UREDBAO OBEZBEĐIVANJU I ZAŠTITI INFORMACIONIH SISTEMA DRŽAVNIH ORGANA("Sl. glasnik SRS", br. 41/90) |
I OSNOVNE ODREDBE
Ovom uredbom uređuju se mere obezbeđivanja i zaštite informacionih sistema državnih organa zasnovanih na primeni računara (u daljem tekstu: IS), kao i način njihovog sprovođenja.
Mere obezbeđivanja i zaštite IS mogu biti tehničke i organizacione, a preduzimaju se u cilju sprečavanja slučajnih grešaka, nepravilnog i nedozvoljenog prikupljanja, čuvanja, obrade, iskazivanja, korišćenja, oštećenja, uništenja, kao i falsifikovanja i zloupotrebe podataka.
Mere iz stava 1 ovog člana odnose se na: podatke, objekat u kome je smeštena računarska oprema, računarsku opremu i računarske nosioce podataka, programsku podršku i računarske mreže, kao i na sve učesnike u radu IS.
Mere iz stava 1 ovog člana preduzimaju se u svim fazama razvoja i funkcionisanja IS, i to u redovnim i vanrednim okolnostima.
Organizacione mere obezbeđivanja i zaštite IS odnose se, naročito na:
- organizaciju tehnologije rada u IS pri projektovanju IS (izrada preliminarne studije o razvoju IS, idejnog projekta IS, glavnog projekta IS, izvođačkog projekta i uvođenja projektovanih rešenja) i pri operativnom radu IS (planiranje rada i vođenje evidencija o izvršavanju svih postupaka u radu IS i kretanju dokumentacije),
- utvrđivanje postupaka u slučaju vanrednih okolnosti,
- ostale uslove za uspešno funkcionisanje IS (kontrola kadrova pri prijemu, definisanje poslova i zadataka učesnika u radu IS, stručno usavršavanje kadrova).
Tehničke mere obezbeđivanja i zaštite IS odnose se naročito na:
- fizičku zaštitu objekta u kome je smeštena računarska oprema (raspored instalacija i opreme) i protivpožarnu zaštitu;
- obezbeđivanje i zaštitu računarske opreme (izbor adekvatne i pouzdane opreme, obezbeđivanje opreme tokom njene eksploatacije, redovno servisiranje i snabdevanje rezervnim delovima) i računarskih nosioca podataka (pri korišćenju i čuvanju);
- zaštitu programske podrške (u fazi projektovanja, razvoja i korišćenja programskog sistema;
- zaštitu računarskih mreža prilikom projektovanja i realizacije).
Državni organi dužni su da sprovode mere obezbeđivanja i zaštite IS utvrđene ovom uredbom, a u skladu sa vrstom i stepenom tajnosti podataka u okviru svojih IS, dužni su da propisuju i sprovode i dodatne mere obezbeđivanja i zaštite IS.
II MERE OBEZBEĐIVANJA I ZAŠTITE PRI PROJEKTOVANJU IS
Mere obezbeđivanja i zaštite IS preduzimaju se u okviru projektnih celina i to: preliminarne studije o razvoju IS, idejnog projekta IS, glavnog projekta IS i izvođačkog projekta i uvođenja projektovanih rešenja.
U preliminarnoj studiji o razvoju IS utvrđuje se priroda podataka u okviru IS, proverava se da li je prikupljanje potrebnih podataka dozvoljeno i utvrđuje vrsta i stepen tajnosti podataka koji će se obrađivati i čuvati u IS, kao i vrsta i stepen tajnosti samog IS.
Tokom izrade idejnog projekta IS projektuju se mere obezbeđivanja i zaštite IS koje se prvenstveno odnose na idejno rešenje računarske opreme i softverske zaštite.
U glavnom projektu IS detaljno se razrađuju hardverske mere obezbeđivanja i zaštite IS koje se odnose na određivanje smeštaja datoteka, odnosno baza podataka na magnetnim medijima i potrebne opreme za izradu i čuvanje kopija, kao i hardverska zaštita za iniciranje obrade, odnosno pristup podacima.
