UREDBA
O BLIŽEM SADRŽAJU AKTA O BEZBEDNOSTI INFORMACIONO-KOMUNIKACIONIH SISTEMA OD POSEBNOG ZNAČAJA, NAČINU PROVERE I SADRŽAJU IZVEŠTAJA O PROVERI BEZBEDNOSTI INFORMACIONO-KOMUNIKACIONIH SISTEMA OD POSEBNOG ZNAČAJA

("Sl. glasnik RS", br. 94/2016)

Predmet Uredbe

Član 1

Ovom uredbom uređuje se bliži sadržaj akta o bezbednosti informaciono-komunikacionih sistema od posebnog značaja, način provere informaciono-komunikacionih sistema od posebnog značaja i sadržaj izveštaja o proveri informaciono-komunikacionog sistema od posebnog značaja.

Akt o bezbednosti IKT sistema od posebnog značaja

Član 2

Operator IKT sistema od posebnog značaja (u daljem tekstu: Operator IKT sistema) dužan je da donese akt o bezbednosti IKT sistema od posebnog značaja (u daljem tekstu: akt o bezbednosti) koji mora biti usklađen sa zakonom i ovom uredbom.

Sadržaj Akta o bezbednosti

Član 3

Aktom o bezbednosti, u skladu sa zakonom, određuju se mere zaštite, principi, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti sistema, kao i ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima IKT sistema od posebnog značaja (u daljem tekstu: IKT sistem).

Ukoliko su pojedina pitanja iz stava 1. ovog člana uređena drugim aktima operatora IKT sistema, akt o bezbednosti treba da sadrži upućujuće odredbe na ta akta.

Mere zaštite

Član 4

Mere zaštite određene aktom o bezbednosti moraju biti usklađene sa merama zaštite iz člana 7. Zakona o informacionoj bezbednosti i aktom Vlade kojima su mere zaštite bliže uređene (u daljem tekstu: Uredba o merama zaštite).

Opisi mera zaštite u okviru akta o bezbednosti treba da budu grupisani u 28 odeljaka prema nazivima i redosledu tačaka iz člana 7. stav 3. Zakona o informacionoj bezbednosti.

Svaki odeljak iz stava 2. ovog člana sadrži opis mera zaštite uključujući procedure, ovlašćenja i odgovornosti učesnika u sprovođenju mera, a ako su ti opisi sadržani u drugim aktima operatora IKT sistema navode se upućujuće odredbe na ta akta.

Ukoliko neki od uslova iz člana 7. stav 3. Zakona o informacionoj bezbednosti nije moguće primeniti ili je analiza rizika pokazala da određeni uslov nije neophodno primeniti u punom obimu, to je potrebno obrazložiti u aktu o bezbednosti.

Izmena Akta o bezbednosti

Član 5

Akt o bezbednosti mora da bude usklađen sa promenama u okruženju i u samom IKT sistemu.

Promene u okruženju i u samom IKT sistemu su one promene koje mogu dovesti do povećane izloženosti IKT sistema bezbednosnim rizicima, usled nastupanja tehničko-tehnoloških, kadrovskih, organizacionih promena u IKT sistemu i događaja na globalnom i nacionalnom nivou koji mogu narušiti informacionu bezbednost, kao i one promene koje stvaraju mogućnosti za unapređenje mera zaštite.

U slučaju promena iz stava 2. ovog člana, ukoliko je to potrebno, vrši se izmena Akta o bezbednosti, odnosno prilagođavanje i unapređenje mera zaštite, načina i procedura postizanja i održavanja adekvatnog nivoa bezbednosti IKT sistema, kao i preispitivanje ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima IKT sistema.

Provera IKT sistema

Član 6

Operator IKT sistema je dužan da vrši proveru IKT sistema, odnosno proveru usklađenosti primenjenih mera zaštite sa Aktom o bezbednosti, merama zaštite propisanim Zakonom o informacionoj bezbednosti i Uredbom o merama zaštite.

Provera može da se vrši samostalno ili uz angažovanje spoljnih eksperata.

Proverom se ocenjuje adekvatnost nivoa informacione bezbednosti putem provere mera zaštite, procedura i odgovornosti utvrđenih aktom o bezbednosti.

Proverom se utvrđuje ugroženost ili narušavanje informacione bezbednosti koja nastaje korišćenjem neodgovarajućih postupaka i tehničkih sredstava.

Operator IKT sistema je dužan da proveru vrši najmanje jednom godišnje i da o tome sačini izveštaj.

Provera se vrši tako što se:

1) proverava usklađenost Akta o bezbednosti IKT sistema, uzimajući u obzir i akta na koja se vrši upućivanje, sa propisanim uslovima, odnosno proverava da li su Aktom adekvatno predviđene mere zaštite, procedure, ovlašćenja i odgovornosti u IKT sistemu;

2) proverava da li se u operativnom radu adekvatno primenjuju predviđene mere zaštite i procedure u skladu sa utvrđenim ovlašćenjima i odgovornostima, metodama intervjua, simulacije, posmatranja, uvida u predviđene evidencije i drugu dokumentaciju;

3) vrši provera bezbednosnih slabosti na nivou tehničkih karakteristika komponenti IKT sistema metodom uvida u izabrane proizvode, arhitekture rešenja, tehničke konfiguracije, tehničke podatke o statusima, zapise o događajima (logove) kao i metodom testiranja postojanja poznatih bezbednosnih slabosti u sličnim okruženjima.

Sadržaj izveštaja o proveri IKT sistema

Član 7

Izveštaj o proveri IKT sistema sadrži:

1) naziv operatora IKT sistema koji se proverava;

2) vreme provere;

3) podaci o licima koja su vršila proveru;

4) izveštaj o sprovedenim radnjama provere;

5) zaključke po pitanju usklađenosti Akta o bezbednosti IKT sistema sa propisanim uslovima;

6) zaključke po pitanju adekvatne primene predviđenih mera zaštite u operativnom radu;

7) zaključke po pitanju eventualnih bezbednosnih slabosti na nivou tehničkih karakteristika komponenti IKT sistema;

8) ocena ukupnog nivoa informacione bezbednosti;

9) predlog eventualnih korektivnih mera;

10) potpis odgovornog lica koje je sprovelo proveru IKT sistema.

Prelazna odredba

Član 8

Akt o bezbednosti donosi se u roku od 90 dana od dana stupanja na snagu ove uredbe.

Završna odredba

Član 9

Ova uredba stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije".