UREDBAO POSEBNIM MERAMA ZAŠTITE TAJNIH PODATAKA U INFORMACIONO-TELEKOMUNIKACIONIM SISTEMIMA("Sl. glasnik RS", br. 53/2011) |
Ovom uredbom utvrđuju se posebne mere zaštite tajnih podataka u informaciono-telekomunikacionim sistemima.
II POSEBNE MERA ZAŠTITE TAJNIH PODATAKA U INFORMACIONO-TELEKOMUNIKACIONIM SISTEMIMA
Posebne mere zaštite tajnih podataka u informaciono-telekomunikacionim sistemima (u dalje tekstu: sistem) mogu biti tehničke i organizacione, a preduzimaju se u cilju sprečavanja slučajnih grešaka, nepravilnog i nedozvoljenog prikupljanja, čuvanja, obrade, korišćenja, oštećenja, uništenja, kao i falsifikovanja i zloupotrebe tajnih podatka.
Posebne mere zaštite tajnih podataka u sistemu odnose se na: objekat u kome je smešten sistem (oprema, dokumenti, programska podrška i mreža); prostor, prostorije, odnosno bezbednosne zone u kojima se obrađuju tajni podaci u sistemu; ovlašćena lica za upravljanje bezbednošću sistema; sve učesnike u radu sistema; korišćenje sistema za potrebe rada sa tajnim podacima; režim rada sistema; zaštitu tajnih podataka prilikom obrade i čuvanja u sistemu; zaštitu od rizika kompromitujućeg elektromagnetnog zračenja, kao i instaliranje uređaja za čuvanje tajnih podataka.
Tehničke mere iz člana 2. stav 1. ove uredbe naročito se odnose na:
1) fizičku zaštitu objekata, prostora, prostorije, odnosno bezbednosne zone u kojima se obrađuju tajni podaci u sistemu, kao i sredstava i dokumenata iz sistema;
2) protivpožarnu zaštitu;
3) obezbeđivanje i zaštitu opreme (izbor odgovarajuće i pouzdane opreme, obezbeđivanje opreme tokom njenog rada, redovno servisiranje i snabdevanje rezervnim delovima) i dokumenata pri njihovom korišćenju i čuvanju;
4) zaštitu programske podrške (u fazi projektovanja, razvoja i korišćenja programskog sistema);
5) zaštitu mreže (prilikom projektovanja i rada).
Organizacione mere iz člana 2. stav 1. ove uredbe naročito se odnose na:
1) organizaciju tehnologije rada u sistemu pri projektovanju (izrada preliminarne studije o razvoju kojom se utvrđuje stepen tajnosti podataka koji se obrađuju u sistemu i stepen tajnosti samog sistema, idejnog projekta, glavnog projekta, izvođačkog projekta i uvođenja projektovanih rešenja) i pri operativnim radu sistema (planiranje rada i vođenje evidencija o izvršavanju svih postupaka u radu sistema i kretanju dokumentacije);
2) utvrđivanje postupaka u slučaju vanrednih okolnosti;
3) ostale uslove za uspešno funkcionisanje sistema (kontrola prilikom zasnivanja radnog odnosa, utvrđivanje poslova i zadataka učesnika u radu sistema, stručna obuka zaposlenih i dr.).
Prostor, prostorije, odnosno bezbednosne zone u kojima se obrađuju tajni podaci u sistemu određuju se u skladu sa propisom kojim se utvrđuju posebne mere fizičko-tehničke zaštite tajnih podataka.
Organ javne vlasti, odnosno pravno lica koje po osnovu ugovornog odnosa pruža usluge organu javne vlasti (u daljem tekstu: pravno lice), određuju ovlašćeno lice za upravljanje bezbednošću sistema.
Ovlašćeno lice za upravljanje bezbednošću sistema u organu javne vlasti, odnosno pravnom licu, prati i ocenjuje bezbednosne karakteristike sistema.
Prilikom određivanja ovlašćenih lica za upravljanje bezbednošću sistema, organ javne vlasti, odnosno pravno lice, dužni su da obezbede da jedno lice ne kontroliše sve važne elemente bezbednosti sistema, kao i da ta lica poseduju odgovarajući sertifikat za pristup tajnim podacima.
