PRAVILNIK

O BEZBEDNOSTI INFORMACIONO-KOMUNIKACIONOG SISTEMA GRADSKE UPRAVE GRADA SOMBORA

("Sl. list Grada Sombora", br. 7/2017)

 

I OPŠTE ODREDBE

Član 1

Ovim pravilnikom se utvrđuju mere zaštite, principi, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti informaciono-komunikacionog sistema Gradske uprave grada Sombora (u daljem tekstu: IKT sistem), kao i ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima IKT sistema koji koristi Gradska uprava grada Sombora.

Član 2

Pojedini termini upotrebljeni u ovom Pravilniku imaju sledeće značenje:

1) Operator je Gradska uprava grada Sombora, koja, u okviru obavljanja svoje delatnosti, odnosno za obavljanje poslova iz svoje nadležnosti, koristi IKT sistem;

2) informaciona dobra su svi resursi Gradske uprave grada Sombora koji sadrže poslovne informacije, odnosno svi resursi putem kojih se vrši izrada, obrada, čuvanje, prenos, brisanje i uništavanje podataka u IKT sistemu, uključujući sve elektronske zapise, računarsku opremu, mobilne uređaje, baze podataka, poslovne aplikacije i sl;

3) korisnik IKT sistema je zaposleni u Gradskoj upravi grada Sombora i drugi korisnik resursa IKT sistema;

4) nadležni subjekt IKT sistema je organizaciona jedinica Gradske uprave grada Sombora u čijoj su nadležnosti poslovi planiranja razvoja, održavanja i funkcionisanja računarsko-komunikacione infrastrukture i razvoj informacionih tehnologija.

Član 3

O informacionim dobrima vodi se posebna evidencija.

Evidenciju iz stava 1. ovog člana vodi zaposleni u skladu sa važećom sistematizacijom radnih mesta (u daljem tekstu: nadležni subjekt IKT sistema).

Član 4

Pod poslovima iz oblasti bezbednosti IKT sistema smatraju se:

- poslovi zaštite informacionih dobara, odnosno sredstava i imovine za nadzor nad poslovnim procesima od značaja za informacionu bezbednost,

- poslovi upravljanja rizicima u oblasti informacione bezbednosti, kao i poslovi predviđeni procedurama u oblasti informacione bezbednosti,

- poslovi onemogućavanja, odnosno sprečavanja neovlašćene ili nenamerne izmene, oštećenja ili zloupotrebe sredstava, odnosno informacionih dobara IKT sistema Operatora, kao i pristup, izmena ili korišćenje sredstava bez ovlašćenja i bez evidencije o tome,

- praćenje aktivnosti, revizije i nadzora u okviru upravljanja informacionom bezbednošću i

- obaveštavanje nadležnih organa o incidentima u IKT sistemu, u skladu sa propisima.

II KORIŠĆENJE IKT SISTEMA

1. Upravljanje IKT sistemom

Član 5

IKT sistemom upravlja nadležni subjekt IKT sistema.

Nadležni subjekt IKT sistema je dužan da sve korisnike resursa IKT sistema upozna sa odgovornostima i pravilima korišćenja resursa IKT sistema, da ih obuči za korišćenje resursa IKT sistema, da po završetku obuke od zaposlenog uzme izjavu o obučenosti za korišćenje resursa IKT sistema i da o istima vodi evidenciju.

Član 6

U slučaju promene radnog mesta, odnosno nadležnosti korisnika IKT sistema, nadležni subjekt IKT sistema će izvršiti promenu prava u korišćenju IKT sistema koje je korisnik IKT sistema imao u skladu sa opisom radnih zadataka.

Član 7

U slučaju prestanka radnog angažovanja korisnika IKT sistema, korisnički nalog se ukida.

Korisnik IKT sistema, kome je prestalo radno angažovanje po bilo kom osnovu kod Operatora, ne sme da otkriva podatke koji su od značaja za informacionu bezbednost IKT sistema.

2. Administratorski i korisnički nalog

Član 8

Pravo pristupa IKT sistemu imaju samo zaposleni, odnosni korisnici koji imaju administratorske i korisničke naloge.

Administratorski nalog je jedinstven nalog kojim je omogućen pristup i administracija svih resursa IKT sistema. Administratorski nalog može da koristi samo zaposleni koji je raspoređen na poslove i radne zadatke administratora IKT sistema.

