Službeni glasnik BiH, broj 38/17

Na osnovu člana 10. Zakona o ministarstvima i drugim organima uprave Bosne i Hercegovine ("Službeni glasnik BiH", br. 5/03, 42/03, 26/04, 42/04, 45/06, 88/07, 35/09, 103/09, 87/12 i 61/13) i člana 17. Zakona o Vijeću ministara Bosne i Hercegovine ("Službeni glasnik BiH", br. 30/03, 42/03, 81/06, 76/07, 81/07, 94/07 i 24/08), Vijeće ministara Bosne i Hercegovine, na 95. sjednici, održanoj 22. marta 2017. godine, donijelo je

ODLUKU


O USVAJANJU POLITIKE UPRAVLJANJA INFORMACIONOM SIGURNOŠĆU U INSTITUCIJAMA BOSNE I HERCEGOVINE, ZA PERIOD 2017 - 2022. GODINE

Član 1.
(Predmet Odluke)

Ovom Odlukom usvaja se Politika upravljanja informacionom sigurnošću u institucijama Bosne i Hercegovine, za period 2017-2022. godine (u daljem tekstu: Politika) koja je u prilogu ove Odluke i čini njen sastavni dio.

Član 2.
(Podnošenje izvještaja)

Zadužuje se Ministarstvo komunikacija i prometa Bosne i Hercegovine i Ministarstvo sigurnosti Bosne i Hercegovine da Vijeću ministara Bosne i Hercegovine podnose godišnji izvještaj o realiziranju Politike.

Član 3.
(Stupanje na snagu)

Ova Odluka stupa na snagu narednog dana od dana objavljivanja u "Službenom glasniku BiH".

VM broj 83/17
22. marta 2017. godine
Sarajevo

Predsjedavajući
Vijeća ministara BiH
Dr. Denis Zvizdić, s. r.

Prilog

POLITIKA
UPRAVLJANJA INFORMACIONOM SIGURNOŠĆU U INSTITUCIJAMA BOSNE I HERCEGOVINE, ZA PERIOD 2017 - 2022. GODINE

UVOD

Uspostavljanje i razvoj sistema informacione sigurnosti u svim segmentima jedne države predstavlja važnu pretpostavku za stvaranje informacionog društva. Stvaranje informacionog društva, posmatrano u širem smislu, predstavlja ne samo uvjet za uključivanje određene države u međunarodne integracione procese, već i način za opstanak te države u društvu razvijenih. Osnovni subjekti informacionog društva su državna uprava, privredni subjekti i stanovništvo, dok osnovu njegovog razvoja predstavlja povjerenje tih subjekata u elektronske usluge i elektronsko poslovanje.
Kroz uspostavljanje sistema informacione sigurnosti i upravljanje tim sistemom, javna uprava izvršava svoju ulogu u izgradnji informacionog društva. Razvojem sistema informacione sigurnosti javna uprava uspostavlja preventivne mjere i stvara organizaciono-tehničke preduvjete za sistemski razvoj zaštitnih i represivnih mjera u okviru informacionog društva. Ti procesi ne mogu se uspješno sprovoditi bez uspostavljanja konzistentnog sistema informacione sigurnosti u institucijama Bosne i Hercegovine (u daljem tekstu: Institucije).
Pod politikom upravljanja informacionom sigurnošću podrazumijeva se hijerarhijski uređen skup dokumenta koji predstavlja osnovu za implementaciju sistema upravljanja informacionom sigurnošću u Institucijama. Uopće, dokumenti politike mogu se podijeliti na krovne, sprovedbene i izvršne, kao i na standarde i preporuke. Politika tretira oblast upravljanja informacionom sigurnošću u skladu sa ISO/IEC 27001 standardom.
Također, politika se ne odnosi na oblast tajnih podataka, budući da je ista u Bosni i Hercegovini uređena odgovarajućim zakonskim i podzakonskim propisima.

1. OPĆE O INFORMACIONOJ SIGURNOSTI

1.1. Pojam informacione sigurnosti

Pojam informacione sigurnosti obrađuje se na način koji je danas prihvaćen u razvijenim zemljama svijeta i koji osigurava kompatibilnost sa konceptom informacione sigurnosti NATO-a (North Atlantic Treaty Organisation) i EU (The European Union). Pri tome treba imati u vidu da informaciona sigurnost nije isto što i informatička sigurnost. Naime, informaciona sigurnost se odnosi na zaštitu informacija bez obzira na medij na kome se čuva i prijenosi. Sistemom informacione sigurnosti obuhvataju se fizička lica, procesi, organizacija i tehnologija. Taj sistem se sastoji od uravnoteženog skupa sigurnosnih mjera, fizičke sigurnosti, sigurnosti podataka, sigurnosti informacionih sistema, koordiniranog uvođenja formalnih procedura, kao što su procjene rizika, certificiranje uređaja i akreditacije tehničkih sistema za primjenu u određenim segmentima poslovnih procesa u Institucijama. Uravnoteženost i koordinacija mjera i postupaka treba da se postiže organizacijom i upravljanjem sistemom informacione sigurnosti.

1.2. Definicija i uloga politike upravljanja informacionom sigurnošću

Uspješna realizacija namjere da se ovlada obimnim i složenim problemom kakav je upravljanje informacionom sigurnošću, pretpostavlja postojanje polazne osnove koja će to omogućiti, a takvu osnovu predstavlja politika. Dakle, politika je neophodan temelj na kojem se može razviti jedan efikasan i sveobuhvatan sigurnosni program.
Donošenje politike upravljanja informacionom sigurnošću jedan je od najboljih načina kako savremene državne institucije mogu postepeno i sistemski riješiti probleme vezane za sigurnost informacija. Primjena informaciono - komunikacionih tehnologija danas predstavlja jedan od osnovnih preduvjeta za povećanje efikasnosti u poslovanju, kako u privatnom sektoru, tako i u organima javne uprave. Međutim, tehnologija nije i ne može biti sama sebi svrha. Informacione tehnologije treba, prije svega, da budu osnova i stimulans za restrukturiranje poslovnih procesa u organima javne uprave i međusobnu koordinaciju tih organa.
Svaki informacioni sistem treba da se postepeno i sistemski nadograđuje i kvalitetno održava kroz cijeli životni ciklus, u svakoj svojoj fazi od inicijalizacije i idejnog projekta, preko razvoja, implementacije, korištenja pa sve do rashodovanja. Sigurnosna procjena mora biti dio svih tih faza životnog ciklusa. Izgradnja računarsko-komunikacione mreže institucije javne uprave neophodna je za ostvarivanje elektronskih usluga za stanovništvo i poslovne subjekte, kao i za međusobno povezivanje institucija javne uprave.
Sigurnosna procjena projekta računarsko-komunikacione mreže organa javne uprave nije moguća sve do potpunog uspostavljanja sistema informacione sigurnosti u Bosni i Hercegovini, što predstavlja dodatni razlog za ubrzano uspostavljanje tog sistema.

