS)
Statusi u platformi
| Status | Opis | Score doprinos |
|---|---|---|
nije_implementirano |
Mjera nije provedena | 0% |
djelomično |
Mjera je djelomično implementirana | 50% |
implementirano |
Mjera je u potpunosti implementirana | 100% |
ne_primjenjuje_se |
Mjera nije primjenjiva (s obrazloženjem) | Isključuje se iz izračuna |
Ažuriranje mjere
- Kliknite na mjeru u ZKS workspaceu
- Promijenite status
- Postavite razinu zrelosti (0-5)
- Dodajte vlasnika i rok
- Dodajte napomenu ili link na dokument
- Kliknite Spremi