Минимални стандарди на информациските системи кај осигурителните компании

Согласно Законот за супервизија на осигурување, член 158-ѕ точка 1 објaвен во Сл. Весник на РМ бр.30/2012, Советот на експерти на Агенцијата за супервизија на осигурувања донесе Правилник за минималните стандарди на информациските системи на друштвата за осигурување кој стапува на сила од почетокот на следната година.

Овој правилник наложува осигурителните компании да воведат организациски и технички мерки со кои ќе се осигура поголема безбедност на информациските системи кои ги чуваат, обработуваат и пренесуваат податоците потребни за работењето на компаниите.

Информациите освен во електронски облик, во голема мерка се користат и во хартиена форма, па безбедноста на информациските системи опфаќа многу повеќе отколку само инфраструктурата од информатичката технологија (ИТ).

Безбедноста на информациските системи мора да се справи со обезбедување на трите главни аспекти – доверливоста, интегритетот и достапноста. Во превод, информациите (во било кој од облиците) ќе се достапни само за лицата кои се овластени да им пристапат (доверливост), информациите да се точни (интегритет) и достапни тогаш кога се потребни (достапност).

Оние кои имаат искуство во организација на безбедноста на информациите, ги препознаваат овие мерки во барањата на Законот за заштита на личните податоци и пропратните правилници (но во тој случај обемот е на целата компанија) или барањата на меѓународниот стандард ИСО 27001 (последна верзија од 2013 г). Затоа компаниите кои обезбедиле Сертификат за овој ИСО стандард се целосно усогласени со барањата кои ги наметнува овој Правилник на Агенцијата.

Правилникот предвидува исполнување на организациски и технички мерки во следниве групи:

  • Стратегија за развој на информацискиот систем
  • Методологија за анализа на ризиците и проценка на ризиците (Risk Assessment) 
  • Анализа на влијанијата на работењето (Business Impact Analysis - BIA)
  • Изработка на план за план за деловен континуитет (Business Continuity Plan - BCP)
  • Политика за безбедност на ИС
  • Kонтроли за пристап до ресурсите на ИС
  • Методологија за управување со проекти
  • Процедура за управување со надворешни добавувачи
  • Процедура за креирање и чување на резервна копија на податоците на информацискиот систем

Овие барања наметнуваат осигурителните компании да воведат, имплементираат сет на документи, но и нивна практична примена во секојдневното работење.

Креирањето на документацијата е првиот и најобемен чекор во имплементацијата. Но овие правила е потребно да се пренесат до вработените, за тие доследно да ги спроведуваат во своето работење.

Голем предизвик во овој дел е да се креираат правила кои нема да го оптоварат тековното работење на компанијата и нема да го „бирократизираат“, а притоа лесно да бидат прифатени и спроведувани од страна на вработените.

Безбедноста треба да се воведе како заштита од надворешни „напади“, но согласно статистиките од искуствата, многу поголемо внимание треба да се посвети и на заштитата „од внатре“, односно од самите вработени и токму овој дел може да предизвика различни реакции кај вработените – намалени привилегии на пристап до информации и ресурси (интернет содржини), почесто менување на лозинките и сл, што може негативно да се одрази во работењето.

Овие обврски се однесуваат во сите нивоа на организацијата, од врвното раководство, па се до оние кои ги спроведуваат (ИТ одделот, агентите, па се до административните сектори).

Компанијата треба да назначи и одговорно лице (или тело) кое ќе го контролира спроведувањето на овие правила. Тука треба да се има предвид дека одговорниот не може да е лице од ИТ одделот, бидејќи во голема мерка треба да го контролира работењето токму во својот оддел. 

Постојат компании кои овие правила ги применуваат одамна, но никогаш не ги запишале и официјализирале како интерна регулатива. Тие ќе треба само да си ги „запишат“ своите добри пракси во заштитата на информациите.

Најголем предизвик во имплементацијата претставува изнаоѓање на соодветна Методологија на справување со ризиците, како и планирање на Деловниот континуитет на компаниите. Ризиците по информациите треба да се идентификуваат во сите делови на работењето, а раководството треба соодветно да се справи со истите. Тоа не секогаш се административни мерки, туку бара и обезбедување на ресурси (пари, луѓе и време).

Обезбедување на деловен континуитет во работењето исто така може да предизвика потреба од дополнителни ресурси, во зависност од големината на компаниите. Во овој дел, многу е битно соодветно да се димензионира решението – купување на резервна опрема која ќе се користи само за „итни ситуации“ (во случај на голем пожар, поплава, уништување на просториите) нема лесно да помине кај врвното раководство.

Имплементацијата на ваков систем бара сериозен ангажман од самата компанија во донесување и спроведување на овие мерки, а користење на консултантстки услуги од експерти во оваа област во голема мерка го олеснува и скратува времетраењето, заради соодветното димензионирање на мерките. Процесот може да трае од неколку месеци, па се до една година, во зависност од големината на компаниите. 

Осигурителните компании кои не започнале со имплементацијата на ваков систем на работење, ќе мора добро да се потрудат во следниов период, за да го исполнат барањето од Законот кое започнува  во сила од 01.01.2015.