PRAVILNIKO MERAMA KOJE SE PREDUZIMAJU U CILJU ZAŠTITE HIDROMETEOROLOŠKOG INFORMACIONOG SISTEMA I NAČINU DAVANJA SAGLASNOSTI ZA PRISTUP TOM SISTEMU("Sl. glasnik RS", br. 20/2013) |
Ovim pravilnikom propisuju se mere koje se preduzimaju u cilju zaštite hidrometeorološkog informacionog sistema (u daljem tekstu: mere zaštite) i način davanja saglasnosti za pristup tom sistemu.
Mere zaštite odnose se na elemente informacionog sistema, a naročito na računarsko-telekomunikacioni sistem i državni fond meteoroloških i hidroloških podataka i informacija koje nastaju u vršenju poslova iz nadležnosti Republičkog hidrometeorološkog zavoda (u daljem tekstu: Zavod) primenom informacionih tehnologija.
Mere zaštite odnose se i na programsku podršku, informatičku opremu, baze zvaničnih meteoroloških i hidroloških podataka i informacija i prostorije u kojima su smešteni oprema i instalacije.
Merama zaštite obezbeđuje se zaštita meteoroloških i hidroloških podataka i informacija od slučajnih ili namernih grešaka, neovlašćenog korišćenja i izmena, uništenja, oštećenja, krađe, kvara sistema, falsifikovanja i zloupotrebe podataka i informacija u svim delovima hidrometeorološkog informacionog sistema.
Merama zaštite obezbeđuje se permanentno operativno funkcionisanje hidrometeorološkog informacionog sistema, autentičnost meteoroloških i hidroloških podataka u graničnim i prekograničnim tokovima međunarodne razmene, kao i izvora i korisnika podataka, selektivan pristup i dostupnost podacima i drugim elementima hidrometeorološkog informacionog sistema.
Mere zaštite su:
1) organizacione mere zaštite;
2) tehničke mere zaštite.
Organizacione mere zaštite odnose se na organizaciju zaštite procesa rada i funkcionisanja hidrometeorološkog informacionog sistema u redovnim okolnostima i vanrednim situacijama.
Organizacione mere zaštite naročito obuhvataju:
1) donošenje opšteg akta Zavoda o merama zaštite i tehničkih uputstava za rad;
2) određivanje odgovornog lica Zavoda zaduženog za sprovođenje mera zaštite hidrometeorološkog informacionog sistema;
3) utvrđivanje obaveznih elemenata zaštite pri projektovanju informacionog sistema (podsistema) i pri operativnom radu;
4) zaštitu pristupa podacima i zaštitu od neovlašćenog korišćenja podataka i informacija;
5) utvrđivanje postupaka u slučaju vanrednih situacija (mere zaštite u vanrednim situacijama odnose se na nastavak rada u izmenjenim uslovima ili nastavak rada na rezervnim lokacijama i opremi);
6) ostale mere neophodne za efikasno funkcionisanje hidrometeorološkog informacionog sistema (kontrola kadrova pri prijemu, definisanje poslova i zadataka učesnika u radu informacionog sistema, stručno usavršavanje kadrova, definisanje obaveza pravnih i fizičkih lica angažovanih na održavanju pojedinih delova hidrometeorološkog informacionog sistema).
Organizacione mere zaštite iz stava 2. ovog člana sprovode se u skladu sa propisom kojim se uređuje obezbeđivanje i zaštita informacionih sistema državnih organa.
Tehničke mere zaštite odnose se na obezbeđenje i zaštitu podataka i informacija i drugih elemenata hidrometeorološkog informacionog sistema, koji se ostvaruju primenom posebnih tehničko-tehnoloških procesa rada i/ili sprovođenjem fizičko-manipulativnih mera zaštite u bilo kojoj proceduri u okviru rada hidrometeorološkog informacionog sistema.
Tehničke mere zaštite naročito obuhvataju:
1) fizičku zaštitu objekta u kome je smeštena računarska oprema i protivpožarnu zaštitu;
2) obezbeđivanje i zaštitu računarske opreme i računarskih nosioca podataka;
3) zaštitu programske podrške;
4) zaštitu računarskih mreža.
Tehničke mere zaštite obuhvataju i vođenje evidencije i vršenje kontrole:
1) autentičnosti meteoroloških i hidroloških podataka i informacija, njihovih izvora i korisnika;
2) selektivnog pristupa podacima i informacijama i ostalim elementima hidrometeorološkog informacionog sistema;
3) integriteta podataka izradom zaštitne kopije na početku i kraju svakog procesa rada i zaštite arhivskih kopija i prostorija u kojima se one čuvaju;
4) integriteta podataka i informacija u hidrometeorološkom informacionom sistemu u odnosu na pojavu virusa;
5) integriteta i zaštita poverljivosti podataka;
6) korišćenja postojećih i određivanja rezervnih lokacija, uređaja i opreme na kojima će se čuvati kopije baza podataka i projektno-programska podrška za nesmetan rad u slučaju otkazivanja i narušavanja redovnog rada hidrometeorološkog informacionog sistema;
7) primene standardnih i posebnih higijensko-tehničkih mera za sve elemente hidrometeorološkog informacionog sistema prilikom njihove izgradnje i korišćenja.
