Razvijte sigurnu usulugu koja štiti privatnost i sigurnost korisnika

Procijenite i analizirajte koje sve podatke usluga treba prikupljati, pohranjivati i pružati. Upravljajte aktivno informatičkom sigurnošću same e-usluge i cjelokupnog IT sustava.

ZAŠTO JE NAČELO VAŽNO?

Javne usluge često sadrže osobne i osjetljive podatke o korisnicima. Javna uprava ima pravnu dužnost zaštititi navedene podatke, u protivnom bi se umanjilo povjerenje javnosti u javnu upravu.

Zaštitite podatke i samu uslugu postizanjem i očuvanjem odgovarajuće razine sigurnosti računalnog sustava i same usluge, koja uključuje planiranje sigurnosti, dizajn rješenja koji odmah kod izgradnje poštuje sigurnosna pravila (integrirana sigurnost), edukaciju korisnika i redovitu provjeru razine sigurnosti.

ŠTO TO NAČELO ZNAČI?

Tim koji stvara novu uslugu ili nadograđuje staru treba:

• pridržavati se obveznih tehnoloških (sigurnosnih) standarda definiranih u Katalogu standarda; 
• aktivno prepoznavati sigurnosne prijetnje i prijetnje privatnosti usluge, imati čvrst i razmjeran pristup u osiguravanju podataka i sprečavanju mogućih prijevara;
• raditi na podizanju svijesti o sigurnosti e-usluga i osigurati edukacije državnih službenika i namještenika;
• imati plan i proračun koji omogućuje upravljanje sigurnošću e-usluge tijekom cjelokupnog životnog ciklusa e-usluge (primjerice, reagiranjem na nove prijetnje);
• na siguran način prikupiti i obraditi osobne podatke korisnika, poštujući njihovu privatnost;
• osigurati sukladnost s odredbama GDPR-a[1];
• koristiti prikladnu razinu vjerodajnice kod pristupanja usluzi;
• surađivati s drugim stručnjacima koji se bave rizikom poslovanja i podataka, ali i vanjskim organizacijama (primjerice Agencijom za zaštitu osobnih podataka), kako bi bili sigurni da usluga zadovoljava sigurnosne standarde; 
• provesti prikladno ispitivanje ranjivosti i proces etičkog hakiranja (ispitivanje mogućnosti prodora);
• razviti rješenje koje prikuplja samo nužne podatke i objašnjava korisniku zašto ga prikuplja, tko ga koristi i kako se koristi te pohranjuje;
• redovito procjenjivati rizike i raditi evaluaciju sigurnosti sustava.

DODATNE BILJEŠKE I OBJAŠNJENJA

Kako bi usluga bila propisno zaštićena, potrebno je osmisliti, uskladiti, primijeniti i nadzirati sve potrebne mjere zaštite, poput tehničkih (korisnička imena, zaporke, enkripciju, prava pristupa i sl.), administrativnih (sigurnosne politike, pravilnici, procedure) i fizičkih (video nadzor, zaštita prostorija, fizička kontrola pristupa). Također je potrebno neprestano reagirati na nove prijetnje postavljanjem kontrola i primjenom sigurnosnih zakrpa na softver.