U glavnom projektu IS detaljno se razrađuje idejno rešenje softverske zaštite, koja treba naročito da omogući ispravan tok i tačnu obradu podataka, signalizaciju neispravnosti, obnavljanje podataka koji su iz nekog razloga uništeni, zaštitu od neovlašćenog pristupa podacima.
Mere softverske zaštite ugrađuju se u sve programske postupke koji mogu da utiču na ispravnost i tačnost obrade podataka u IS i kojima se omogućava, odnosno sprečava pristup korisnicima IS.
U toku izrade glavnog projekta IS vrši se razrada dijagnostike o ispravnosti rada i sprečavanju poremećaja u radu IS usled neispravnosti podataka i datoteka, odnosno baza podataka, ili neispravnog izvršavanja programa, sa ciljem da se ukaže na nastalu nepravilnost i pomogne otkrivanju i otklanjanju grešaka.
Merama obezbeđivanja i zaštite IS obuhvataju se procesi prikupljanja, kontrole, obrade i čuvanja podataka, kao i korišćenja rezultata obrade, a naročito: organizacija prikupljanja i čuvanja ulaznih podataka, određivanje broja radnika za izvršavanje obrada podataka i utvrđivanje zadataka i odgovornosti svakog člana tima.
Glavnim projektom IS definiše se način i mesto čuvanja magnetnih medija sa originalima i kopijama datoteka, odnosno baza podataka i određuju uslovi pri kojima se mogu koristiti kopije datoteka, odnosno baza podataka, kao i način korišćenja rezultata obrade podataka.
U izvođačkom projektu i uvođenju projektovanih rešenja realizuju se mere obezbeđivanja i zaštite IS predviđene glavnim projektom IS.
Testiranjem rada pojedinih programa, programskih celina i celokupnog programskog sistema testira se i softverska zaštita ugrađena u programe. U cilju uspešnog sprovođenja testiranja programa i programskog sistema treba predvideti dovoljno potrebnih resursa i obezbediti dosledno sprovođenje izabrane tehnike programiranja i testiranja, a redosled testiranja programa organizovati tako da se pri testiranju narednih celina ne vrše izmene programa koji su već prošli fazu testiranja.
U svim fazama razvoja IS formira se projektna dokumentacija koja naročito sadrži dokumentaciju: preliminarne studije o razvoju IS, idejnog projekta IS, glavnog projekta IS i izvođačkog projekta i uvođenja projektovanih rešenja.
Projektna dokumentacija čuva se najmanje u jednom primerku na bezbednom mestu. Čuvanje projektne dokumentacije treba da se organizuje tako da se njeno korišćenje omogući samo ovlašćenim licima i da se onemogući njeno uništenje.
III MERE OBEZBEĐIVANJA I ZAŠTITE IS PRI OPERATIVNOM RADU IS
O radu IS vodi se dnevnik rada, koji sadrži informacije od značaja za rad i zaštitu IS, a naročito o: izvršenim obradama i ažuriranjima, trakama i diskovima koje su korišćene u obradi podataka, periodičnosti obnavljanja kopija, sprovođenju mera obezbeđivanja i zaštite IS, postupanju u slučaju nestanka električne energije ili kvara opreme, odnosno ispada sistema, sprovođenju procedure za obnavljanje IS.
Dnevnik rada IS vodi lice zaduženo za rukovanje operativnim radom IS.
Kada se radi o IS sa tajnim podacima, dnevnik rada IS predstavlja službenu tajnu.
Organizovanje i sprovođenje obrade podataka određuje ovlašćeno lice putem naloga za rad koji sadrži sve neophodne podatke na osnovu kojih je moguće izvršiti aktiviranje i sprovođenje obrade podataka.
Da bi se obezbedilo poštovanje propisanih postupaka i pravovremena priprema podataka i potrebnog materijala, donose se mesečni i dnevni planovi rada IS.
Pri pojavi nepravilnosti u radu IS neophodno je obezbediti postupke za obnavljanje IS.
U slučaju da nije predviđen način za otklanjanje nastale nepravilnosti, preduzimaju se mere koje odredi projektant IS. Ove mere se određuju na osnovu prethodnog ustanovljavanja tačnih uzroka i posledica nastalih prekidom rada ili drugom nepravilnošću u radu IS.
Izveštaji koji sadrže tajne podatke treba da nose oznaku vrste i stepena tajnosti i da se na propisani način dostavljaju korisnicima. Materijali koji sadrže tajne podatke a koji se više ne koriste moraju se uništiti na propisani način.
IV MERE ZAŠTITE PODATAKA
Prikupljeni podaci mogu se koristiti samo u službene svrhe. Državni organ koji čuva prikupljene podatke dužan je da obezbedi brisanje svih podataka čija je službena vrednost istekla.
Podaci i programska podrška, po pravilu, se čuvaju u dva primerka, i to:
- jedan primerak u prostoriji gde je smeštena oprema za obradu podataka;
- jedan primerak u drugoj prostoriji organa.
Za IS za tajnim podacima, vodi se i treći primerak koji se posebno obezbeđuje u pogodnoj prostoriji.
U redovnom operativnom radu IS nije dozvoljeno korišćenje druge, odnosno treće kopije, osim za stvaranje kopije za redovno korišćenje.
Pristup podacima mogu imati samo ovlašćena lica. Svi pristupi podacima proveravaju se pomoću odgovarajućih funkcija operativnog sistema.
Zaštita pristupa podacima obezbeđuje se po nivoima, i to: putem lozinke ulaza kroz sistem, zaštite pristupa memorijama diska, zaštite pristupa pojedinim područjima memorije diska, odnosno trake i zaštite pristupa pojedinom nizu podataka.
Svi pristupi i transakcije sa podacima i programskom podrškom evidentiraju se pomoću sistemske programske podrške. Pokušaji nekorektnih pristupa podacima i programskoj podršci signaliziraju se.
Prilikom razmene podataka preko magnetnih medija za arhiviranje podataka prilaže se propratni akt koji sadrži naročito sledeće podatke: identifikaciju pošiljaoca i primaoca, identifikaciju zapisa, broj zapisa, kod zapisa, gustinu zapisa, dužinu zapisa i veličinu bloka podataka.
Iznošenje podataka i programske opreme iz prostorija državnog organa, odnosno računskog centra, može se vršiti samo po odobrenju odgovornog lica.
Zaštita tajnih podataka sprovodi se postupcima selektivne identifikacije i autorizacije primenom višestepenih, vremenski ograničenih lozinki za ulazak u sistem i različitih obima ovlašćenja za rad sa podacima.
Zaštita tajnih podataka koji se zbog korišćenja u transakcionim obradama nalaze stalno na magnetnim medijima sa direktnim pristupom, sprovodi se primenom posebnih postupaka i tehnika, a naročito: dodelom zaštitnih atributa određenim memorijskim lokacijama i primenom kriptozaštite na podatke u bazi podataka.
Zaštita tajnih podataka iz st. 1 i 2 ovog člana vrši se prema stručnim uputstvima državnog organa u čijem IS se vode tajni podaci.
Tajni podaci, kao i programska podrška za obradu ovih podataka, mogu se u toku lokalne obrade čuvati na magnetnim medijima za arhiviranje podataka, a posle obrade čuvaju se u zapečaćenoj kasi.
V MERE OBEZBEĐIVANJA I ZAŠTITE PROSTORIJA U KOJIMA JE SMEŠTENA RAČUNARSKA OPREMA
Mere obezbeđivanja i zaštite prostorija u kojima su smešteni računarska i druga informaciona oprema i računarski centar sprovode se u skladu sa vrstom i stepenom tajnosti podataka koji se obrađuju i čuvaju u IS.
Prostorije u kojima se nalaze oprema i računski centar obezbeđuje se propisanim merama fizičke zaštite i protivpožarne zaštite.
U prostorijama u kojima se nalazi računarska oprema mogu se nalaziti samo magnetni mediji za arhiviranje podataka i programska podrška koja je potrebna za neposredno obavljanje posla.
Radne stanice moraju biti postavljene tako da su što više udaljene od spoljnih zidova.
Kada se radi o IS sa tajnim podacima, ekrani terminala, odnosno radnih stanica i štampači moraju biti tako postavljeni da neovlašćeno lice ne može videti tekst koji je na njima ispisan.
Električna instalacija u prostorijama u kojima je smeštena računarska oprema mora biti ugrađena i održavana u skladu sa propisima i tehničkim normativima za posebnu zaštitu elektroenergetskih uređaja od požara. Kod električne instalacije treba obezbediti zaštitno uzemljenje svih elektroprovodnih komponenata opreme i ugraditi zaštitni strujni prekidač.
U prostorijama u kojima je smeštena računarska oprema mogu se nalaziti samo oni cevovodi koji su neophodni za ostvarivanje radnih uslova i koji se na bezbednom i pristupačnom mestu mogu zatvoriti.
Radnici koji koriste računarsku opremu moraju biti osposobljeni za preduzimanje potrebnih mera u slučaju požara, poplave, nestanka struje ili drugih vrsta opasnosti.
Uvid u ispravnost računarske opreme i instalacija, kao i uvid u stanje objekta u kome je smeštena oprema, obezbeđuje se u toku 24 sata.
U toku i van radnog vremena obezbeđuje se kontrola lica koji ulaze u prostorije računskog centra ili u druge prostorije u kojima se nalazi računarska oprema.
Pod vanrednim okolnostima, u smislu ove uredbe, podrazumevaju se elementarne i druge veće nepogode i druge vanredne okolnosti koje mogu da ugroze funkcionisanje IS.
Mere za otklanjanje ili smanjivanje posledica izazvanih vanrednim okolnostima sprovode se u skladu sa planom zaštite IS u tim okolnostima.
VI MERE OBEZBEĐIVANJA I ZAŠTITE RAČUNARSKE OPREME
Pod računarskom opremom, u smislu ove uredbe, smatra se: sistem za obradu podataka sa perifernim uređajima za unošenje, arhiviranje i prezentaciju podataka (tastature, terminali, diskovi, magnetne trake, štampači), modemi, kablovi i druga informaciona oprema za obradu i prenos podataka.
Zaštita računarske opreme vrši se saglasno zahtevanom nivou zaštite IS u fazi izbora, eksploatacije i servisiranja opreme.
Prilikom nabavke računarske opreme vrši se izbor mašinske opreme i programske podrške koja će sa visokim stepenom pouzdanosti odgovoriti svim zahtevima obrade podataka. Pri određivanju vrste i konfiguracije opreme uzima se u obzir naročito: vrsta i stepen tajnosti IS, način izvršavanja obrade podataka, obim obrada, planirani razvoj obrada u narednim fazama razvoja IS i mogućnost korišćenja gotovih paketa za zaštitu podataka.
Pristup računarskoj opremi mogu imati samo ovlašćena lica.
Računarska oprema ne može se koristiti u privatne svrhe.
Prilikom nabavke, magnetni mediji za arhiviranje podataka numerišu se i o njima se vodi posebna evidencija, koja sadrži naročite podatke, o: vrsti medija, datumu kupovine i evidencionom broju medija.
U slučaju dotrajalosti, neispravnosti ili drugog nedostatka medija, ovakav medij se komisijski uništava po pismenom odobrenju odgovornog lica.
Magnetni mediji za arhiviranje podataka mogu se dati drugim organima, organizacijama ili službama samo uz prethodno odobrenje odgovornog lica.
Ukoliko se na medijima nalazi programska podrška ili podaci koji izvorno potiču od drugog korisnika, odobrenje iz stava 1 ovog člana može se dati samo uz prethodno pribavljenu saglasnost odgovornog lica tog korisnika.
Administrativno-tehnički poslovi vezani za ekspediciju magnetnih medija za arhiviranje podataka sprovode se prema propisima o kancelarijskom poslovanju.
Ukoliko se na magnetnom mediju za arhiviranje podataka nalaze programska oprema ili tajni podaci, vrsta i stepen tajnosti celog medija, odnosno njegovog logičkog dela, određuje se prema najvišem stepenu tajnosti podataka koji su na mediju.
VII MERE ZAŠTITE PROGRAMSKE PODRŠKE
Programskom podrškom, u smislu ove uredbe, smatraju se: operativni sistem, pomoćni programi, razvojni programi i aplikativni programi.
Za svaki program sačinjava se programska dokumentacija, koja, naročito, sadrži: programske postupke, izgled ekrana i izlaznih izveštaja, opis strukture podataka i mrežni dijagram.
Kada se radi o tajnim podacima, programskoj dokumentaciji i aplikativnim programima za rad sa ovim podacima određuje se vrsta i stepen tajnosti, u skladu sa propisima o zaštiti tajnih podataka.
Programi iz stava 1 ovog člana moraju biti tako izrađeni da se prilikom iskazivanja podataka na ekranu ili štampaču vidi i vrsta i stepen tajnosti podataka.
Programska podrška se ne može neovlašćeno koristiti, kopirati i umnožavati.
VIII MERE ZAŠTITE U RAČUNARSKIM MREŽAMA
Pod računarskim mrežama, u smislu ove uredbe, podrazumevaju se različiti načini komunikacionog povezivanja računarskih sistema: od kolekcije heterogenih i autonomnih računara do grupe računara koji rade pod jedinstvenom kontrolom u čvrstoj kooperaciji.
Prilikom projektovanja sistema zaštite u računarskoj mreži mora se voditi računa o potencijalnim pretnjama koje mogu da ugroze integritet mreže, a naročito o: neautorizovanom odlivanju informacija, neautorizovanoj modifikaciji informacija i neautorizovanom odbijanju korišćenja mrežnih resursa.
Prilikom projektovanja sistema zaštite u računarskoj mreži mora se obezbediti naročito: sprečavanje odlivanja sadržaja poruka, sprečavanje mogućnosti neovlašćenog obavljanja analize saobraćaja, detektovanje eventualne modifikacije kodiranih poruka, detektovanje nepotrebnog odbijanja korišćenja mrežnih resursa, detektovanje lažnih inicijalnih povezivanja korisnika mrežnih resursa.
Zaštita računarske mreže iz stava 1 ovog člana realizuje se naročito: tehnikom kriptozaštite i kombinovanjem kriptozaštite i posebnih protokola, pri čemu su mere zaštite linijski orijentisane ili korisnik - korisnik orijentisane, prema stručnim uputstvima nadležnog državnog organa.
Državni organ koji koristi drugu računarsku mrežu dužan je da se upozna sa merama zaštite te mreže i utvrdi da li mu korišćenje mreže odgovara sa stanovišta njene zaštićenosti.
IX OSTALI USLOVI ZA USPEŠNO FUNKCIONISANJE IS
Za uspešno funkcionisanje IS mora se obezbediti:
- provera stručnih znanja i obučenosti radnika, prilikom prijema u radni odnos,
- precizno definisanje poslova i zadataka svih učesnika u radu IS,
- odgovarajući broj kadrova za rad u IS,
- saradnja svih učesnika u radu IS,
- permanentno obrazovanje i stručno usavršavanje kadrova koji rade u IS,
- sistematsko osposobljavanje učesnika u radu IS za sprovođenje propisanih mera obezbeđivanja i zaštite IS.
X PRELAZNE I ZAVRŠNE ODREDBE
Državni organi su dužni da u roku od 6 meseci od dana stupanja na snagu ove uredbe preduzmu mere obezbeđivanja i zaštite IS u skladu sa ovom uredbom.
Republički zavod za javnu upravu pratiće sprovođenje ove uredbe.
Ova uredba stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Socijalističke Republike Srbije".