Korisnički nalog je nalog koji sadrži korisničko ime i lozinku, koji se mogu ukucavati ili čitati sa medija na kome postoji elektronski sertifikat, na osnovu kojih se vrši autentifikacija - provera identiteta i autorizacija - provera prava pristupa, odnosno prava korišćenja resursa IKT sistema od strane korisnika IKT sistema.

Korisnički nalog dodeljuje administrator IKT sistema, na osnovu zahteva organizacione jedinice Operatora nadležne za upravljanje ljudskim resursima, odnosno rukovodioca u organizacionim jedinicima Operatora. Na osnovu poslova i radnih zadataka, administrator IKT sistema određuje prava pristupa u skladu sa potrebama obavljanja poslovnih zadataka od strane korisnika IKT sistema.

Administrator IKT sistema vodi evidenciju o korisničkim nalozima, proverava njihovo korišćenje, menja prava pristupa i ukida korisničke naloge na osnovu zahteva organizacione jedinice Operatora nadležne za upravljanje ljudskim resursima, odnosno rukovodioca u organizacionim jedinicima Operatora.

3. Odgovornosti korisnika za zaštitu sopstvenih sredstava za autentikaciju

Član 9

Korisnički nalog se sastoji od korisničkog imena i lozinke.

Korisničko ime se kreira po matrici ime, prezime, latiničnim pismom bez upotrebe đ, ž, lj, nj, ć, č, dž, š. Umesto ovih slova koriste se slova iz sledeće tabele:

Ćirilična slova

Latinična slova

Latinična slova u lozinkama

ђ

dj

dj

ж

ž

z

љ

lj

lj

њ

nj

nj

ћ, ч

ć,č

c

ш

š

s

џ

dz

Lozinka mora da sadrži minimum šest karaktera kombinovanih od malih i velikih slova i cifara.

Lozinka ne sme da sadrži prepoznatljive podatke korisnika IKT sistema.

Ako korisnik IKT sistema posumnja da je drugo lice otkrilo njegovu lozinku dužan je da o tome odmah obavesti administratora IKT sistema.

Korisnik IKT sistema dužan je da menja lozinku u skladu sa potrebama.

Neovlašćeno ustupanje korisničkog naloga drugom licu podleže disciplinskoj odgovornosti.

Za poslove izvršene pod određenim korisničkim imenom i lozinkom odgovoran je korisnik IKT sistema kojem su dodeljeni.

III PREDMET, MERE I SUBJEKTI ZAŠTITE IKT SISTEMA

1. Predmet zaštite IKT sistema

Član 10

Predmet zaštite IKT sistema su:

- hardverske i softverske komponente IKT sistema,

- podaci koji se obrađuju ili čuvaju na komponentama IKT sistema i

- korisnički nalozi i drugi podaci o korisnicima informatičkih resursa IKT sistema.

2. Mere i subjekti zaštite IKT sistema

Član 11

Mere propisane ovim pravilnikom se odnose na sve organizacione jedinice Operatora, na sve korisnike IKT sistema Operatora, kao i na treća lica koja koriste informatičke resurse Operatora.

Član 12

Merama zaštite IKT sistema Operatora obezbeđuje se prevencija od nastanka incidenata, odnosno prevencija i minimizacija štete od incidenata koji ugrožavaju vršenje nadležnosti i obavljanje delatnosti, a posebno u okviru pružanja usluga drugim licima.

Radi zaštite tajnosti, autentičnosti i integriteta podataka, Operator može da razmotri korišćenje odgovarajućih mera kripto zaštite.

Član 13

Poslove iz oblasti bezbednosti IKT sistema Operatora obavlja nadležni subjekt IKT sistema.

3. Obaveze korisnika

Član 14

Korisnik IKT sistema je dužan da poštuje i sledeća pravila bezbednog i primerenog korišćenja resursa IKT sistema:

1) da koristi informatičke resurse isključivo u poslovne svrhe;

2) da prihvati da su svi podaci koji se skladište, prenose ili obrađuju u okviru informatičkih resursa vlasništvo Operatora i da mogu biti predmet nadgledanja i pregledanja;

3) da postupa sa poverljivim podacima u skladu sa propisima, a posebno prilikom kopiranja i prenosa podataka;

4) da bezbedno čuva svoje lozinke u odnosu na druga lica;

5) da menja lozinke saglasno utvrđenim pravilima;

6) da se, pre svakog udaljavanja od radne stanice, odjavi sa sistema, odnosno zaključa radnu stanicu;

7) da koristi DVDW, CDRW i USB eksterne memorije na radnoj stanici samo uz odobrenje nadležnog subjekta IKT sistema;

8) da zahtev za instalaciju softvera ili hardvera podnosi u pisanoj formi, odobren od strane nadležnog rukovodioca;

9) da obezbedi sigurnost podataka u skladu sa važećim propisima;

10) da pristupa informatičkim resursima samo na osnovu izričito dodeljenih korisničkih prava od strane nadležnog subjekta IKT sistema;

11) da ne sme da zaustavlja rad ili briše antivirusni program, menja njegove podešene opcije niti da neovlašćeno instalira drugi antivirusni program;

12) da ne sme na radnoj stanici da skladišti sadržaj koji ne služi u poslovne svrhe;

13) da izrađuje zaštitne kopije (backup) podataka u skladu sa propisanim procedurama;

14) da koristi Internet, Intranet i e-mail servis Operatora u skladu sa propisanim procedurama;

15) da prihvati da se određene vrste informatičkih intervencija obavljaju u utvrđeno vreme;

16) da prihvati da svi pristupi informatičkim resursima i informacijama treba da budu zasnovani na principu minimalne neophodnosti;

17) da prihvati instalaciju tehnika i programa u cilju sigurnosti IKT sistema;

18) da ne sme da instalira, modifikuje, isključuje iz rada ili briše zaštitni, sistemski ili aplikativni softver.

4. Ograničenje pristupa podacima i sredstvima za obradu podataka

Član 15

Pristup resursima IKT sistema određen je vrstom naloga koji korisnik IKT sistema ima.

Korisnik IKT sistema koji ima administratorski nalog, ima prava pristupa svim resursima IKT sistema (softverskim i hardverskim, mreži i mrežnim resursima) u cilju instalacije, održavanja, podešavanja i upravljanja resursima IKT sistema.

Korisnik IKT sistema može da koristi samo svoj korisnički nalog koji je dobio od administratora IKT sistema i ne sme da omogući drugom licu korišćenje njegovog korisničkog naloga, sem administratoru IKT sistema za podešavanje korisničkog profila i radne stanice.

Korisnik IKT sistema koji na bilo koji način zloupotrebi prava, odnosno resurse IKT sistema, podleže krivičnoj i disciplinskoj odgovornosti.

IV POJEDINAČNE MERE ZAŠTITE

1. Fizička zaštita objekata, prostora, prostorija odnosno zona u kojima se nalaze sredstva i dokumenti IKT sistema i obrađuju podaci u IKT sistemu

Član 16

Prostor u kome se nalaze računari za vođenje baza podataka i centralni računar (server), mrežna ili komunikaciona oprema IKT sistema, organizuje sa kao administrativna zona.

Administrativna zona se uspostavlja za fizički pristup resursima IKT sistema u kontrolisanom, vidljivo označenom prostoru, koji je obezbeđen mehaničkom bravom. Evidenciju o ulasku u ovu zonu vodi nadležni subjekt IKT sistema.

Član 17

Ulaz u prostoriju u kojoj se nalazi IKT oprema, dozvoljen je samo zaposlenima u nadležnom subjektu IKT sistema odnosno administratoru IKT sistema.

Osim lica iz stava 1. ovog člana, pristup administrativnoj zoni mogu imati i treća lica u cilju instalacije i servisiranja određenih resursa IKT sistema, a po prethodnom odobrenju načelnika Gradske uprave.

Prostorija iz stava 1. ovog člana mora biti vidljivo obeležena i u njoj se mora nalaziti protivpožarna oprema, koja se može koristiti samo u slučaju požara u prostoriji u kojoj se nalazi IKT oprema i mediji sa podacima.

Prozori i vrata na prostoriji iz stava 1. ovog člana moraju uvek biti zatvoreni.

Serveri i aktivna mrežna oprema (switch, modem, router, firewal), moraju stalno biti priključeni na uređaje za neprekidno napajanje - UPS.

U slučaju nestanka električne energije, u periodu dužem od kapaciteta UPS-a, ovlašćeno lice je dužno da isključi opremu u skladu sa procedurama proizvođača opreme.

U slučaju iznošenja opreme iz prostorije iz stava 1. ovog člana radi selidbe ili servisiranja, neophodno je odobrenje načelnika Gradske uprave koji će odrediti uslove, način i mesto iznošenja opreme.

Ako se oprema iznosi radi servisiranja, pored odobrenja načelnika Gradske uprave, potrebno je sačiniti zapisnik u kome se navodi naziv i tip opreme, serijski broj, naziv servisera, ime i prezime ovlašćenog lica servisera.

Ugovorom sa serviserom obavezno se definiše obaveza zaštite podataka koji se nalaze na medijima koji su deo IKT resursa Operatera.