1.2.1. Definicija politike upravljanja informacionom sigurnošću

Informacioni sistemi sadrže podatke kojima se služe ovlašteni korisnici na osnovu kojih im je omogućen pristup i korištenje sistema (identifikacija, lozinka, itd.). Obzirom da takvi podaci ne smiju biti javno dostupni, ne smiju biti mijenjani bez odobrenja i ne smiju biti nedostupni vlasnicima, važno je sprovesti određene mjere sigurnosti kako bi navedeni uvjeti uvijek bili zadovoljeni.
Politika upravljanja informacionom sigurnošću u osnovi definira odnos organizacije prema informacionim dobrima i u tom kontekstu njena primarna svrha jeste da informira rukovodioce, tehnička lica i korisnike o bitnim zahtjevima za zaštitu informacione imovine, uključujući ljude, hardverske i softverske resurse i podatke. Dakle, politika upravljanja informacionom sigurnošću pribavlja okvir za najbolju praksu koju mogu razumjeti i ispratiti svi zaposleni, čime presudno pomaže da se osigura minimiziran rizik i da se na bilo koji sigurnosni incident efikasno odgovori. Politikom korisniku se nameću obavezna pravila ponašanja i odgovornosti kako bi se zaštitio informacioni sistem, tj. informacije smještene u informacionom sistemu, od vanjskih i unutrašnjih neprimjerenih utjecaja.
Politikom su definirana pravila koja se odnose na svu informatičku opremu organizacije (hardver i softver), osobe odgovorne za administraciju informacionog sistema, sve zaposlene i korisnike sistema, odnosno osobe koje imaju pravo pristupa i vanjske saradnike.
Nakon definiranja politike važno je osigurati da se pravila koja su definirana istom sprovode i poštuju. Da bi se to postiglo bitno je svakom korisniku sistema dati na znanje da je politika uvedena i upoznati ga sa njegovim dužnostima. Postoji više načina kako korisnike upoznati sa politikom, npr. dijeljenjem dokumenta politike ili objavljivanjem sigurnosne politike na web stranicama institucije itd.

1.2.2. Uloga politike upravljanja informacionom sigurnošću

Uvođenjem i sprovođenjem politike institucija smanjuje mogućnost gubitka podataka što u velikoj mjeri utječe na efikasno poslovanje.
Sigurnosti informacionih sistema doprinosi ispravna upotreba svih dijelova informacionog sistema i poštovanje pravila propisanih sigurnosnom politikom institucije. Politikom se propisuju dozvoljene i nedozvoljene radnje kako bi se osigurala postojanost informacionog sistema i podataka koje on sadrži. Kreiranjem politike upravljanja informacionom sigurnošću, korisnicima se nameću obavezujuća pravila ponašanja koja ograničavaju slobodu prilikom pregledanja informacija, kao i pravila za ispravno korištenje računarske opreme koja su korisniku data na korištenje. Mehanizmi zaštite i sprječavanja dijele se na tri osnovna nivoa:
- fizička sigurnost, pod kojom se smatra sigurnost računarske opreme i podataka,
- lična sigurnost, koja podrazumijeva zaštitu korisnika i povjerljivih informacija o korisniku,
- sigurnost institucije, koja proizilazi iz prva dva nivoa.
Termin informaciona sigurnost podrazumijeva stanje u kojem je osiguran integritet hardvera, procesa i podataka, njihova raspoloživost i povjerljivost podataka i informacija.
Integritet u razmatranom kontekstu podrazumijeva tačnost i kompletnost podataka i informacija koji se nalaze na sistemu i samog sistema u njegovoj cijelosti, uključujući i procese koji se na njemu odvijaju.
Da bi se smatrali raspoloživim, podaci, informacije i sistem moraju biti na svom mjestu, dostupni i upotrebljivi za obavljanje funkcija koje su im namijenjene. U tom kontekstu termin raspoloživost povezan je i sa kontinuitetom usluga.
Povjerljivost se koristi u kontekstu osjetljivosti na otkrivanje (objelodanjivanje) podataka i informacija.

1.3. Definiranje sigurnosnih zahtjeva

Tri su glavne kategorije za definiranje sigurnosnih zahtjeva:
- Procjena rizika, uzimajući u obzir poslovnu strategiju institucije i njezine ciljeve. Na ovaj način se identificiraju prijetnje imovini institucije, njezina ranjivost i određuje vjerovatnost pojave prijetnji, kao i njihov utjecaj na instituciju ukoliko se te prijetnje realiziraju;
- Ustavne, zakonske i ugovorne obaveze koje institucija mora zadovoljiti;
- Skup ciljeva, načela i poslovnih zahtjeva institucije.

1.3.1. Procjena rizika

Metodičkom procjenom sigurnosnih rizika identificiraju se sigurnosni zahtjevi. Proširenje sigurnosnih kontrola mora biti proporcionalno šteti koju sigurnosni propusti nanose instituciji. Rezultati procjene rizika pomažu u određivanju prioriteta i adekvatnih akcija kod upravljanja sigurnosnim rizicima. Kako bi se u procjenu uključile bilo kakve promjene koje bi mogle utjecati na rizik, procjena rizika se mora provoditi periodički.

1.3.2. Izbor odgovarajućih kontrola

Kako bi se rizik sveo na prihvatljiv nivo, nakon identificiranja sigurnosnih zahtjeva i izrade procjene rizika, potrebno je izabrati i implementirati adekvatne kontrole. Izbor kontrola zavisi o instituciji, odnosno prihvatljivosti rizika i načinu upravljanja rizikom, ali i o državnim i međunarodnim zakonskim pravima i obavezama.

1.3.3. Početna tačka u postizanju informacione sigurnosti

Sa zakonske tačke gledišta kontrole presudne za instituciju odnose se na zaštitu tajnosti ličnih podataka i informacija, čuvanje institucijskih izvještaja i poštovanje prava intelektualnog vlasništva.
Prilikom implementacije sistema upravljanja informacionom sigurnošću, kontrole koje u praksi postižu dobre rezultate su:
- sigurnosna politika;
- podjela odgovornosti informacione sigurnosti;
- svijest o informacionoj sigurnosti, edukacija i trening;
- ispravno procesiranje podataka u aplikacijama;
- upravljanje ranjivostima;
- upravljanje poslovnim kontinuitetom;
- upravljanje sigurnosnim incidentima i poboljšanjima sistema.

1.4. Važnost uspostave sistema upravljanja informacionom sigurnošću

Informacije i pripadajući procesi, sistemi i mreže u Institucijama su od izuzetne važnosti. Kako bi se zadovoljile zakonske norme i osigurao ugled, od presudne važnosti može biti definiranje, implementacija, održavanje i poboljšavanje upravljanja informacionom sigurnošću. Računarske prevare, špijunaže, sabotaže, vandalizam, požar, poplave i sl. su sigurnosne prijetnje sa kojima se Institucije često suočavaju. Šteta nanesena instituciji u obliku zloćudnog koda, računarskog hakiranja i uskraćivanja usluge je sve prisutnija pojava. Upravljanje informacionom sigurnošću zahtjeva učestvovanje svih zaposlenih u Institucijama.

2. UPRAVLJANJE INFORMACIONOM SIGURNOŠĆU INSTITUCIJE

Cilj: Uspostava sistema za upravljanje sigurnošću informacija (ISMS) institucije kako bi se osigurala podrška rukovodiocima institucije i njihovoj usmjerenosti ka informacionoj sigurnosti, a u skladu sa poslovnim zahtjevima i odgovarajućim zakonima.
Standardi informacione sigurnosti
Uspostavljanje upravljanja informacionom sigurnošću u instituciji zahtijeva primjenu standarda za sigurnost informacionih sistema, što prema raspoloživim standardima osigurava sve aspekte zaštite nekog informacionog sistema. Na taj način se osigurava i kvalitet uspostavljenih mjera informacione sigurnosti.
Standardi iz serije ISO/IEC 27000 ISO/IEC (Information Security Management Systems (ISMS) - Information technology - Security techniques - Information security management systems) institucijama pružaju smjernice za izradu, primjenu i provjeru sigurnosti informacionih sistema čime se osigurava povjerljivost, integritet i raspoloživost informacionog sadržaja, sistema i procesa unutar institucije.
Ovi standardi su proizvod ISO/IEC JTC1 (Joint Technical Committee 1) SC27 (Sub Committee 27), ISO tehničkog tijela, koje preuzima najbolju praksu i standarde iz oblasti informacione sigurnosti i donosi ih kao međunarodne standarde. Za područje upravljanja sigurnosti informacionih sistema najčešće se koriste slijedeći ISO standardi:
- ISO/IEC 27001 - Sigurnosne tehnike - Sistemi za upravljanje sigurnošću informacija - Zahtjevi
- ISO/IEC 27002 - Sigurnosne tehnike - Pravilo dobre prakse za kontrole sigurnosti informacija
- ISO/IEC 27003 - Sigurnosne tehnike - Smjernice za implementaciju sistema za upravljanje sigurnošću informacija
- ISO/IEC 27004 - Sigurnosne tehnike - Upravljanje sigurnošću informacija - Mjerenje
- ISO/IEC 27005 - Sigurnosne tehnike - Upravljanje rizicima sigurnosti informacija
- ISO/IEC 27006 - Sigurnosne tehnike - Zahtjevi za tijela koja vrše audit i certificiranje sistema za upravljanje sigurnošću informacija
- ISO/IEC 27011 - Sigurnosne tehnike - Smjernice za upravljanje sigurnošću informacija za telekomunikacione organizacije zasnovane na ISO/IEC 27002
- ISO/IEC 27013 - Sigurnosne tehnike - Smjernice za integriranu implementaciju standarda ISO/IEC 27001 i ISO/IEC 20000-1
- ISO/IEC 27031 - Sigurnosne tehnike - Smjernice za spremnost informacione i komunikacione tehnologije za kontinuitet poslovanja
- ISO/IEC 27033-1 - Sigurnost mreža - Dio 1: Pregled i koncepti
- ISO/IEC 27033-2 - Sigurnost mreža - Dio 2: Smjernice za dizajn i implementaciju sigurnosti mreže
- ISO/IEC 27033-3 - Sigurnost mreža - Dio 3: Preporuke kod scenarija umrežavanja - Prijetnje, tehnike dizajna i pitanja upravljanja
̵ ISO/IEC 27033-5 - Sigurnost mreža - Dio 5: Osiguravanje komunikacije kroz mreže korištenjem virtualnih privatnih mreža (VPN)
- ISO/IEC 27035 - Sigurnosne tehnike - Upravljanje incidentima informacione sigurnosti
- ISO/IEC 27007 - Sigurnosne tehnike - Smjernice za audit sistema za upravljanje sigurnošću informacijama
- ISO/IEC 27008 - Sigurnosne tehnike - Smjernice za auditore o kontrolama informacione sigurnosti
- ISO/IEC 27014 - Sigurnosne tehnike - Upravljanje sigurnošću informacijama
- ISO/IEC 27015 - Sigurnosne tehnike - Smjernice za upravljanje sigurnošću informacija kod finansijskih usluga
- ISO/IEC 27032 - Sigurnosne tehnike - Smjernice za kibernetičku sigurnost
- ISO/IEC 27034-1 - Sigurnosne tehnike - Dio 1: Pregled i koncepti
Ostali standardi koje treba navesti iz oblasti informacione sigurnosti su:
- NIST SP (National Institute of Standards and Technology - Special Publication) 800-30 - Risk management guide for information technology systems: Standard koji detaljno propisuje na koji način vršiti procjenu i ovladati informacionim rizicima, iako je pisan za primjenu u američkim državnim službama, primjenljiv je na sve vrste organizacija.
- NIST SP 800-34 - Contingency planning guide for IT systems: Preporuke za izradu planova, procedura i tehničkih mjera za oporavak IT sistema.
- BS (British Standards) 25999-2 - Specification for business continuity management: Standard koji specificira kako postaviti osnove za upravljanje kontinuitetom poslovanja u organizaciji bilo koje vrste.
- BS 25999-1:2006 Business continuity management - Code of Practice: Smjernice za sprovođenje upravljanja kontinuitetom poslovanja.
- NIST SP 800-61 - Computer security incident handling guide: Standard koji opisuje na koji način se upravlja incidentima informacione sigurnosti.
NIST SP 800-100 - Information security handbook: A guide for managers: Standard koji opisuje na koji način se upravlja informacionom sigurnošću iz pozicije različitih uloga u organizaciji. Iako je pisan za primjenu u američkim državnim službama, primjenjiv je na sve vrste organizacija.
Za efikasnu uspostavu upravljanja informacionom sigurnošću institucije uglavnom se preporučuje upotreba standarda ISO/IEC 27001. Međutim, zavisno od obima poslova i nadležnosti pojedine institucije, kao i potreba za specifičnim zahtjevima uspostavu upravljanja informacionom sigurnošću mogu se koristiti i ostali standardi iz serije 27000, kao i ostali međunarodno priznati standardi koji se bave problematikom informacione sigurnosti.

Standard ISO/IEC 27001

ISO/IEC 27001 (ISO/IEC 27001 Informacione tehnologije - Tehnike zaštite -Specifikacije za sistem upravljanja informacionim sistemom) standard je izrađen 2005. godine, a nastao je na osnovu standarda BS 7799 (British Standards).
ISO/IEC 27001 je službena grupa specifikacija na osnovu kojih institucije mogu zatražiti postupak certifikacije, naravno pod uvjetom da su primijenile taj standard na sistem upravljanja sigurnošću informacija. Ovaj standard propisuje zahtjeve za ustanovljavanje, implementaciju, kontrolu i unaprjeđenje ISMS-a.
Standard se sastoji od 5 dijelova:
1. Sistem za zaštitu informacija,
2. Odgovornost menadžmenta,
3. Interna provjere sistema za zaštitu informacija,
4. Provjera ispravnosti sistema za zaštitu informacija,
5. Poboljšanja na sistemu za zaštitu informacija.
Takođe, u standardu su navedeni ciljevi provjere koje je potrebno ostvariti i provjere koje je potrebno sprovesti kako bi se ostvarili ti isti ciljevi. Postoje institucije akreditirane za certifikaciju prema ISO/IEC 27001 standardu.
Standard sadrži sigurnosne odredbi što ga čini vrlo detaljnim i temeljnim. Suštinski, standard sadrži polazno poglavlje "Procjena i upravljanje ICT rizikom" sa ostalim dijelovima u koji su grupisani prema sigurnosnim odredbama:
1) Organizacija informacione sigurnosti (2);
2) Upravljanje imovinom (2);
3) Sigurnost i ljudski resursi (3);
4) Fizička zaštita i zaštita od okoliša (2);
5) Upravljanje komunikacijama i operacijama (10);
6) Kontrola pristupa (7);
7) Nabavka, razvoj i održavanje informacionog sistema (6);
8) Upravljanje incidentima informacionog sistema (2);
9) Upravljanje poslovnim kontinuitetom (1);
10) Usklađivanje (3).
Svaka sigurnosna odredba sadrži:
a) kontrolni cilj koji je potrebno ostvariti;
b) jednu ili više kontrola koje se mogu primijeniti da bi se ostvario kontrolni cilj.
Opisi kontrola su definirani na slijedeći način:
Kontrola: Definira određenu kontrolu koja treba zadovoljiti kontrolni cilj.
Implementacijske smjernice: Pruža detaljnije informacije za implementiranje kontrole.
Dodatne informacije: Pruža dodatne informacije koje je potrebno razmotriti pri uvođenju neke kontrole, npr. legalne aspekte kontrole i reference na neke druge standarde. Ovaj kodeks postupaka treba biti početna tačka razvoja informacione sigurnosti specifične za svaku pojedinu instituciju. Sve kontrole i smjernice ne mogu se primijeniti na svaku instituciju. Ponekad je potrebno uključiti kontrole i smjernice koje nisu dio ovog standarda ukoliko to zahtijeva poslovanje institucije.

Sistem upravljanja informacionom sigurnošću (engl. ISMS Information Security Management System)

Sve institucije, svih vrsta i veličina, sakupljaju, obrađuju, pohranjuju i prijenose velike količine informacija, te prepoznaju da su informacije i njima dodijeljeni procesi, sistemi, mreže i ljudi vrlo važna imovina za postizanje poslovnih ciljeva institucije. Takođe, institucije se suočavaju se sa širokim područjem rizika koji utječu na funkcioniranje njihove imovine, te modificiraju rizike kroz implementaciju sigurnosnih kontrola.
Budući da se rizici informacione sigurnosti, te efikasnost kontrola mijenjaju zavisno o promjenama okoliša, svaka institucija treba nadgledati i vrjednovati efikasnost primijenjenih kontrola i procedura, identificirati pojavu rizika koji se moraju obraditi i odabrati, primijeniti i poboljšavati kontrole kada je to potrebno.
Sistem upravljanja informacionom sigurnošću - osigurava model za uspostavu, implementaciju, rad, nadzor, preglede, održavanje i poboljšanje zaštite informacione imovine u cilju postizanja poslovnih ciljeva koji su zasnovani na procjeni rizika te na prihvatljivom nivou rizika za instituciju na kojima se zasniva efikasna obrada i upravljanje rizika.
Principi koji takođe doprinose uspješnoj implementaciji ISMS-a su:
- Podizanje svijesti o razumijevanju i potrebi za informacionom sigurnošću;
- Pridruživanje odgovornosti za informacionu sigurnost;
- Uključivanje podrške menadžmenta institucije i interesa zainteresiranih strana;
- Procjena rizika određuje odgovarajuće kontrole kako bi se dostigao prihvatljiv nivo rizika;
- Sigurnost uključiti kao važan element informacionih sistema i mreža;
- Aktivna prevencija i detekcija incidenata informacione sigurnosti;
- Osiguravnje sveobuhvatnog rješenja za upravljanje informacionom sigurnošću;
- Kontinuirana procjena informacione sigurnosti, te provođenje izmjena kada je to potrebno.

Procesni pristup

Procesno rješenje za ISMS koje se koristi u ISMS familiji standarda je uopćeno poznat kao Plan-Do-Check-Act (PDCA) proces (Deming-ov ciklus):
- Plan: Uspostavljanje ISMS politike, ciljeva, procesa i procedura važnih za upravljanje rizikom i povećanje informacione sigurnosti kako bi dali rezultate u skladu sa ukupnom politikom i ciljevima institucije;
- Do: Implementacija i pokretanje ISMS politike, kontrola i procedura;
- Check: Procjena, i gdje je primjenjivo, mjerenje performansi procesa u odnosu na ISMS politiku, ciljeve i praktično iskustvo te izvještavanje menadžmenta o rezultatima;
- Act: Izvođenje korektivnih i preventivnih akcija zasnovanih na rezultatima ISMS procjene (audita) i procjene menadžmenta ili ostalim bitnim informacijama, kako bi se ISMS kontinuirano usavršavao.

Važnost uspostave ISMS-a

- Postiže veću garanciju sigurnosti u zaštiti informacione imovine od informacionih rizika na kontinuiranoj osnovi;
- Održava radni okvir za identificiranje i procjeni rizika informacione sigurnosti, odabir i primjenu odgovarajućih sigurnosnih mjera (kontrola) te mjerenje i poboljšanje njihove efikasnosti;
- Kontinuirano poboljšava kontrolirani okoliš;
- Efikasno postiže zakonsku i regulatornu usklađenost.

Kritični faktori uspjeha ISMS-a

Primjeri kritičnih faktora uspjeha su:
- Politika informacione sigurnosti institucije, ciljevi i aktivnosti koje su podešene ciljevima;
- Rješenje i radni okvir za projektiranje, implementaciju, nadzor i unapređenje informacione sigurnosti koje je konzistentno sa kulturom institucije;
- Vidljiva podrška i predanost na svim nivoima upravljanja, posebno na nivo visokog menedžmenta;
- Razumijevanje zahtjeva za zaštitu informacione imovine koja se postiže kroz primjenu upravljanja rizikom informacione sigurnosti;
- Efikasan program podizanja svijesti o informacionoj sigurnosti, treningu i edukaciji, informiranje svih zaposlenih i ostalih strana o njihovim obavezama;
- Efikasan proces upravljanja incidentima informacione sigurnosti;
- Efikasno rješenje za kontinuitet poslovanja;
- Sistem mjerenja koji se koristi za vrjednovanje performansi u upravljanju informacionom sigurnošću.

Način uspostave ISMS-a

- Primjena kontrola definiranih Politikom informacione sigurnosti institucija Bosne i Hercegovine;
- Oformiti vlastiti tim eksperata za informacionu sigurnost ili angažirati vanjske konsultante;
- Rukovoditi se najboljom praksom;
- Implementacija standarda ISO/IEC 27001, Information security management systems -Requirements;

2.1. PROCES IMPLEMENTACIJE POLITIKE

Preporuka je da institucija implementaciju politike upravljanja informacionom sigurnošću bazira na unaprijed izrađenim standardima, čime se uveliko smanjuju operativni troškovi i vrijeme potrebno za sprovođenje iste. Implementaciju ove politike institucija može izraditi samostalno, procjenom mogućih prijetnji informacionom sistemu, te procjenom i zaštitom slabih tačaka sistema. Ovaj proces je dugotrajniji i skuplji, ali osigurava način zaštite koji potpuno odgovara potrebama institucije. Iako se na prvi pogled samostalna implementacija sigurnosne politike čini kao bolje rješenje, preporučuje se implementacija sigurnosne politike institucije na bazi standarda kako bi se obratila pažnja na sve moguće prijetnje koje mogu ugroziti informacioni sistem. Kako je prethodno naglašeno, implementacija sigurnosne politike institucije treba se zasnivati na ISO/IEC 27001 standardu. Međutim, potrebno je pomenuti da ISO/IEC 27001 standard opisuje sve šta je potrebno napraviti, ali ne i kako. Da bi se odgovorilo na pitanje kako, koristi se standard ISO/IEC 27002 kroz potrebne smjernice. Upravo na bazi ovog standarda opisan je proces uspostavljanja sigurnosne politike, tj. koraci i postupci koje je potrebno napraviti.

2.1.1. Upravljanje i procjena rizika

Upravljanje rizikom je proces kojim se potvrđuje poslovna opravdanost odabira sigurnosnih rješenja i kontrola koje će osigurati dovoljan nivo sigurnosti. Takođe, proces upravljanja rizikom omogućuje razvoj strategije i postavljanje ciljeva u području informacione sigurnosti. Upravljanje rizikom uključuje tri procesa: procjenu rizika, umanjivanje rizika i evaluaciju rizika.
Proces upravljanja rizika omogućuje stvaranje ravnoteže između operativnog i ekonomskog troška zaštitnih mjera, te dobiti koja se ostvaruje zaštitom informacionih sistema i podataka. Dobro strukturirana metodologija upravljanja rizikom jedan je od ključnih faktora pri odabiru odgovarajućih sigurnosnih kontrola koje osiguravaju kontinuirano odvijanje poslovnih procesa.
Standard ISO/IEC 27005 nudi propisanu metodu za analizu i procjenu rizika, za razliku od ISO 27001 standarda koji je fleksibilan i nudi mogućnost da institucija primjenjuje čak i nekoliko metoda za procjenu rizika.