Sistem mora da ispunjava uslove za:
1) zaštitu od neautorizovanog pristupa, koja podrazumeva identifikovanje i pouzdano garantovanje identiteta (autentikacija) lica koja imaju pristup sistemu;
2) kontrolu i vođenje evidencije o pristupu sistemu;
3) kontinuirano beleženje (automatizovano, ručno ili kombinovano) o bezbednosnom stanju sistema (bezbednosni zapis), aktivnostima sistema, kao i izmenama postojećeg stanja sistema;
4) proučavanje bezbednosnih zapisa od strane ovlašćenih lica;
5) određivanje ovlašćenja korisnicima u vezi sa bezbednošću sistema;
6) određivanje ovlašćenja korisnicima u vezi sa korišćenjem sistema;
7) obezbeđivanje bezbednog načina označavanja stepena tajnosti;
8) identifikaciju korisnika koji vrši izmene, štampanje, presnimavanje ili brisanje tajnog dokumenta;
9) beleženje izmene, štampanje, presnimavanje ili brisanje tajnog podatka od strane korisnika;
10) zaštitu važnih tehničkih i programskih elemenata, sistemskih mogućnosti i funkcionalnosti sistema;
11) obezbeđenje rezervnih arhiva tajnih podataka, za slučaj gubitka postojećih arhiva, kao i vođenje evidencija o pristupu arhivama.
Sistem radi u jednom od sledećih bezbednosnih režima:
1) "NESELEKTIVNI";
2) "SELEKTIVNI";
3) "SA VIŠE NIVOA".
Rukovodilac organa javne vlasti, odnosno odgovorno lice u pravnom licu posebnim aktom određuje bezbednosni režim rada sistema.
U sistemu koji radi u bezbednosnom režimu "NESELEKTIVNI", sva lica koja imaju pristup tom sistemu moraju da imaju sertifikat za pristup tajnim podacima najvišeg stepena tajnosti podataka koji se obrađuju u sistemu i imaju pristup svim tajnim podacima koji se obrađuju u sistemu.
U sistemu koji radi u bezbednosnom režimu "SELEKTIVNI", sva lica koja imaju pristup tom sistemu moraju da imaju sertifikat za pristup tajnim podacima najvišeg stepena tajnosti podataka koji se obrađuju u sistemu i mogu pristupati samo određenim tajnim podacima.
U sistemu koji radi u bezbednosnom režimu "SA VIŠE NIVOA", lica koja imaju pristup tom sistemu ne moraju da imaju sertifikat za pristup tajnim podacima najvišeg stepena tajnosti podataka koji se obrađuju u sistemu i imaju pristup samo određenim tajnim podacima koji se obrađuju u sistemu.
Selektivan pristup sistemu i selektivan pristup tajnim podacima u sistemu sprovodi se pomoću odgovarajućeg hardvera i softvera.
Tajni podatak ne sme se prenositi kroz sistem izvan bezbednosnih zona bez primene metoda i sredstava kriptozaštite, koji su odobreni od strane organa nadležnog za sprovođenje poslova u oblasti kriptozaštite.
Radi održavanja bezbednosti sistema u toku njegovog korišćenja, organ javne vlasti, odnosno pravno lice sprovodi:
1) periodičnu proveru sistema, svih njegovih delova i medija za čuvanje i prenos tajnih podataka, kao i sagledavanje dostignutih uslova za obezbeđenje poverljivosti, raspoloživosti, integriteta i autentičnosti tajnih podataka u sistemu;
2) čuvanje podataka koji se odnose na sistem, kao i tajnih podataka koji se obrađuju u sistemu na posebnim dokumentima, uz obavezno vođenje rezervnih evidencija i primenu mera zaštite koje su predviđene za podatke sa najvišim stepenom tajnosti podataka koji se nalaze u sistemu;
3) instaliranje hardvera, softvera i konfigurisanje sistema od strane ovlašćenih lica;
4) primenjivanje novih tehničkih i programskih sredstava u sistemu u skladu sa odgovarajućim tehničkim standardima SRPS ISO/IEC 27001 i SRPS ISO/IEC 17799;
5) servisiranje i popravku sredstava iz sistema na način koji ne narušava bezbednost sistema;
6) kontrolni pregled na sredstvima iz sistema koja su bila na servisiranju i popravci izvan organa javne vlasti, odnosno pravnog lica od uticaja kompromitujućeg elektromagnetnog zračenja od strane stručnih lica;
7) odgovarajući postupak prilikom neovlašćenog otkrivanja tajnosti dokumenta ili gubitka dokumenta koji sadrži tajni podatak;
8) odgovarajući postupak prilikom otkrivanja neovlašćenog upada u sistem;
9) planiranje mera bezbednosti u slučaju vanrednih situacija.
Prenosiva informaciono-telekomunikaciona sredstva i dokumenta koja se koriste u sistemu, smatraju se tajnim podatkom i mogu se uključiti u sistem samo ako je prethodno izvršena provera mogućeg ugrožavanja sistema od strane stručnih lica organa javne vlasti, odnosno pravnog lica.
Ako organ javne vlasti, odnosno pravno lice nema stručna lica za proveru iz stava 1. ovog člana, provera se vrši u organu javne vlasti koji ima stručna lica, na osnovu međusobnog sporazuma.
Dokumenta koja se koriste u sistemu, označena različitim stepenima tajnosti, označavaju se višim stepenom tajnosti, u skladu sa zakonom.
Dokumenti koji obezbeđuju pristup sistemu (šifre, lozinke, elementi identifikacije i dr.) štite se merama predviđenim za zaštitu podataka koji se nalaze u sistemu, označenim sa najvišim stepenom tajnosti.
Privatna informaciono-telekomunikaciona sredstva i prenosivi dokumenti (lični računari, prenosivi računari, diskete, memorijski moduli i dr) ne mogu se koristiti za obradu tajnih podataka.
Ako se tajnom podatku stepena tajnosti "DRŽAVNA TAJNA" ili "STROGO POVERLJIVO" promeni ili ukine stepen tajnosti, dokumentu na kojem je taj podatak bio zapisan u elektronskom obliku, ne može se promeniti ili ukinuti stepen tajnosti.
Ako se tajnom podatku stepena tajnosti "POVERLJIVO" ili "INTERNO" promeni ili ukine stepen tajnosti, dokumentu na kojem je taj podatak bio zapisan u elektronskom obliku, može se promeniti ili ukinuti stepen tajnosti, samo kad je taj podatak izbrisan na način da ga je nemoguće obnoviti softverskim alatom.
Dokumenta iz st. 1. i 2. ovog člana moraju se uništiti nakon isteka roka njihove upotrebe ili nakon isteka roka upotrebe sistema u kojem su se koristili, u skladu sa propisom kojim se utvrđuju posebne mere fizičko-tehničke zaštite tajnih podataka.
Tehnički zastarela ili oštećena dokumenta na kojima su čuvani tajni podaci uništavaju se, u skladu sa propisom kojim se utvrđuju posebne mere fizičko-tehničke zaštite tajnih podataka.
Korišćenje automatizovanih informaciono-telekomunikacionih sredstava koja rade bez prisustva operatera zasniva se na proceni rizika bezbednosti sistema, koju vrši rukovodilac organa javne vlasti, odnosno odgovorno lice u pravnom licu.
Svi delovi sistema koji se koriste za obradu tajnih podataka stepena tajnosti "DRŽAVNA TAJNA", "STROGO POVERLJIVO" ili "POVERLJIVO" moraju biti zaštićeni od kompromitujućeg elektromagnetnog zračenja, primenom tehničkih, odnosno operativnih mera za zaštitu od uticaja tog zračenja, u skladu s procenom rizika od kompromitujućeg elektromagnetnog zračenja.
Instaliranje uređaja i softvera u sistemu vrši ovlašćeno lice za upravljanje bezbednošću sistema u organu javne vlasti, odnosno pravnom licu.
Ako se tajni podaci razmenjuju sa stranom državom ili međunarodnom organizacijom, pored posebnih mera predviđenih ovom uredbom, primenjuju se i standardi za bezbednost mreža, uređaja za prenos, međusobnu povezanost sistema i kriptozaštitu tajnih podataka, predviđeni međunarodnim sporazumom.
III KORIŠĆENJE SISTEMA ZA POTREBE RADA SA TAJNIM PODACIMA
Organ javne vlasti, kao i pravno lice koje namerava da koristi sistem za obradu i čuvanje tajnih podataka, prethodno izvršava procenu mogućeg ugrožavanja bezbednosti tajnih podataka od upada u sistem, kao i procenu ugrožavanja upotrebe i uništavanja tajnih podataka koji su obrađeni i sačuvani u sistemu (u daljem tekstu: procena rizika bezbednosti sistema).
Procena rizika bezbednosti sistema odnosi se na utvrđivanje rizika, procenu rizika koji se ne mogu izbeći, procenu ugroženosti sistema, kao i pretnje i moguće posledice realizacije pretnji za sistem, uključujući i rizike u vezi sa okruženjem u kojem se sistem koristi.
Procena rizika bezbednosti sistema vrši se periodično, u skladu sa planom za procenu rizika sistema koji donosi rukovodilac organa javne vlasti, odnosno odgovorno lice u pravnom licu.
Ako organ javne vlasti, odnosno pravno lice imaju potrebu da povežu svoje sisteme, zaključuju sporazum o povezivanju tih sistema.
Uz procenu rizika bezbednosti sistema rukovodilac organa javne vlasti, odnosno odgovorno lice u pravnom licu donosi akt kojim propisuje bezbednosni postupak za prijem, obradu, prenos, čuvanje i arhiviranje tajnih podataka u elektronskom obliku, kao i čuvanje projektne dokumentacije (preliminarne studije o razvoju sistema, idejni projekat, glavni projekat i izvođački projekat).
Procena rizika bezbednosti sistema vrši se za sistem u kome se obrađuju, prenose i čuvaju tajni podaci stepena tajnosti "DRŽAVNA TAJNA", "STROGO POVERLJIVO" i "POVERLJIVO".
Za sistem u kome se obrađuju tajni podaci koji su označeni stepenom tajnosti "INTERNO", organ javne vlasti, odnosno pravno lice obezbeđuje održavanje odgovarajućeg nivoa bezbednosti tajnih podataka (poverljivosti, celovitosti, autentičnosti ili dostupnosti), u skladu sa propisima kojima se uređuje informaciona bezbednost.
Proveru sprovođenja nivoa bezbednosti iz stava 2. ovog člana, vrši organ javne vlasti ili pravno lice, odnosno ovlašćeno lice za upravljanje bezbednošću sistema.
IV UPRAVLJANJE RIZIKOM BEZBEDNOSTI SISTEMA
Upravljanje rizikom bezbednosti sistema sastoji se od trajnog procenjivanja i obrade rizika, radi sprečavanja uništenja, otuđenja, gubitka i neovlašćenog pristupa tajnim podacima.
Organ javne vlasti, odnosno pravo lice donosi odluku o upravljanju rizikom bezbednosti sistema.
Obrada rizika bezbednosti sistema predstavlja aktivnost u kojoj se za svaki procenjeni rizik utvrđuje stepen prihvatljivosti rizika, u cilju njegovog prihvatanja, smanjenja ili izbegavanja.
Rizik se smatra prihvatljivim ako bi nastala šteta bila manja od štete koja bi nastala usled nesprovođenja bezbednosnih mera.
Smanjivanje rizika sprovodi se primenom bezbednosnih mera, u cilju sprečavanja uništenja, otuđenja, gubitka i neovlašćenog pristupa tajnim podacima.
Izbegavanje rizika podrazumeva preduzimanje bezbednosnih mera, u cilju izbegavanja radnji koje bi mogle izazvati rizik.
Posle donošenja odluke o obradi rizika, organ javne vlasti, odnosno pravno lice, donosi akt o obradi rizika kojim se utvrđuje sprovođenje potrebnih bezbednosnih mera.
Rezultati procenjivanja i obrade rizika redovno se revidiraju, u skladu sa potrebama organa javne vlasti, odnosno pravnih lica, na osnovu nastalih unutrašnjih ili spoljašnjih promena sistema.
Ova uredba stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije".