PRAVILNIK
O BEZBEDNOSTI INFORMACIONO - KOMUNIKACIONOG SISTEMA GRADSKE UPRAVE ZA NAPLATU JAVNIH PRIHODA GRADA NOVOG PAZARA

("Sl. list grada Novog Pazara", br. 6/2017)

 

I UVODNE ODREDBE

Član 1

Ovim Pravilnikom se utvrđuju se mere zaštite, principi, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti informaciono-komunikacionog sistema Uprave za naplatu javnih prihoda grada Novog Pazara (u daljem tekstu: IKT sistem), kao i ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima IKT sistema koji koristi Gradska uprava za naplatu javnih prihoda grada Novog Pazara.

Član 2

Pojedini termini upotrebljeni u ovom Pravilniku imaju sledeće značenje:

1) Operator je Gradska uprava za naplatu javnih prihoda grada Novog Pazarakoja,uokviruobavljanja svoje delatnosti, odnosno za obavljanje poslova iz svoje nadležnosti, koristi IKT sistem;

2) Informaciona dobra su svi resursi Gradske uprave za naplatu javnih prihoda grada Novog Pazara koji sadrže poslovne informacije, odnosno svi resursi putem kojih se vrši izrada, obrada, čuvanje, prenos, brisanje i uništavanje podataka u IKT sistemu, uključujući sve elektronske zapise, računarsku opremu, mobilne uređaje, baze podataka, poslovne aplikacije i slično;

3) Korisnik IKT sistema je zaposleni u Gradskoj upravi za naplatu javnih prihoda grada Novog Pazara i drugi korisnik resursa IKT sistema;

4) Nadležni subjekt IKT sistema su inžinjeri sistema, baze podataka i mreže Gradske uprave za naplatu javnih prihoda grada Novog Pazara u čijoj su nadležnosti poslovi planiranja razvoja, održavanja i funkcionisanja računarsko- komunikacione infrastrukture i razvoj informacionih tehnologija.

Član 3

O informacionim dobrima vodi se posebna evidencija.

Evidenciju iz stava 1. ovog člana vodi nadležni subjekt IKT sistema.

Član 4

Pod poslovima iz oblasti bezbednosti IKT sistema smatraju se:

• poslovi zaštite informacionih dobara, odnosno sredstava i imovine za nadzor nad poslovnim procesima od značaja za informacionu bezbednost;

• poslovi upravljanje rizicima u oblasti informacione bezbednosti, kao i poslovi predviđeni procedurama u oblasti informacione bezbednosti;

• poslovi onemogućavanja, odnosno sprečavanja neovlašćene ili nenamerne izmene, oštećenja ili zloupotrebe sredstava, odnosno informacionih dobara IKT sistema Operatora, kao i pristup, izmene ili korišćenje sredstava bez ovlašćenja i bez evidencije o tome;

• praćenje aktivnosti, revizije i nadzora u okviru upravljanja informacionom bezbednošću i

• obaveštavanje nadležnih organa o incidentima u IKT sistemu, u skladu sa propisima.

II KORIŠĆENJE IKT SISTEMA

1. Upravljanje IKT sistemom

Član 5

IKT sistemom upravlja nadležni subject IKT sistema.

Nadležni subject IKT sistema je dužan da sve korisnike resursa IKT sistema upozna sa odgovornostima i pravilima korišćenja resursa IKT sistema, da ih obuči za korišćenje resursa IKT sistema, da po završetku obuke od zaposlenog uzme izjavu o obučenosti za korišćenje resursa IKT sistema i da o istima vodi evidenciju.

Član 6

U slučaju promene radnog mesta, odnosno nadležnosti korisnika IKT sistema, nadležni subject IKT sistema će izvršiti promenu prava u korišćenju IKT sistema koje je korisnik IKT sistema imao u skladu sa opisom radnih zadataka.

Član 7

U slučaju prestanka radnog angažovanja korisnika IKT sistema, korisnički nalog se ukida.

Korisnik IKT sistema, kome je prestalo radno angažovanje po bilo kom osnovu kod Operatora, ne sme da otkriva podatke koji su od značaja za informacionu bezbednost IKT sistema.

2. Administratorski i korisnički nalog

Član 8

Pravo pristupa IKT sistemu imaju samo zaposleni, odnosno korisnici koji imaju administratorske i korisničke naloge.

Administratorski nalog je jedinstveni nalog kojim je omogućen pristup i administracija svih resursa IKT sistema, kao i otvaranje novih i izmena postojećih naloga.

Administratorski nalog može/mogu da koristi/e samo zaposleni nadležnog subjekta IKT sistema.

Korisnički nalog se sastoji od korisničkog imena i lozinke, koji se mogu ukucavati ili čitati sa medija na kome postoji elektronski sertifikat, na osnovu koga/jih se vrši autentifikacija - provera identiteta i autorizacija - provera prava pristupa, odnosno prava korišćenja resursa IKT sistema od strane korisnika IKT sistema.

Korisnički nalog dodeljuju administratori IKT sistema (nadležni subjekt IKT sistema), na osnovu zahteva zaposlenog zaduženog za upravljanje ljudskim resursima u saradnji sa neposrednim rukovodiocem i to tek nakon unosa podataka o zaposlenom u softver za upravljanje ljudskim resursima, a u skladu sa potrebama obavljanja poslovnih zadataka od strane korisnika IKT sistema.

Administratori IKT sistema vode evidenciju o korisničkim nalozima, proverava njihovo korišćenje, menja prava pristupa i ukida korisničke naloge na osnovu zahteva organizacione jedinice Operatora nadležne za upravljanje ljudskim resursima, odnosno rukovodioca u organizacionim jedinicama Operatora.

3. Odgovovornosti korisnika za zaštitu sopstvenih sredstava za autentifikaciju

Član 9

Korisnički nalog se sastoji od korisničkog imena i lozinke.

Korisničko ime se kreira po matrici ime, prezime, latiničnim pismom bez upotrebe slova đ, ž, ć, č, dž, š. Umesto ovih slova koriste se slova iz sledeće tabele:

Slova koja se ne koriste

Ispravna slova

đ

dj

ž

z

ć, č

c

dz

š

s

Lozinka mora da sadrži minimum šest karaktera kombinovanih od malih i velikih slova i cifara.

Lozinka ne sme da sadrži prepoznatljive podatke korisnika IKT sistema.

Ako korisnik IKT sistema posumnja da je drugo lice otkrilo njegovu lozinku dužan je da o tome odmah obavesti nadležni subjekt IKT sistema.

Korisnik IKT sistema dužan je da menja lozinku u skladu sa potrebama.

Neovlašćeno ustupanje korisničkog naloga drugom licu podleže disciplinskoj odgovornosti. Za poslove izvršene pod određenim korisničkim imenom i lozinkom odgovoran je korisnik IKT sistema kojem su dodeljeni.

III PREDMET, MERE I SUBJEKTI ZAŠTITE IKT SISTEMA

1. Predmet zaštite IKT sistema

Član 10

Predmet zaštite IKT sistema su:

- hardverske i softverske komponente IKT sistema,

- podaci koji se obrađuju ili čuvaju na komponentama IKT sistema i

- korisnički nalozi i drugi podaci o korisnicima informatičkih resursa IKT sistema

2. Mere i subjekti zaštite IKT sistema

Član 11

Mere propisane ovim Pravilnikom se odnose na sve organizacione jedinice Operatora, na sve korisnike IKT sistema Operatora, kao i na treća lica koja koriste informatičke resurse Operatora.

Član 12

Merama zaštite IKT sistema Operatora obezbeđuje se prevencija od nastanka incidenta, odnosno prevencija i minimizacija štete od incidenta koji ugrožavaju vršenje nadležnosti i obavljanje delatnosti, a posebno u okviru pružanja usluga drugim licima.

Radi zaštite tajnosti, autentičnosti i integriteta podataka, Operator može da razmotri korišćenje odgovarajućih mera kriptozaštite.

Član 13

Poslove iz oblasti bezbednosti IKT sistema Operatora obavlja nadležni subjekt IKT sistema.

3. Obaveze korisnika

Član 14

Korisnik IKT sistema je dužan da poštuje i sledeća pravila bezbednog i primerenog korišćenja resursa IKT sistema:

1) da koristi informatičke resurse isključivo u poslovne svrhe;

2) da prihvati da su svi podaci koji se skladište, prenose ili procesiraju u okviru informatičkih resursa vlasništvo Operatora i da mogu biti predmet nadgledanja i pregledanja;

3) da postupa sa poverljivim podacima u skladu sa propisima, a posebno prilikom kopiranja i prenosa podataka;

4) da bezbedno čuva svoje lozinke, odnosno da ih ne odaje drugim licima;

5) da menja lozinke saglasno utvrđenim pravilima;

6) da se, pre svakog udaljavanja od radne stanice, odjavi sa sistema, odnosno zaključa radnu stanicu;

7) da koristi DVDRW, CDRW i USB eksterne memorije na radnoj stanici samo uz odobrenje nadležnog subjekta IKT sistema;

8) da zahtev za instalaciju softvera ili hardvera podnosi u pisanoj formi, odobren od strane neposrednog rukovodioca;

9) da obezbedi sigurnost podataka u skladu sa važećim propisima;

10) da pristupa informatičkim resursima samo na osnovu eksplicitno dodeljenih korisničkih prava od strane nadležnog subjekta IKT sistema;

11) da ne sme da zaustavlja rad ili briše antivirusni program, menja njegove podešene opcije, niti da neovlašćeno instalira drugi antivirusni program;

12) da na radnoj stanici ne sme da skladišti sadržaj koji ne služi u poslovne svrhe;

13) da izrađuje zaštitne kopije (backup) podataka u skladu sa propisanim procedurama;

14) da koristi internet, intranet i elektronsku poštu Operatora u skladu sa propisanim procedurama;

15) da prihvati da se određene vrste informatičkih intervencija (izrada zaštitnih kopija, ažuriranje programa, pokretanje antivirusnog programa i sl.) obavljaju u utvrđeno vreme;

16) da prihvati da svi pristupi informatičkim resursima i informacijama treba da budu zasnovani na principu minimalne neophodnosti;

17) da prihvati instalaciju tehnika i programa u cilju sigurnosti IKT sistema;

18) da ne sme da instalira, modifikuje, isključuje iz rada ili briše zaštitni, sistemski ili aplikativni softver.

4. Ograničenje pristupa podacima i sredstvima za obradu podataka

Član 15

Pristup resursima IKT sistema određen je vrstom naloga, odnosno dodeljenom ulogom koju korisnik IKT sistema ima.

Zaposleni IKT sistema koji ima administratorski nalog, ima prava pristupa svim resursima IKT sistema (softverskim i hardverskim, mreži i mrežnim resursima) u cilju instalacije, održavanja, podešavanja i upravljanja resursima IKT sistema.

Korisnik IKT sistema može da koristi samo svoj korisnički nalog koji je dobio od nadležnog subjekta IKT sistema i ne sme da omogući drugom licu korišćenje njegovog korisničkog naloga, sem administratoru IKT sistema za podešavanje korisničkog profila i radne stanice.

Korisnik IKT sistema koji na bilo koji način zloupotrebi prava, odnosno resurse IKT sistema, podleže krivičnoj i disciplinskoj odgovornosti.

IV POJEDINAČNE MERE ZAŠTITE

1. Fizička zaštita objekata, prostora, prostorija odnosno zona u kojima se nalaze sredstva i dokumenti IKT sistema i obrađuju podaci u IKT sistemu

Član 16

Prostor u kome se nalaze serveri, mrežna ili komunikaciona oprema IKT sistema, organizuje sa kao administrativna zona.

Administrativna zona se uspostavlja za fizički pristup resursima IKT sistema u kontrolisanom, vidljivo označenom prostoru, koji je obezbeđen mehaničkom bravom.

Prostor mora da bude obezbeđen od kompromitujućeg elektromagnetnog zračenja (KEMZ), požara i drugih elementarnih nepogoda, i u njemu treba da bude odgovarajuća temperatura (klimatizovan prostor).

Evidenciju o ulasku u ovu zonu vodi nadležni subjekt IKT sistema.

Član 17

Ulaz u prostoriju u kojoj se nalazi IKT oprema, dozvoljen je samo zaposlenima u nadležnom subjektu IKT sistema.

Osim lica iz stava 1. ovog člana, pristup administrativnoj zoni mogu imati i treća lica u cilju instalacije i servisiranja određenih resursa IKT sistema, a po prethodnom odobrenju načelnika Gradske uprave za naplatu javnih prihoda grada Novog Pazara i uz prisustvo nekog od zaposlenih u nadležnom subjektu IKT sistema.

Pristup administrativnoj zoni može imati i zaposleni/a na poslovima održavanja higijene uz prisustvo nekog od zaposlenih u nadležnom subjektu IKT sistema.

Prostorija iz stava 1. ovog člana mora biti vidljivo obeležena i u njoj se mora nalaziti protivpožarna oprema, koja se može koristiti samo u slučaju požara u prostoriji u kojoj se nalazi IKT oprema i mediji sa podacima.

Prozori i vrata na prostoriji iz stava 1. ovog člana moraju uvek biti zatvoreni.

Serveri i aktivna mrežna oprema (switch, modem, router, firewall), moraju stalno biti priključeni na uređaje za neprekidno napajanje - UPS.

U slučaju nestanka električne energije, u periodu dužem od kapaciteta UPS-a, ovlašćeno lice je dužno da isključi opremu u skladu sa procedurama proizvođača opreme.

IKT oprema iz prostorije iz stava 1. ovog člana se u slučaju opasnosti (požar, vremenske nepogode i sl.) može izneti i bez odobrenja načelnika.

U slučaju iznošenja opreme iz prostorije iz stava 1. ovog člana radi selidbe, ili servisiranja, neophodno je odobrenje načelnika Gradske uprave za naplatu javnih prihoda grada Novog Pazara koji će odrediti uslove, način i mesto iznošenja opreme.

Ako se oprema iznosi radi servisiranja, pored odobrenja načelnika Gradske uprave za naplatu javnih prihoda grada Novog Pazara, potrebno je sačiniti zapisnik u kome se navodi naziv i tip opreme, serijski broj, naziv servisera, ime i prezime ovlašćenog lica servisera.

Ugovorom sa serviserom obavezno se definiše obaveza zaštite podataka koji se nalaze na medijima koji su deo IKT resursa Operatora.

2. Bezbednost rada na daljinu i upotreba mobilnih uređaja

Član 18

Neregistrovani korisnici, putem mobilnih uređaja mogu da pristupe samo onim delovima mreže koji su konfigurisani tako da omogućavaju pristup Internetu ali ne i delovima mreže kroz koju se obavlja službena komunikacija.

Korisnici resursa IKT sistema, mogu putem mobilnih uređaja ili računara, koji su u vlasništvu Operatora i koji su podešeni od strane nadležnog subjekta IKT sistema, da pristupaju samo onim delovima IKT sistema koji im omogućavaju obavljanje radnih zadataka u okviru njihove nadležnosti (elektronska pošta, pojedine aplikacije vezane za obavljanje posla i drugo), a na osnovu pisane saglasnosti načelnika Gradske uprave za naplatu javnih prihoda grada Novog Pazara.

Mobilni uređaji moraju biti podešeni tako da omoguće siguran i bezbedan pristup, uz aktivan odgovarajući softver za zaštitu od virusa i drugog zlonamernog softvera.

Pristup resursima IKT sistema Operatora sa udaljenih lokacija, od strane korisnika IKT sistema, u cilju obavljanja radnih zadataka, omogućen je putem zaštićene VPN/internet konekcije.

Korisniku IKT sistema je zabranjena samostalna instalacija softvera i podešavanje mobilnog uređaja, kao i davanje uređaja drugim neovlašćenim licima (na uslugu, servisiranje i sl.).

Ukoliko se ustanovi neovlašćen pristup o tome se putem elektronske pošte odmah, a najkasnije sutradan obaveštava načelnik Gradske uprave za naplatu javnih prihoda grada Novog Pazara, a ta MAC adresa se unosi u "block" listu softvera koji se koristi za kontrolu pristupa.

Član 19

Pristup resursima IKT sistema, sa privatnog uređaja, nije dozvoljen, osim ako je uređaj u vlasništvu Operatora oštećen i nije obezbeđena zamena.

Saglasnost na korišćenje privatnog uređaja u slučaju iz stava 1. ovog člana daje načelnik Gradske uprave za naplatu javnih prihoda grada Novog Pazara.

Evidenciju privatnih uređaja sa kojih će biti omogućen pristup vodi nadležni subjekt IKT sistema.

Član 20

Privatni uređaji sa kojih će se pristupati resursima IKT sistema moraju biti podešeni od strane nadležnog subjekta IKT sistema.

Privatni uređaji sa kojih se može pristupati resursima IKT sistema mogu se koristiti samo za obavljanje poslova u nadležnosti korisnika IKT sistema i to samo u periodu kada nije moguće koristiti uređaj u vlasništvu Operatora.

Nadležni subjekt IKT sistema je dužan da pre predaje uređaja ovlašćenom servisu, ukoliko kvar nije takve vrste da to onemogućava, uradi backup podataka koji se nalaze u mobilnom uređaju, a potom ih obriše iz uređaja, i po povratku iz servisa ponovo vrati podatke u mobilni uređaj.

3. Zaštita nosača podataka

Član 21

Podaci koji se nalaze u IKT sistemu predstavljaju tajni podatak koji je, u skladu sa propisima o tajnosti podataka, određen ili označen određenim stepenom tajnosti.

Podaci koji se označe kao tajni, moraju biti zaštićeni u skladu sa odredbama Uredbe o posebnim merama zaštite tajnih podataka u informaciono - telekomunikacionim sistemima.

Član 22

Nadležni subjekt IKT sistema će uspostaviti organizaciju pristupa podacima, posebno onima koji budu označeni tajnim u skladu sa Zakonom o tajnosti podataka, tako da dokumenti sa oznakom tajnosti mogu da se snime, odnosno arhiviraju ili zapišu na fajl serveru u folderu nad kojim će pravo pristupa imati samo korisnici IKT sistema koji na to budu imali pravo.

Dokumenti sa oznakom tajnosti može da snimi na druge nosače (eksterni HDD, USB, CD, DVD) načelnik Gradske uprave za naplatu javnih prihoda grada Novog Pazara ili zaposleni kojeg ovlasti načelnik Gradske uprave za naplatu javnih prihoda grada Novog Pazara.

Evidenciju nosača na kojima su snimljeni podaci sa oznakom tajnosti, vodi nadležni subjekt IKT sistema.

Nosači na kojima se nalaze dokumenti sa oznakom tajnosti moraju biti propisno obeleženi i odloženi na mesto na kome će biti zaštićeni od neovlašćenog pristupa.

U slučaju transporta nosača sa podacima sa oznakom tajnosti, načelnik Gradske uprave za naplatu javnih prihoda grada Novog Pazara će odrediti odgovornu osobu i način transporta.

Prilikom brisanja podataka sa oznakom tajnosti sa nosača na kojima su se nalazili, podaci moraju biti nepovratno obrisani, a ako to nije moguće, takvi nosači moraju fizički oštećeni, odnosno uništeni.

4. Obezbeđivanje ispravnog i bezbednog funkcionisanja sredstava za obradu podataka

Član 23

Za razvoj i testiranje softvera pre uvođenja u rad u IKT sistem moraju se koristiti serveri koji su namenjeni testiranju i razvoju.

Zabranjeno je korišćenje servera koji se koriste u operativnom radu za testiranje softvera.

Pre uvođenja u rad novog softvera neophodno je napraviti kopiju-arhivu postojećih podataka.

5. Zaštita podataka i sredstava za obradu podataka od zlonamernog softvera

Član 24

Zaštita od zlonamernog softvera na mreži sprovodi se u cilju zaštite od virusa i druge vrste zlonamernog koda koji u računarsku mrežu mogu dospeti internet konekcijom, email-om, zaraženim prenosnim medijima (USB memorija, CD itd.), instalacijom nelicenciranog softvera i sl.

Za uspešnu zaštitu od virusa na svakom računaru se instalira antivirusni program. Svakodnevno se automatski u tačno određeno vreme vrši dopuna antivirusnih definicija.

6. Zaštita pri korišćenju interneta

Član 25

U cilju zaštite, odnosno upada u IKT sistem Operatora sa interneta, nadležni subjekt IKT sistema je dužan da održava sistem za sprečavanje upada.

Rukovodioci organizacionih jedinica Operatora određuju koji zaposleni imaju pravo pristupa internetu radi prikupljanja podataka i ostalih informacija vezanih za obavljanje poslova u njihovoj nadležnosti.

Funkcioneri i zaposleni kojima je odobreno korišćenje interneta i elektronske pošte dužni su da prilikom korišćenja istog postupaju po međunarodnim konvencijama i pravilima ponašanja.

Korisnicima koji su priključeni na IKT sistem je zabranjeno samostalno priključenje na internet, odnosno priključenje preko sopstvenog modema.

Nadležni subjekt IKT sistema može ukinuti pristup internetu u slučaju dokazane zloupotrebe istog.

Korisnici IKT sistema kojima je odobreno korišćenje interneta dužni su da se pridržavaju mera zaštite od virusa i upada sa interneta u IKT sistem, a svaki računar čiji se korisnik priključuje na internet mora biti odgovarajuće podešen i zaštićen, pri čemu podešavanje vrši nadležni subjekt IKT sistema.

Prilikom korišćenja interneta korisnik IKT sistema kome je odobreno korišćenje interneta dužan je izbegavati sumnjive WEB stranice, u cilju sprečavanja instaliranja programa koji mogu naneti štetu IKT sistemu.

U slučaju da korisnik primeti neobično ponašanje računara, tu pojavu je dužan da bez odlaganja prijavi nadležnom subjektu IKT sistema.

Član 26

Korisniku IKT sistema kome je dozvoljeno korišćenje interneta, zabranjeno je gledanje filmova i igranje igrica na računarima i pretraživanje WEB stranica koje sadrže pornografski i ostali nedoličan sadržaj, kao i samovoljno preuzimanje istih sa interneta.

Član 27

Nedozvoljena upotreba interneta obuhvata i:

- instaliranje, distribuciju, oglašavanje, prenos ili na drugi način činjenje dostupnim "piratskih" ili drugih softverskih proizvoda koji nisu licencirani na odgovarajući način;

- narušavanje sigurnosti mreže ili na drugi način onemogućavanje poslovne internet komunikacije;

- namerno širenje destruktivnih i opstruktivnih programa na internetu (internet virusi, internet trojanski konji, internet crvi i druga vrsta nedozvoljenih softvera);

- nedozvoljeno korišćenje društvenih mreža i drugih internet sadržaja koje je ograničeno odlukom nadležnog organa Operatora;

- preuzimanje podataka u količini koja prouzrokuje veliko opterećenje na mreži;

- preuzimanje materijala zaštićenih autorskim pravima;

- korišćenje linkova koji nisu u vezi sa poslom;

- nedozvoljeni pristup sadržaju, promena sadržaja, brisanje ili prerada sadržaja preko interneta.

7. Zaštita od gubitka podataka

Član 28

Za potrebe obnove, baze podataka obavezno se arhiviraju na prenosive medije (CD, DWD, EKSTERNI HDD), najmanje jednom dnevno, nedeljno, mesečno i godišnje, nakon radnog vremena.

Ostali fajlovi - dokumenti se arhiviraju najmanje jednom nedeljno, mesečno i godišnje.

Podaci o korisnicima IKT sistema, arhiviraju se najmanje jednom mesečno.

Član 29

Svaki primerak godišnje kopije- arhive čuva se u roku koji je definisan Uputstvom o kancelarijskom poslovanju organa državne uprave.

Svaki primerak prenosnog informatičkog medija sa kopijama- arhivama, mora biti označen brojem, vrstom (dnevna, nedeljna, mesečna, godišnja), datumom izrade kopije-arhive, kao i imenom zaposlenog/korisnika koji je izvršio kopiranje-arhiviranje.

Dnevne, nedeljne i mesečne kopije- arhive se čuvaju u prostoriji koja je obezbeđena fizički i u skladu sa merama zaštite od požara.

Godišnje kopije-arhive se izrađuju u dva primerka, od kojih se jedan čuva u prostoriji u kojoj se čuvaju dnevne, nedeljne i mesečne kopije-arhive, a drugi primerak u posebnom objektu van zgrade uprave.

Odluku o posebnom objektu u kome će se čuvati drugi primerak godišnje kopije - arhive donosi načelnik Gradske uprave za naplatu javnih prihoda grada Novog Pazara posebnim rešenjem.

Član 30

Ispravnost kopija-arhiva proverava se najmanje na šest meseci i to tako što se vrši vraćanje baza podataka koje se nalaze na mediju, pri čemu podaci, posle vraćanja, treba da budu ispravni i spremni za upotrebu.

8. Čuvanje podataka o događajima koji mogu biti od značaja za bezbednost IKT sistema

Član 31

O aktivnostima administratora IKT sistema i korisnika IKT sistema vodi se dnevnik aktivnosti.

Svakog poslednjeg radnog dana u nedelji datoteka u kojoj se nalazi dnevnik aktivnosti se arhivira po proceduri za izradu kopija-arhiva ostalih podataka u IKT sistemu u skladu sa članom 28. ovog Pravilnika.

9. Sistem za kontrolu

Član 32

Sistem za kontrolu i dojavu o greškama, neovlašćenim aktivnostima i drugim mogućim problemima u IKT sistemu, mora biti podešen tako da odmah obaveštava administratora IKT sistema nadležnog subjekta IKT sistema i načelnika Gradske uprave za naplatu javnih prihoda grada Novog Pazara o svim neregularnim aktivnostima korisnika IKT sistema, pokušajima upada i upadima u sistem.

10. Obezbeđivanje integriteta softvera i operativnih sistema

Član 33

U IKT sistemu može da se instalira samo softver za koji postoji važeća licenca u vlasništvu Operatora, odnosno Freeware i Open source verzije.

Instalaciju i podešavanje softvera može da vrši samo nadležni subjekt IKT sistema, odnosno korisnik IKT sistema koji ima ovlašćenje za to.

Instalaciju i podešavanje softvera može da izvrši i treće lice, u slučaju da je softver nabavljen u postupku javne nabavke, a na način koji se definiše ugovorom o nabavci.

Treće lice može da izvrši instalaciju i podešavanje softvera kada je između Operatora i njega ugovoreno održavanje softvera u određenom vremenskom periodu.

Član 34

Pre svake instalacije nove verzije softvera, odnosno podešavanja, neophodno je napraviti kopiju postojećeg, kako bi se obezbedila mogućnost povratka na prethodno stanje u slučaju neočekivanih situacija.

11. Zaštita od zloupotrebe bezbednosnih slabosti IKT sistema

Član 35

Nadležni subjekt IKT sistema najmanje jednom mesečno, a po potrebi i češće vrši analizu dnevnika aktivnosti u cilju identifikacije potencijalnih slabosti IKT sistema.

Ukoliko se identifikuju slabosti koje mogu da ugroze bezbednost IKT sistema, nadležni subjekt IKT sistema je dužan da odmah izvrši podešavanja, odnosno instalira softver koji će otkloniti uočene slabosti.

12. Revizija IKT sistema

Član 36

Revizija IKT sistema se mora vršiti tako da ne ometa poslovne procese korisnika IKT sistema.

Nadležni subjekt IKT sistema odrediće vreme obavljanja revizije, u zavisnosti od vrste poslova i radnih zadataka korisnika IKT sistema kod Operatora.

13. Zaštita opreme IKT sistema

Član 37

Komunikacioni kablovi i kablovi za napajanje moraju biti postavljeni u zid ili kanalnice, tako da se onemogući neovlašćen pristup, odnosno da se izvrši izolacija.

Mrežna oprema (switch, router, firewall) moraju se nalaziti u rack ormanu, zaključani. Nadležni subjekt IKT sistema je dužan da stalno vrši kontrolni pregled mrežne opreme i blagovremeno preduzima mere u cilju otklanjanja eventualnih nepravilnosti.

Bežična mreža koju mogu da koriste posetioci objekata u nadležnosti Gradske uprave za naplatu javnih prihoda grada Novog Pazara, mora biti odvojena od interne mreže koju koriste korisnici IKT sistema i kroz koju se vrši razmena službenih podataka.

Bežična mreža iz stava 4. ovog člana treba da bude posebno označena.

14. Bezbednost IKT sistema u slučaju razmene podataka

Član 38

Podaci koji su označeni oznakom tajnosti, razmenjuju se sa drugim organima, organizacijama ili pravnim licima u skladu sa potpisanim aktom o razmeni podataka.

Akt iz stava 1 ovog člana sadrži podatke o ovlašćenim licima za razmenu podataka, načinu razmene podataka, pravni okvir za takvu vrstu razmene, kao i pravni okvir kojim se definiše zaštita podataka koji se razmenjuju.

15. Zaštita podataka koji se koriste za potrebe testiranja IKT sistema odnosno delova sistema

Član 39

Za potrebe testiranja IKT sistema, odnosno delova sistema nadležni subjekt IKT sistema može da koristi podatke koji nisu označeni oznakom tajnosti, odnosno službenosti.

16. Učešće trećih lica u poslovima IKT sistema

Član 40

Način instaliranja novih, zamena i održavanje postojećih resursa IKT sistema od strane trećih lica koja nisu zaposlena kod Operatora, reguliše se međusobno zaključenim ugovorom.

Nadležni subjekt IKT sistema je zadužen za tehnički nadzor nad realizacijom ugovorenih obaveza od strane trećih lica.

Član 41

Treća lica-pružaoci usluga izrade i održavanja softvera mogu pristupiti samo onim podacima koji se nalaze u bazama podataka koje su deo softvera koji su oni izradili, odnosno za koje postoji ugovorom definisan pristup.

Nadležni subjekt IKT sistema je odgovoran za kontrolu pristupa i nadzor nad izvršenjem ugovorenih obaveza, kao i za poštovanje odredbi ovog Pravilnika kojima su takve aktivnosti definisane.

Član 42

Nadležni subjekt IKT sistema je odgovoran za nadzor nad poštovanjem ugovorenih obaveza od strane trećih lica- pružaoca usluga u oblasti poštovanja odredbi kojima je definisana bezbednost resursa IKT sistema.

U slučaju nepoštovanja ugovorenih obaveza, nadležni subjekt IKT sistema je dužan da odmah obavesti načelnika Gradske uprave naplatu javnih prihoda grada Novog Pazar, radi preduzimanja mera u cilju otklanjanja nepravilnosti.

17. Preventivne mere i reagovanje na bezbednosne incidente

Član 43

U slučaju bilo kakvog incidenta koji može da ugrozi bezbednost resursa IKT sistema, korisnik IKT sistema je dužan da odmah obavesti nadležnog subjekta IKT sistema.

Po prijemu prijave stava 1. ovog člana, nadležni subjekt IKT sistema je dužan da odmah obavesti načelnika Gradske uprave za naplatu javnih prihoda grada Novog Pazara i preduzme mere u cilju zaštite resursa IKT sistema.

Član 44

Ukoliko se radi o incidentu koji je definisan Uredbom o postupku dostavljanja podataka, listi, vrstama i značaju incidenata i postupku obaveštavanja o incidentima u informaciono-komunikacionim sistemima od posebnog značaja, nadležni subjekt IKT sistema je dužan da obavesti načelnika Gradske uprave za naplatu javnih prihoda grada Novog Pazara koji o incidentu obaveštava nadležni organ definisan navedenom Uredbom.

Nadležni subjekt IKT sistema vodi evidenciju o svim incidentima, kao i prijavama incidenata, u skladu sa Uredbom, na osnovu koje, protiv odgovornog lica, mogu da se vode disciplinski, prekršajni ili krivični postupci.

V IZMENE POSTOJEĆEG I USPOSTAVLJANJE NOVOG IKT SISTEMA

Član 45

O uspostavljanju novog IKT sistema, odnosno uvođenju novih delova i izmenama postojećih delova IKT sistema, nadležni subjekt IKT sistema vodi dokumentaciju.

Dokumentacija iz stava 1. ovog člana mora da sadrži opise svih procedura, a posebno procedura koje se odnose na bezbednost IKT sistema.

VI MERE U CILJU OBEZBEĐENJA KONTINUITETA OBAVLJANJA POSLA U VANREDNIM OKOLNOSTIMA

Član 46

U slučaju vanrednih okolnosti, koje mogu da dovedu do izmeštanja IKT sistema iz zgrade Gradske uprave za naplatu javnih prihoda grada Novog Pazara, nadležni subjekt IKT sistema je dužan da u najkraćem roku prenese delove IKT sistema neophodne za funkcionisanje u vanrednoj situaciji na rezervnu lokaciju.

Delove IKT sistema koji nisu neophodni za funkcionisanje u vanrednim situacijama, skladište se na rezervnu lokaciju, koju odredi načelnik Gradske uprave za naplatu javnih prihoda grada Novog Pazara.

Skladištenje delova IKT sistema koji nisu neophodni vrši se na način da oprema bude bezbedna i obeležena, u skladu sa evidencijom koja se o njoj vodi.

Proveru IKT sistema vrši nadležni subjekt IKT sistema.

VII PROVERA IKT SISTEMA

Član 47

Provera IKT sistema se vrši tako što se:

1) proverava usklađenost ovog Pravilnika, uzimajući u obzir i akta na koji se vrši upućivanje, sa propisanim uslovima, odnosno proverava da li su Pravilnikom adekvatno predviđene mere zaštite, procedure, ovlašćenja i odgovornosti u IKT sistemu;

2) proverava da li se u operativnom radu adekvatno primenjuju predviđene mere zaštite i procedure u skladu sa utvrđenim ovlašćenjima i odgovornostima, metodama intervjua, simulacije, posmatranja, uvida u predviđene evidencije i drugu dokumentaciju;

3) vrši provera bezbednosnih slabosti na nivou tehničkih karakteristika komponenti IKT sistema metodom uvida u izabrane proizvode, arhitekture rešenja, tehničke konfiguracije, tehničke podatke o statusima, zapise o događajima (logove), kao i metodom testiranja postojanja poznatih bezbednosnih slabosti u sličnim okruženjima.

O izvršenoj proveri sačinjava se izveštaj, koji se dostavlja načelniku Gradske uprave za naplatu javnih prihoda grada Novog Pazara.

Član 49

Izveštaj iz člana 48. ovog Pravilnika sadrži:

1) naziv Operatora;

2) vreme provere;

3) podatke o licima koja su vršila proveru;

4) izveštaj o sprovedenim radnjama provere;

5) zaključke po pitanju usklađenosti Pravilnika o bezbednosti IKT uslovima; - sistema sa propisanim;

6) zaključke po pitanju adekvatne primene predviđenih mera zaštite - u operativnom radu;

7) zaključke po pitanju eventualnih bezbednosnih slabosti karakteristika komponenti IKT sistema; - na nivou tehničkih;

8) ocena ukupnog nivoa informacione bezbednosti;

9) predlog eventualnih korektivnih mera;

10) potpis odgovornog lica koje je sprovelo proveru IKT sistema.

VIII DISCIPLINSKA ODGOVRNOST

Član 50

Nepoštovanje odredbi ovog Pravilnika predstavlja povredu radnih obaveza i povlači disciplinsku odgovornost korisnika informatičkih resursa IKT sistema Operatora.

Član 51

Svako korišćenje IKT resursa Operatora van dodeljenih ovlašćenja, podleže disciplinskoj odgovornosti zaposlenog kojom se definiše odgovornost za neovlašćeno korišćenje imovine.

Član 52

Korisnicima koji neadekvatnim korišćenjem interneta uzrokuju zagušenje, prekid u radu ili narušavaju bezbednost mreže može se oduzeti pravo pristupa.

IX IZMENA PRAVILNIKA

Član 53

U slučaju nastanka promena koje mogu nastupiti usled tehničko-tehnoloških, kadrovskih, organizacionih promena u IKT sistemu i događaja na globalnom i nacionalnom nivou koji mogu narušiti informacionu bezbednost, nadležni subjekt IKT sistema je dužan da obavesti načelnika Gradske uprave za naplatu javnih prihoda grada Novog Pazara, kako bi on mogao da pristupi izmeni ovog Pravilnika u cilju unapređenja mera zaštite, načina i procedura postizanja i održavanja adekvatnog nivoa bezbednosti IKT sistema, kao i preispitivanja ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima IKT sistema.

X PRELAZNE I ZAVRŠNE ODREDBE

Član 54

Ovaj Pravilnik stupa na snagu osmog dana od dana objavljivanja u "Službenom listu grada Novog Pazara".