2.1.2. Identifikacija resursa

Jedan od uvjeta za uspješno upravljanje sigurnošću informacionog sistema jeste identificiranje resursa koji su dio tog sistema. Bez precizne identifikacije resursa nije moguće sprovesti njegovu kvalitetnu zaštitu. Kroz proces identificiranja resursa potrebno je evidentirati sve resurse unutar informacionog sistema te procijeniti njihovu relativnu vrijednost za instituciju. Kako bi se mogla odrediti vrijednost resursa za instituciju, potrebno je poznavanje poslovnih procesa koji se odvijaju u instituciji. Na osnovu toga je kasnije u procesu upravljanja rizikom, odnosno prilikom analize rizika, moguće ocijeniti potreban nivo zaštite za svaki pojedini resurs bitan za funkcioniranje poslovnih procesa unutar institucije. Kvalitetnim identificiranjem resursa nužno je postići slijedeće zahtjeve:
- ustanoviti vlasnike poslovnih procesa, odnosno odgovorne osobe,
- identificirati pojedine resurse bitne za funkcioniranje poslovnih procesa,
- procijeniti vrijednost resursa,
- ustanoviti njihovo fizičko ili logičko mjesto u sistemu,
- napraviti odgovarajuću dokumentaciju.
Podjelu resursa moguće je napraviti prema raznim pravilima. U informacionim sistemima resurse je moguće podijeliti u slijedeće kategorije:
- informacije (baze podataka, dokumentacija, autorska djela itd.),
- programska podrška (aplikacije, operativni sistemi, razvojni alati itd.),
- oprema (računarska oprema, mrežno-komunikaciona oprema, mediji za čuvanje podataka i ostala oprema potrebna za rad informacionog sistema),
- servisi (računarski i komunikacioni i uopćeno servisi kao što su klimatizacija, osvjetljenje itd.).
Za svaki od identificiranih resursa potrebno je napraviti procjenu njegove relativne vrijednosti unutar sistema bez obzira kojoj kategoriji pripada. Cilj podjele informacija je osiguranje njihove odgovarajuće zaštite. Uz procjenu rizika potrebno je odrediti kako postupati sa rizicima. Mogući postupci uključuju:
- ugrađivanje odgovarajućih kontrola koje smanjuju rizik,
- svjesno i objektivno prihvatanje rizika, udovoljavajući sigurnosnoj politici institucije i kriterijumima prihvatljivog rizika,
- izbjegavanje rizika zabranama, tj. onemogućavanjem akcija koje prouzrokuju rizik.
Za rizike čiji postupci uključuju implementaciju odgovarajućih kontrola, te kontrole moraju biti odabrane i implementirane na način da zadovoljavaju zahtjeve definirane procjenom rizika.

2.1.3. Analiza rizika

Analiza rizika je postupak kojem je cilj da se ustanove ranjivosti sistema, uoče potencijalne prijetnje (rizici), te na odgovarajući način kvantificirati moguće posljedice kako bi se mogao odabrati najprimjereniji način zaštite, odnosno procijeniti opravdanost uvođenja dodatnih protivmjera. Postoje dva osnovna pristupa analizi rizika: kvantitativna i kvalitativna analiza.
Kvantitativna analiza podrazumijeva iskazivanje rizika u očekivanim novčanim troškovima na godišnjem nivou, dok rezultat kvalitativne analize iskazuje samo relativan odnos vrijednosti šteta nastalih djelovanjem neke prijetnje i uvođenja protivmjera.

2.1.4. Tumačenje rezultata

Analizom rizika moraju se utvrditi slijedeće činjenice:
- kritični resursi i prijetnje i vjerovatnost njihove pojave,
- potencijalni gubici koje uzrokuje ostvarenje prijetnje,
- preporučene protivmjere i njihova vrijednost (relativna ili novčana),
- nadzor i zaštita.
Na osnovu dobijenih rezultata potrebno je odlučiti kakve protivmjere treba preduzeti. Postoje tri mogućnosti djelovanja koje ne moraju biti međusobno isključive, a to su: smanjenje rizika, prijenos rizika i prihvatanje rizika.
Jedini važan parametar prilikom izbora načina djelovanja je isplativost za instituciju. Smanjenje rizika predstavlja proces u kojem se na osnovu provedene analize rizika nastoje sprovesti odgovarajuće protivmjere i uvesti sigurnosni nadzor da bi se zaštitili resursi institucije. Ukoliko se pokaže isplativijim, rizik je moguće prenijeti na treću stranu (na primjer, osiguravajuće društvo). Isto tako moguće je da implementacija protivmjera ili prijenos rizika nisu isplativi. U tom slučaju institucija može odlučiti da prihvati rizik, odnosno troškove koji iz toga proizlaze. Jedini pristup koji u upravljanju rizikom nije prihvatljiv je ignoriranje ili zanemarivanje rizika.
Na osnovu ove Politike upravljanja informacionom sigurnošću u Institucijama uspostavlja se niz pravila i smjernica koje je potrebno izraditi kroz interne dokumente institucije, u cilju uspostave "Sistema upravljanja informacionom sigurnošću - ISMS" u svim institucijama u skladu sa uočenim zahtjevima i potrebama svake institucije pojedinačno.
Da bi implementacija sigurnosne politike bila efikasna potrebno je politiku primijeniti na svaki dio institucije. Dokumente za uspostavu ISMS-a je potrebno službeno objaviti i upoznati sve zaposlene i korisnike o njihovom sadržaju, a koji trebaju sadržavati kontrole i ciljeve definirane standardom ISO 27001, a u skladu sa zahtjevima, potrebama, zakonskom legislativom i internim pravilima svake institucije.

2.1.5. Važnost usvajanja politike upravljanja informacionom sigurnošću u institucijama BiH

Usvajanjem Politike upravljanja informacionom sigurnošću, Vijeće ministara Bosne i Hercegovine izražava odlučnost u podršci naporima koji za svoj cilj imaju poboljšanje informacione sigurnosti. Takođe, stvara se pravni osnov za donošenje zakona i podzakonskih akata kojim će se bliže urediti način postupanja Institucija sa ciljem uvođenja minimalnih sigurnosnih kriterijuma i uspostava sistema za upravljanje sigurnošću informacija.

2. 2. ORGANIZACIJA INFORMACIONE SIGURNOSTI

2.2.1. Unutrašnja organizacija

2.2.2. Vanjski saradnici

2.3. UPRAVLJANJE IMOVINOM

2.3.1. Odgovornost za imovinu

2.3.2. Klasifikacija informacija

2.4. ZAŠTITA OD ZAPOSLENIH

2.4.1. Prije zaposlenja

2.4.2. Tokom zaposlenja

2.4.3. Prekid ili promjena zaposlenja

2.5. FIZIČKA ZAŠTITA I ZAŠTITA OD OKOLIŠA

2.5.1. Osigurana područja

2.5.2. Sigurnost opreme

2.6. UPRAVLJANJE KOMUNIKACIJAMA I OPERACIJAMA

2.6.1. Operativne procedure i odgovornosti

2.6.2. Planiranje i prihvatanje sistema

2.6.3. Zaštita od zloćudnog i prenosivog koda

2.6.4. Sigurnosne kopije

2.6.5. Upravljanje sigurnošću mreže

2.6.6. Rukovanje izmjenjivim i trajnim medijima za pohranu podataka

2.6.7. Razmjena informacija

2.6.8. Nadzor

2.7. KONTROLA PRISTUPA

2.7.1. Poslovni zahtjevi za kontrolu pristupa

2.7.2. Upravljanje korisničkim pristupom

2.7.3. Odgovornosti korisnika

2.7.4. Kontrola pristupa mreži

2.7.5. Kontrola pristupa operativnom sistemu, aplikacijama i informacijama

2.7.6. Upotreba mobilnih računara i rad na daljinu

2.8. NABAVKA, RAZVOJ I ODRŽAVANJE INFORMACIONIH SISTEMA

2.8.1. Sigurnosni zahtjevi informacionih sistema

2.8.2. Ispravna obrada u aplikacijama

2.8.3. Kriptografske kontrole

2.8.4. Sigurnost sistemskih datoteka

2.8.5. Sigurnost u procesima razvoja i podrške

2.8.6. Upravljanje tehničkom ranjivošću

2.9. UPRAVLJANJE INCIDENTIMA U INFORMACIONOM SISTEMU

2.9.1. Izvještavanje o sigurnosnim događajima i slabostima

2.9.2. Upravljanje sigurnosnim incidentima i poboljšanjima

2.10. UPRAVLJANJE POSLOVNIM KONTINUITETOM

2.10.1. Stanovišta informacijske sigurnosti pri upravljanju kontinuitetom poslovanja

2.11. USKLAĐIVANJE

2.11.1. Usklađenost sa zakonskim propisima

2.11.2. Usklađenost sa sigurnosnim politikama i standardima i tehnička usklađenost

2.11.3. Razmatranja revizije informacionih sistema

3. ZAKON I PODZAKONSKI AKTI ZA REALIZIRANJE POLITIKE

Ministarstvo komunikacija i prometa Bosne i Hercegovine i Ministarstvo sigurnosti Bosne i Hercegovine će izraditi i dostaviti Vijeću ministara Bosne i Hercegovine na razmatranje i usvajanje slijedeće prijedloge, koji će se odnositi na Institucije:

- Zakon o informacionoj sigurnosti i sigurnosti mrežnih i informacionih sistema

SVRHA: Ovim Zakonom se utvrđuje pojam informacione sigurnosti, mjere i standardi informacione sigurnosti, područja informacione sigurnosti, te nadležna tijela za donošenje, provođenje i nadzor mjera i standarda informacione sigurnosti.

- Smjernice o informatičkoj sigurnosti radnog mjesta

SVRHA: Smjernice o informatičkoj sigurnosti radnog mjesta namijenjene su korisnicima informacionog sistema institucije s ciljem podizanja svijesti o IT sigurnosti kroz obavljanje svakodnevnih zadataka na računaru, korištenju Interneta, upotrebi elektronske pošte, postupanja sa osjetljivim podacima, korištenjem aplikacija. Korisnici također moraju biti svjesni da upravo oni imaju kritičnu ulogu u održavanju uspješne informacione sigurnosti.

- Smjernice o klasificiranju informacionih resursa

SVRHA: Smjernice o klasificiranju informacionih resursa upućuje korisnike na koji način rukovati pojedinim resursom. Budući da nije moguće za svaki resurs definirati na koji način se prema njemu odnositi u smislu zaštite, nastao je pojam klasificiranje. Cilj klasificiranja je svrstati svaki resurs u pojedinu klasu u zavisnosti o kriterijima klasificiranja. Klasa resursa određuje na koji način je korisnik dužan koristiti resurs, sa kolikom pažnjom i odgovornošću.

- Smjernice o korištenju prijenosnih uređaja

SVRHA: Prijenosni uređaji su sve popularniji. Cjenovno gotovo identični, a praktično dosta ispred desktop računara, postali su česti izbor pri kupovini računarske i elektronske opreme, bilo da se radi o poslovnim ili privatnim korisnicima. Ali, upotreba prijenosnih uređaja od strane zaposlenih, partnera ili drugih korisnika donosi potrebu za implementacijom dodatnih sigurnosnih kontrola. One moraju spriječiti svaku neovlaštenu radnju koja može ugroziti sigurnost informacionog sistema.

- Smjernice o fizičkoj zaštiti informacija

SVRHA: Preventivnim metodama sigurnosti zaštitu sistema institucije od namjernih ili slučajnih destruktivnih radnji. Smjernicama o fizičkoj zaštiti informacija potrebno je:
- spriječiti neovlašteni pristup,
- spriječiti ometanje poslovnih prostorija,
- spriječiti nepotreban pristup korisnika osjetljivoj opremi,
- osigurati zaštitu opreme od prirodnih utjecaja,
- osigurati sigurnost instalacija,
- osigurati održavanje opreme.

- Smjernice o kontroli pristupa i bilježenju događaja

SVRHA: Zasigurno jedan od važnijih uzroka problema sigurnosti predstavljaju ovlašteni korisnici. Oni svojim postupcima, bilo slučajnim ili namjernim, ugrožavaju sigurnost sistema u velikoj mjeri. Neki od uzroka sigurnosnih incidenata od strane ovlaštenih korisnika:
- znatiželja,
- dokazivanje,
- krađa identiteta od strane zlonamjernog lica,
- slučajni postupci (needukovanost korisnika),
- prikupljanje podataka u zlonamjerne svrhe itd.
Navedene prijetnje sigurnosti informacionim sistemima razlog su zbog kojih postoji potreba za kontrolom pristupa, tj. zabranom pristupa onim resursima sistema kojima korisnik nema potrebe pristupati.
Osim kontrola pristupa, u svrhu pravovremenog uočavanja odstupanja od politike pristupa i radi pružanja dokaza u slučaju sigurnosnog incidenta, u sistem je potrebno implementirati sigurnosnu kontrolu bilježenja događaja (nadgledanje).

- Smjernice o upravljanju sigurnosnim incidentima

SVRHA: Bez obzira na sve veća sredstva i napore koji se ulažu u postizanje i održavanje sigurnosti informacionih sistema, sigurnosni incidenti i dalje su česta pojava. Svaki sigurnosni incident bez obzira na veličinu i trajanje za instituciju predstavlja gubitak, zbog čega je vrlo važno da se adekvatna pažnja posveti razvoju strategije i planiranju aktivnosti u slučaju pojave sigurnosnih incidenata. Zbog toga je upravljanje sigurnosnim incidentima važan segment poslovanja svake institucije. Ukoliko se unaprijed definiraju zaštitne mjere i koraci u slučaju pojave incidenta, znatno se mogu umanjiti gubici i utjecaj incidenta na poslovanje institucije. Kako bi upravljanje sigurnosnim incidentima bilo kvalitetno organizirano, potrebno je definirati:
- odgovornosti i uloge,
- potencijalno opasne radnje,
- procedure u slučaju incidenta,
- procedure za pravovremenu detekciju,
- procedure za analizu incidenta i uklanjanje posljedica,
- procedure za vraćanje sistema u početno stanje.

- Smjernice o upravljanju sigurnosnim zakrpama

SVRHA: Reguliranje procesa otklanjanja skrivenih pogrešaka operativnih sistema i programskih paketa. Pravovremeno otklanjanje postojećih pogrešaka operativnih sistema i programskih paketa sprječavaju moguću štetu zbog širenja virusa, crva, zlonamjernih kodova i ostalih napada na sigurnost, koji za posljedicu imaju smanjenje operativnosti, integriteta i povjerljivosti informacionih sistema.

- Smjernice o korisničkim računima i pravima pristupa

SVRHA: Osigurati kontrolu nad otvaranjem, izmjenom, zamrzavanjem i zatvaranjem korisničkih računa u informacionom sistemu institucije, u cilju sprječavanja zastarjelih, redundantnih i korisničkih računa otvorenih na neispravan način. Drugi dio dokumenta treba da se odnosi na dodjelu prava pristupa. Pravo pristupa vrijednostima informacionog sistema jedna je od najkritičnijih tačaka sigurnosti. Zbog naizgled kompliciranog procesa dodjeljivanja prava pristupa, korisnicima se često dodjeljuju "uobičajna" prava, koja su najčešće puno veća od potrebnih. Što veća prava pristupa korisnik posjeduje, veće su mogućnosti da slučajnim ili namjernim radnjama ugrozi sigurnost informacionog sistema. Iz tog razloga potrebno je ograničiti djelovanje korisnika na način da im se dopusti obavljanje samo onih radnji koje su potrebne za obavljanje njihova poslova.

- Smjernice o sigurnosnim kopijama

SVRHA: Sigurnosne kopije podataka, smještene na informacionim sistemima institucija, rade se u svrhu osiguranja podataka od vitalnog značaja za normalno funkcioniranje institucije. Zadatak sigurnosnih kopija je osigurati oporavak sistema na osnovi autentičnih, cjelovitih i raspoloživih prethodno pohranjenih podataka, u slučaju oštećenja nastalih povredom integriteta podataka uslijed vremenskih nepogoda, potresa, ratnih razaranja, požara, poplave ili havarije samih sistema.

- Smjernice o zaposlenju i prekidu zaposlenja

SVRHA: Definirati slijedeće procedure:
- koje je potrebno preduzeti u pogledu sigurnosti kod zaposlenja, sklapanja ugovora o zaposlenju ili saradnji,
- koje definiraju na koji način kvalitetno provesti prekid zaposlenja ili raskid ugovora.
Cilj navedenih procedura je smanjenje rizika od ljudske pogreške, krađa, prijevara i zloupotrebe resursa informacionih sistema institucije.

- Smjernice za izradu metodologije procjene rizika

SVRHA: Metodologija procjene rizika definira načine određivanja vrijednosti ulaznih veličina na kojima se zasniva procjena rizika. Ulazne veličine pri procjeni rizika su najčešće vjerovatnost (eng. probability) i utjecaj (eng. impact), a mogu biti i mnoge druge. Koje sve ulazne veličine će biti korištene definirano je u svakoj pojedinoj metodologiji. Osim ulaznih veličina metodologijom je određen način izračunavanja nivoa rizika, te kriteriji za određivanje prihvatljivosti, odnosno neprihvatljivosti nivoa rizika.
ZAKLJUČAK
Usvajanjem Politike upravljanja informacionom sigurnošću u institucijama Bosne i Hercegovine, stvorit će se pravni osnov za usvajanje međunarodnih standarda iz serije ISO/IEC 27000, zakona i podzakonskih akata o mjerama u ovoj oblasti, standarda za pojedine oblasti, te programa informacione sigurnosti u Bosni i Hercegovini. Također, u cilju potpunog uređenja ove oblasti potrebno je izmijeniti zakone kojim je uređena: elektronska trgovina, elektronski potpis, elektronski dokument i arhivsko poslovanje. Poštujući preporuke i najbolju praksu, zasnovanu na međunarodnim standardima prilikom izrade navedenih propisa, stvara se informaciono-komunikaciona platforma neophodna za saradnju sa svim relevantnim faktorima iz okruženja, u prvom redu sa EU i NATO. Saradnja bazirana na povjerenju koje je normirano i realizirano u svim segmentima informacionog društva ima perspektivu kontinuiranog razvoja i dobrobiti i za građane i za državu. Činjenica da upravljanje informacionom sigurnošću, kao dio ukupne nacionalne sigurnosti, sve više dobija na značaju nameće potrebu njenog daljeg razvoja, kako u teorijskom, tako i u praktičnom smislu. U Bosni i Hercegovini ne postoji dovoljno razvijena svijest o upravljanju informacionom sigurnošću, kao ni organizirana redovna edukacija bilo kojeg nivoa. Podizanje svijesti o potrebi i neophodnosti uvođenja sistema upravljanja informacionom sigurnošću, kao i njeno izučavanje kroz sistem redovnog visokoškolskog obrazovanja ima važnu ulogu u daljem razvoju informacionog društva. S obzirom na kompleksnost, višeslojnost i interdisciplinarnost, obučenost u sferi upravljanja informacionom sigurnošću podrazumijeva određeni fond tehničkih, upravljačkih i specijalističkih znanja. Sa svakim novim dostignućem u oblasti informacionih tehnologija javljaju se novi aspekti informacione sigurnosti, što mora biti propraćeno naučno istraživačkim radom.
Ova politika upravljanja informacionom sigurnošću u sebi sadrži i edukativnu komponentu. Na taj način se htjelo ukazati da svaka institucija mora shvatiti neophodnost i potrebu realiziranja sopstvene politike i uvođenjem sistema za upravljanje informacionom sigurnošću. Da bi se te politike mogle realizirati, neophodno je, paralelno sa normativnim uređivanjem ove oblasti, raditi na programima koji će u narednom periodu podići ukupnu svijest i kreirati neophodnu kadrovsku i naučnu infrastrukturu. Planiranjem mjera i aktivnosti, organiziranjem stručnih debata, sistemskom promocijom novih tehnologija i metoda informacione sigurnosti, kao i ažuriranjem propisa, osigurat će se uvjeti za brzo i kvalitetno priključenje BiH razvijenom svijetu, a time i uvjeti za poboljšanje ukupnog kvaliteta života.