2. Bezbednost rada na daljinu i upotreba mobilnih uređaja

Član 18

Neregistrovani korisnici putem mobilnih uređaja mogu pristupiti sledećim resursima IKT sistema Operatora: Internetu, e-mail servisu i web site-u.

Korisnici IKT sistema, mogu putem mobilnih uređaja ili računara, koji su u vlasništvu Operatora i koji su podešeni od strane nadležnog subjekta IKT sistema, da pristupaju samo onim delovima IKT sistema koji im omogućavaju obavljanje radnih zadataka u okviru njihove nadležnosti kao što su elektronska pošta, pojedine aplikacije vezane za obavljanje posla i drugo, a na osnovu pisane saglasnosti načelnika Gradske uprave.

Mobilni uređaji moraju biti podešeni tako da omoguće siguran i bezbedan pristup, uz aktivan odgovarajući softver za zaštitu od virusa i drugog zlonamernog softvera.

Korisniku IKT sistema je zabranjena samostalna instalacija softvera i podešavanje mobilnog uređaja, kao i davanje uređaja neovlašćenim licima.

Nadležni subjekt IKT sistema svakodnevno kontroliše pristup resursima IKT sistema i proverava da li ima pristupa sa nepoznatih uređaja.

Ukoliko se ustanovi neovlašćen pristup, o tome se putem elektronske pošte odmah, a najkasnije sutradan obaveštava načelnik Gradske uprave.

Član 19

Pristup resursima IKT sistema sa privatnog uređaja nije dozvoljen, osim ako je uređaj u vlasništvu Operatora oštećen i nije obezbeđena zamena.

Saglasnost na korišćenje privatnog uređaja u slučaju iz stava 1. ovog člana daje načelnik Gradske uprave.

Evidenciju privatnih uređaja sa kojih će biti omogućen pristup vodi nadležni subjekt IKT sistema.

Član 20

Privatni uređaji sa kojih će se pristupati resursima IKT sistema moraju biti podešeni od strane nadležnog subjekta IKT sistema.

Privatni uređaji sa kojih se može pristupati resursima IKT sistema mogu se koristiti samo za obavljanje poslova u nadležnosti korisnika IKT sistema i to samo u periodu kada nije moguće koristiti uređaj u vlasništvu Operatora.

Nadležni subjekt IKT sistema je dužan da, pre predaje uređaja ovlašćenom servisu, uradi backup podataka koji se nalaze u mobilnom uređaju, a potom ih obriše iz uređaja, a da po izvršenom servisiranju vrati podatke u mobilni uređaj.

3. Zaštita nosača podataka

Član 21

Podaci koji se nalaze u IKT sistemu predstavljaju tajni podatak koji je, u skladu sa propisima o tajnosti podataka, određen ili označen određenim stepenom tajnosti.

Podaci koji se označe kao tajni, moraju biti zaštićeni u skladu sa odredbama Uredbe o posebnim merama zaštite tajnih podataka u informaciono-telekomunikacionim sistemima.

Član 22

Nadležni subjekt IKT sistema će uspostaviti organizaciju pristupa podacima, posebno onima koji budu označeni tajnim u skladu sa Zakonom o tajnosti podataka, tako da dokumenti sa oznakom tajnosti mogu da se snime, odnosno arhiviraju ili zapišu na fajl serveru u folderu nad kojim će pravo pristupa imati samo korisnici IKT servisa koji na to budu imali pravo.

Dokumenti sa oznakom tajnosti može da snimi na druge nosače (eksterni HDD, USB, CD, DVD), samo načelnik Gradske uprave ili zaposleni kojeg načelnik Gradske uprave ovlasti pisanim putem.

Evidenciju nosača na kojima su snimljeni podaci sa oznakom tajnosti, vodi nadležni subjekt IKT sistema. Nosači na kojima se nalaze dokumenti sa oznakom tajnosti moraju biti propisno obeleženi i odloženi na mesto na kome će biti zaštićeni od neovlašćenog pristupa.

U slučaju transporta nosača sa podacima sa oznakom tajnosti, načelnik Gradske uprave će odrediti odgovornu osobu i način transporta.

Prilikom brisanja podataka za oznakom tajnosti sa nosača na kojima su se nalazili, podaci moraju biti nepovratno obrisani, a ako to nije moguće, takvi nosači moraju biti fizički oštećeni, odnosno uništeni.

4. Obezbeđivanje ispravnog i bezbednog funkcionisanja sredstava za obradu podataka

Član 23

Za razvoj i testiranje softvera pre uvođenja u rad u IKT sistem moraju se koristiti serveri koji su namenjeni testiranju i razvoju.

Zabranjeno je korišćenje servera koji se koriste u operativnom radu za testiranje softvera.

Pre uvođenja u rad novog softvera neophodno je napraviti kopiju - arhivu postojećih podataka.

5. Zaštita podataka i sredstava za obradu podataka od zlonamernog softvera

Član 24

Zaštita od zlonamernog softvera na mreži sprovodi se u cilju zaštite od virusa i druge vrste zlonamernog koda koji u računarsku mrežu mogu dospeti internet konekcijom, email-om, zaraženim prenosnim medijima (USB memorija, CD itd.), instalacijom nelicenciranog softvera i sl.

Za uspešnu zaštitu od virusa na svakom računaru se instalira antivirusni program.

Svakodnevno se automatski u tačno određeno vreme vrši dopuna antivirusnih definicija.

6. Zaštita pri korišćenju interneta

Član 25

U cilju zaštite, odnosno upada u IKT sistem Operatora sa interneta, nadležni subjekt IKT sistema je dužan da održava sistem za sprečavanje upada.

Rukovodioci organizacionih jedinica Operatora određuju koji zaposleni imaju pravo pristupa internetu radi prikupljanja podataka i ostalih informacija vezanih za obavljanje poslova u njihovoj nadležnosti.

Funkcioneri i zaposleni kojima je odobreno korišćenje interneta i elektronske pošte dužni su da prilikom korišćenja istog postupaju po međunarodnim konvencijama i pravilima ponašanja.

Korisnicima koji su priključeni na IKT sistem je zabranjeno samostalno priključenje na internet, odnosno priključenje preko sopstvenog modema.

Nadležni subjekt IKT sistema može ukinuti pristup internetu u slučaju dokazane zloupotrebe istog.

Korisnici IKT sistema kojima je odobreno korišćenje interneta dužni su da se pridržavaju mera zaštite od virusa i upada sa interneta u IKT sistem, a svaki računar čiji se korisnik priključuje na internet mora biti odgovarajuće podešen i zaštićen, pri čemu podešavanje vrši nadležni subjekt IKT sistema.

Prilikom korišćenja interneta korisnik IKT sistema kome je odobreno korišćenje interneta dužan je izbegavati sumnjive WEB stranice, u cilju sprečavanja instaliranja programa koji mogu naneti štetu IKT sistemu.

U slučaju da korisnik primeti neobično ponašanje računara, tu pojavu je dužan da bez odlaganja prijavi nadležnom subjektu IKT sistema.

Član 26

Korisniku IKT sistema kome je dozvoljeno korišćenje interneta, zabranjeno je gledanje filmova i igranje igrica na računarima i pretraživanje WEB stranica koje sadrže pornografski i ostali nedoličan sadržaj, kao i samovoljno preuzimanje istih sa interneta.

Član 27

Nedozvoljena upotreba interneta obuhvata i:

- instaliranje, distribuciju, oglašavanje, prenos ili na drugi način činjenje dostupnim "piratskih" ili drugih softverskih proizvoda koji nisu licencirani na odgovarajući način;

- narušavanje sigurnosti mreže ili na drugi način onemogućavanje poslovne internet komunikacije;

- namerno širenje destruktivnih i opstruktivnih programa na internetu (internet virusi, internet trojanski konji, internet crvi i druga vrsta nedozvoljenih softvera);

- nedozvoljeno korišćenje društvenih mreža i drugih internet sadržaja koje je ograničeno odlukom nadležnog organa Operatora;

- preuzimanje podataka u količini koja prouzrokuje veliko opterećenje na mreži;

- preuzimanje materijala zaštićenih autorskim pravima;

- korišćenje linkova koji nisu u vezi sa poslom;

- nedozvoljeni pristup sadržaju, promena sadržaja, brisanje ili prerada sadržaja preko interneta.

7. Zaštita od gubitka podataka

Član 28

Za potrebe obnove, baze podataka obavezno se arhiviraju na prenosive medije (CD, DWD, STRIMER TRAKA, EKSTERNI HDD), najmanje jednom dnevno, nedeljno, mesečno i godišnje, nakon radnog vremena.

Ostali fajlovi - dokumenti se arhiviraju najmanje jednom nedeljno, mesečno i godišnje.

Podaci o korisnicima IKT sistema, arhiviraju se najmanje jednom mesečno.

Član 29

Svaki primerak godišnje kopije-arhive čuva se u roku koji je definisan Uputstvom o kancelarijskom poslovanju organa državne uprave.

Svaki primerak prenosnog informatičkog medija sa kopijama - arhivama, mora biti označen brojem, vrstom (dnevna, nedeljna, mesečna, godišnja), datumom izrade kopije - arhive, kao i imenom zaposlenog/korisnika koji je izvršio kopiranje - arhiviranje.

Dnevne, nedeljne i mesečne kopije-arhive se čuvaju u prostoriji koja je obezbeđena fizički i u skladu sa merama zaštite od požara.

Godišnje kopije - arhive se izrađuju u dva primerka, od kojih se jedan čuva u prostoriji u kojoj se čuvaju dnevne, nedeljne i mesečne kopije - arhive, a drugi primerak u posebnom objektu van zgrade uprave.

Odluku o posebnom objektu u kome će se čuvati drugi primerak godišnje kopije - arhive donosi načelnik Gradske uprave posebnim rešenjem.

Član 30

Ispravnost kopija - arhiva proverava se najmanje na šest meseci i to tako što se vrši vraćanje baza podataka koje se nalaze na mediju, pri čemu podaci, posle vraćanja, treba da budu ispravni i spremni za upotrebu.

8. Čuvanje podataka o događajima koji mogu biti od značaja za bezbednost IKT sistema

Član 31

O aktivnostima administratora IKT sistema i korisnika IKT sistema vodi se dnevnik aktivnosti.

Svakog poslednjeg radnog dana u nedelji datoteka u kojoj se nalazi dnevnik aktivnosti se arhivira po proceduri za izradu kopija - arhiva ostalih podataka u IKT sistemu, u skladu sa članom 28. ovog pravilnika.

9. Sistem za kontrolu

Član 32

Sistem za kontrolu i dojavu o greškama, neovlašćenim aktivnostima i drugim mogućim problemima u IKT sistemu, mora biti podešen tako da odmah obaveštava administratora IKT sistema, rukovodioca organizacione jedinice u čijoj su nadležnosti poslovi informacionih tehnologija i načelnika Gradske uprave o svim neregularnim aktivnostima korisnika IKT sistema, pokušajima upada i upadima u sistem.

10. Obezbeđivanje integriteta softvera i operativnih sistema

Član 33

U IKT sistemu može da se instalira samo softver za koji postoji važeća licenca u vlasništvu Operatora, odnosno Freeware i Open source verzije.

Instalaciju i podešavanje softvera može da vrši samo nadležni subjekt IKT sistema, odnosno korisnik IKT sistema koji ima ovlašćenje za to.

Instalaciju i podešavanje softvera može da izvrši i treće lice, u slučaju da je softver nabaljen u postupku javne nabavke, a na način koji se definiše ugovorom o nabavci.

Treće lice može da izvrši instalaciju i podešavanje softvera kada je između Operatora i njega ugovoreno održavanje softvera u određenom vremenskom periodu.

Član 34

Pre svake instalacije nove verzije softvera, odnosno podešavanja, neophodno je napraviti kopiju postojećeg, kako bi se obezbedila mogućnost povratka na prethodno stanje u slučaju neočekivanih situacija.

11. Zaštita od zloupotrebe bezbednosnih slabosti IKT sistema

Član 35

Nadležni subjekt IKT sistema najmanje jednom mesečno, a po potrebi i češće vrši analizu dnevnika aktivnosti u cilju identifikacije potencijalnih slabosti IKT sistema.

Ukoliko se identifikuju slabosti koje mogu da ugroze bezbednost IKT sistema, nadležni subjekt IKT sistema je dužan da odmah izvrši podešavanja, odnosno instalira softver koji će otkloniti uočene slabosti.

12. Revizija IKT sistema

Član 36

Revizija IKT sistema se mora vršiti tako da ne ometa poslovne procese korisnika IKT sistema.

Nadležni subjekt IKT sistema odrediće vreme obavljanja revizije, u zavisnosti od vrste poslova i radnih zadataka korisnika IKT sistema kod Operatora.

13. Zaštita opreme IKT sistema

Član 37

Komunikacioni kablovi i kablovi za napajanje moraju biti postavljeni u zid ili kanalnice, tako da se onemogući neovlašćen pristup, odnosno da se izvrši izolacija.

Mrežna oprema (switch, router, firewall), moraju se nalaziti u rack ormanu, zaključani.

Nadležni subjekt IKT sistema je dužan da stalno vrši kontrolni pregled mrežne opreme i blagovremeno preduzima mere u cilju otklanjanja eventualnih nepravilnosti.

Bežična mreža koju mogu da koriste posetioci objekata u nadležnosti Gradske uprave, mora biti odvojena od interne mreže koju koriste korisnici IKT sistema i kroz koju se vrši razmena službenih podataka.

Bežična mreža iz stava 4. ovog člana treba da bude posebno označena.

14. Bezbednost IKT sistema u slučaju razmene podataka

Član 38

Podaci koji su označeni oznakom tajnosti, razmenjuju se sa drugim organima, organizacijama ili pravni licima u skladu sa potpisanim aktom o razmeni podataka.

Akt iz stava 1. ovog člana sadrži podatke o ovlašćenim licima za razmenu podataka, načinu razmene podataka, pravni okvir za takvu vrstu razmene, kao i pravni okvir kojim se definiše zaštita podataka koji se razmenjuju.

15. Zaštita podataka koji se koriste za potrebe testiranja IKT sistema odnosno delova sistema

Član 39

Za potrebe testiranja IKT sistema, odnosno delova sistema nadležni subjekt IKT sistema može da koristi podatke koji nisu označeni oznakom tajnosti, odnosno službenosti.

16. Učešće trećih lica u poslovima IKT sistema

Član 40

Način instaliranja novih, zamena i održavanje postojećih resursa IKT sistema od strane trećih lica koja nisu zaposlena u Operatoru, reguliše se međusobno zaključenim ugovorom.

Nadležni subjekt IKT sistema je zadužen za tehnički nadzor nad realizacijom ugovorenih obaveza od strane trećih lica.

Član 41

Treća lica - pružaoci usluga izrade i održavanja softvera mogu pristupiti samo onim podacima koji se nalaze u bazama podataka koje su deo softvera koji su oni izradili, odnosno za koje postoji ugovorom definisan pristup.

Nadležni subjekt IKT sistema je odgovoran za kontrolu pristupa i nadzor nad izvršenjem ugovorenih obaveza, kao i za poštovanje odredbi ovog pravilnika kojima su takve aktivnosti definisane.

Član 42

Nadležni subjekt IKT sistema je odgovoran za nadzor nad poštovanjem ugovorenih obaveza od strane trećih lica - pružaoca usluga u oblasti poštovanja odredbi kojima je definisana bezbednost resursa IKT sistema.

U slučaju nepoštovanja ugovorenih obaveza, nadležni subjekt IKT sistema je dužan da odmah obavesti načelnika Gradske uprave, radi preduzimanja mera u cilju otklanjanja nepravilnosti.

17. Preventivne mere i reagovanje na bezbednosne incidente

Član 43

U slučaju bilo kakvog incidenta koji može da ugrozi bezbednost resursa IKT sistema, korisnik IKT sistema je dužan da odmah obavesti nadležnog subjekta IKT sistema.

Po prijemu prijave stava 1. ovog člana, nadležni subjekt IKT sistema je dužan da odmah obavesti načelnika Gradske uprave i preduzme mere u cilju zaštite resursa IKT sistema.

Član 44

Ukoliko se radi o incidentu koji je definisan Uredbom o postupku dostavljanja podataka, listi, vrstama i značaju incidenata i postupku obaveštavanja o incidentima u informaciono-komunikacionim sistemima od posebnog značaja, nadležni subjekt IKT sistema je dužan da obavesti načelnika Gradske uprave koji o incidentu obaveštava nadležni organ definisan navedenom Uredbom.

Nadležni subjekt IKT sistema vodi evidenciju o svim incidentima, kao i prijavama incidenata, u skladu sa Uredbom, na osnovu koje, protiv odgovornog lica, mogu da se vode disciplinski, prekršajni ili krivični postupci.

V IZMENE POSTOJEĆEG I USPOSTAVLJANJE NOVOG IKT SISTEMA

Član 45

O uspostavljanju novog IKT sistema, odnosno uvođenju novih delova i izmenama postojećih delova IKT sistema, nadležni subjekt IKT sistema vodi dokumentaciju.

Dokumentacija iz stava 1. ovog člana mora da sadrži opise svih procedura, a posebno procedura koje se odnose na bezbednost IKT sistema.

VI MERE U CILJU OBEZBEĐENJA KONTINUITETA OBAVLJANJA POSLA U VANREDNIM OKOLNOSTIMA

Član 46

U slučaju vanrednih okolnosti, koje mogu da dovedu do izmeštanja IKT sistema iz zgrade Gradske uprave, nadležni subjekt IKT sistema je dužan da u najkraćem roku prenese delove IKT sistema neophodne za funkcionisanje u vanrednoj situaciji na rezervnu lokaciju.

Delove IKT sistema koji nisu neophodni za funkcionisanje u vanrednim situacijama, skladište se na rezervnu lokaciju, koju odredi načelnik Gradske uprave.

Skladištenje delova IKT sistema koji nisu neophodni vrši se na način da oprema bude bezbedna i obeležena, u skladu sa evidencijom koja se o njoj vodi.

VII PROVERA IKT SISTEMA

Član 47

Proveru IKT sistema vrši nadležni subjekt IKT sistema.

Član 48

Provera IKT sistema se vrši tako što se:

1) proverava usklađenost ovog pravilnika, uzimajući u obzir i akta na koji se vrši upućivanje, sa propisanim uslovima, odnosno proverava da li su Pravilnikom adekvatno predviđene mere zaštite, procedure, ovlašćenja i odgovornosti u IKT sistemu;

2) proverava da li se u operativnom radu adekvatno primenjuju predviđene mere zaštite i procedure u skladu sa utvrđenim ovlašćenjima i odgovornostima, metodama intervjua, simulacije, posmatranja, uvida u predviđene evidencije i drugu dokumentaciju;

3) vrši provera bezbednosnih slabosti na nivou tehničkih karakteristika komponenti IKT sistema metodom uvida u izabrane proizvode, arhitekture rešenja, tehničke konfiguracije, tehničke podatke o statusima, zapise o događajima (logove), kao i metodom testiranja postojanja poznatih bezbednosnih slabosti u sličnim okruženjima.

O izvršenoj proveri sačinjava se izveštaj, koji se dostavlja načelniku Gradske uprave.

Član 49

Izveštaj iz člana 48. ovog pravilnika sadrži:

1) naziv Operatora;

2) vreme provere;

3) podatke o licima koja su vršila proveru;

4) izveštaj o sprovedenim radnjama provere;

5) zaključke po pitanju usklađenosti Pravilnika o bezbednosti IKT sistema sa propisanim uslovima;

6) zaključke po pitanju adekvatne primene predviđenih mera zaštite u operativnom radu;

7) zaključke po pitanju eventualnih bezbednosnih slabosti na nivou tehničkih karakteristika komponenti IKT sistema;

8) ocena ukupnog nivoa informacione bezbednosti;

9) predlog eventualnih korektivnih mera:

10) potpis odgovornog lica koje je sprovelo proveru IKT sistema.

VIII DISCIPLINSKA ODGOVRNOST

Član 50

Nepoštovanje odredbi ovog pravilnika predstavlja povredu radnih obaveza i povlači disciplinsku odgovornost korisnika informatičkih resursa IKT sistema Operatora.

Član 51

Svako korišćenje IKT resursa Operatora van dodeljenih ovlašćenja, podleže disciplinskoj odgovornosti zaposlenog kojom se definiše odgovornost za neovlašćeno korišćenje imovine.

Član 52

Korisnicima koji neadekvatnim korišćenjem interneta uzrokuju zagušenje, prekid u radu ili narušavaju bezbednost mreže može se oduzeti pravo pristupa.

IX IZMENA PRAVILNIKA

Član 53

U slučaju nastanka promena koje mogu nastupiti usled tehničko-tehnoloških, kadrovskih, organizacionih promena u IKT sistemu i događaja na globalnom i nacionalnom nivou koji mogu narušiti informacionu bezbednost, nadležni subjekt IKT sistema je dužan da obavesti načelnika Gradske uprave, kako bi on mogao da pristupi izmeni ovog pravilnika u cilju unapređenja mera zaštite, načina i procedura postizanja i održavanja adekvatnog nivoa bezbednosti IKT sistema, kao i preispitivanja ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima IKT sistema.

X PRELAZNE I ZAVRŠNE ODREDBE

Član 54

Mere propisane ovim pravilnikom se odnose na sve organizacione jedinice Gradske uprave grada Sombora, na sve zaposlene - korisnike informatičkih resursa, kao i na treća lica koja koriste informatičke resurse Gradske uprave grada Sombora.

Nepoštovanje odredbi ovog pravilnika povlači disciplinsku odgovornost zaposlenog - korisnika informatičkih resursa Gradske uprave grada Sombora.

Za praćenje primene ovog pravilnika obavezuje se sistem administrator Odeljenja za opštu upravu Gradske uprave grada Sombora.

Član 55

Ovaj pravilnik stupa na snagu osmog dana od dana objavljivanja u "Službenom listu grada Sombora".