Tehničke mere zaštite iz st. 2. i 3. ovog člana primenjuju se na sve procese prikupljanja, obrade, arhiviranja, prenosa i distribucije podataka i informacija i sve delove hidrometeorološkog informacionog sistema i sprovode se u skladu sa propisom kojim se uređuje obezbeđivanje i zaštita informacionih sistema državnih organa.
Pored tehničkih mera zaštite iz člana 6. ovog pravilnika Zavod preduzima i sledeće mere zaštite, i to:
1) obezbeđenje prostorija u kojima se primaju, smeštaju i čuvaju podaci, propisanim merama fizičke zaštite (portiri i noćni čuvari, rešetke na prozorima i vratima) i protivpožarne zaštite;
2) obezbeđenje zaštite prostorija u kojima se primaju, smeštaju i čuvaju podaci od negativnih klimatskih uticaja, kao što su: vlažnost vazduha, neodgovarajuća temperatura i sunčeva svetlost;
3) obezbeđenje metalnih ormara za čuvanje podataka koji nisu podložni koroziji i u kojima je obezbeđena cirkulacija vazduha između unutrašnjih pregrada i oko ormara;
4) obezbeđenje računarske opreme uređajima za neprekidno napajanje električnom energijom;
5) zaštita od virusa;
6) izrada zaštitnih kopija podataka;
7) zaštita pristupa podacima;
8) vršenje stručnog nadzora.
Pristup i zaštita podataka hidrometeorološkog informacionog sistema vrši se u skladu sa propisom kojim se uređuje obezbeđivanje i zaštita informacionih sistema državnih organa.
Pristup delovima hidrometeorološkog informacionog sistema vrši se putem intraneta i interneta.
Pristup delovima hidrometeorološkog informacionog sistema putem intraneta i interneta obezbeđuje se:
1) davanjem slobode pristupa podacima i informacijama objavljenim na internet stranici Zavoda;
2) ograničenjem pristupa sistemu definisanjem korisnika sistema i obezbeđenjem sistema tako da samo registrovani korisnici mogu pristupiti sistemu;
3) dodeljivanjem različitih prava pristupa, u zavisnosti od ovlašćenja (uvid, pretraživanje i/ili naručivanje podataka);
4) pružanjem usluge "naručivanje preko definisanog upita".
Pristup hidrometeorološkom informacionom sistemu putem intraneta imaju zaposleni unutar organizacionih jedinica Zavoda.
Izuzetno od stava 1. ovog člana, pristup hidrometeorološkom informacionom sistemu putem intraneta mogu imati i državni organi i druga pravna lica kojima su povereni određeni poslovi od interesa za Republiku Srbiju.
Pristup subjekata iz stava 2. ovog člana hidrometeorološkom informacionom sistemu putem intraneta vrši se na osnovu posebnog ugovora ovih subjekata sa Zavodom.
Zavod obezbeđuje fizički nezavisan server za pristup podacima putem intraneta.
Pristup hidrometeorološkom informacionom sistemu u delu koji se odnosi na podatke i informacije objavljene na internet stranici Zavoda imaju svi državni organi, pravna i fizička lica.
Za potrebe pristupa hidrometeorološkom informacionom sistemu putem interneta Zavod obezbeđuje fizički povezane i nezavisne servere za podatke i za komunikaciju sa internet korisnicima.
Zaštita pristupa bazama podataka u hidrometeorološkom informacionom sistemu obezbeđuje se davanjem ovlašćenja neposrednim izvršiocima od strane odgovornog lica Zavoda da u bazi podataka vrše promene i ažuriranje.
Zaštita pristupa podacima putem intraneta vrši se putem selektivne identifikacije i autorizacije pristupa sistemu, uz korišćenje odgovarajućih korisničkih naloga i lozinki i različitih obima ovlašćenja.
Korisnički nalozi i lozinke formiraju se na sledećim nivoima:
1) pristup računarskom sistemu Zavoda;
2) rad sa aplikacijama u sistemu;
3) pristup bazama hidrometeorološkog informacionog sistema.
Odgovorno lice Zavoda vrši periodičnu zamenu lozinki i korisničkih naloga i za svaku kalendarsku godinu ažurno evidentira podatke o dodeli lozinki.
U slučaju da neovlašćeno lice sazna lozinku, lozinka se odmah menja, uz evidentiranje razloga promene lozinke.
Evidentirane podatke o korisničkim nalozima i lozinkama Zavod čuva na bezbednom mestu.
Zaštita pristupa podacima obezbeđuje se proverom autentičnosti i identiteta ovlašćenog lica na jedan od sledećih načina:
1) na osnovu lozinke koja se periodično menja;
2) na osnovu identifikacionih dokumenata: tehnologije Smart Card za proveru fizičkog i logičkog pristupa podacima i informacijama u hidrometeorološkom informacionom sistemu u celini i pojedinim njegovim delovima;
3) na osnovu drugih dokumenata (fotografija, potpis) koji omogućavaju utvrđivanje fizičkog identiteta ovlašćenog lica za pristup i delovanje u okviru određenog procesa i dela hidrometeorološkog informacionog sistema.
Nadležna organizaciona jedinica Zavoda mora da obezbedi autentičnost i zaštitu podataka koji se distribuiraju do krajnjeg korisnika kroz računarsku mrežu.
Zavod preduzima posebne mere zaštite tajnih podataka u hidrometeorološkom informacionom sistemu utvrđene propisom kojim se uređuju posebne mere zaštite tajnih podataka u informaciono-telekomunikacionim sistemima.
Ovaj pravilnik stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije".