PRAVILNIK

O BEZBEDNOSTI INFORMACIONO-KOMUNIKACIONOG SISTEMA GRADSKE UPRAVE ZA LOKALNI RAZVOJ, PRIVREDU, URBANIZAM I KOMUNALNE POSLOVE GRADA VALJEVA I GRADSKE UPRAVE ZA DRUŠTVENE DELATNOSTI, FINANSIJE, IMOVINSKE I INSPEKCIJSKE POSLOVE GRADA VALJEVA

("Sl. glasnik grada Valjeva", br. 11/2017)

I UVODNE ODREDBE

Član 1

Ovim pravilnikom se, u skladu sa zakonom I podzakonskim aktima o bezbednosti informaciono-komunikacionih sistema, utvrđuju mere zaštite, principi, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti informaciono- komunikacionog sistema Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva i Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva(u daljem tekstu: IKT sistem), kao i ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima IKT sistema.

Član 2

Mere propisane ovim pravilnikom, se odnose na sve organizacione jedinice Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva i na sve organizacione jedinice Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva, na sve korisnike informatičkih resursa IKT sistema, zaposlene kao i na treća lica koja koriste resurse IKT sistema.

Nepoštovanje odredbi ovog pravilnika povlači disciplinsku odgovornost korisnika IKT sistema.

Praćenje primene ovog Pravilnika vrši unutrašnja organizaciona jedinica Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva, nadležna za poslove upravljanja IKT sistemom.

Član 3

Termini, koji se koriste u ovom pravilniku, imaju sledeće značenje:

1. informaciono-komunikacioni sistem (IKT sistem) je tehnološko-organizaciona celina koja obuhvata:

(1) elektronske komunikacione mreže u smislu zakona koji uređuje elektronske komunikacije;

(2) uređaje ili grupe međusobno povezanih uređaja kojima se vrši automatska obrada podataka korišćenjem računarskog programa;

(3) podatke koji se pohranjuju, obrađuju, pretražuju ili prenose pomoću sredstava iz podtač. (1) i (2) ove tačke u svrhu njihove obrade, upotrebe, zaštite ili održavanja;

(4) organizacionu strukturu koja upravlja IKT sistemom;

2. operatori IKT sistema su Gradska uprava za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva i Gradska uprava za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva, koje u okviru obavljanja svoje delatnosti, odnosno za obavljanje poslova iz svoje nadležnosti, koriste IKT sistem;

3. informaciona bezbednost predstavlja skup mera koje omogućavaju da podaci, kojima se obrađuju u IKT sistemu, budu zaštićeni od neovlašćenog pristupa, kao i da se zaštiti integritet, raspoloživost, autentičnost i neporecivost tih podataka, da bi taj sistem funkcionisao kako je predviđeno, kada je predviđeno i pod kontrolom ovlašćenih lica;

4. tajnost je svojstvo podatka koje znači da taj podatak nije dostupan neovlašćenim licima;

5. integritet podatka je očuvanost izvornog sadržaja podatka i očuvanost kompletnosti podatka;

6. raspoloživost podatka je svojstvo podatka koje znači da je podatak dostupan i upotrebljiv, na zahtev ovlašćenih lica, onda kada im je potreban;

7. autentičnost podatka je svojstvo podatka, koje znači da je moguće proveriti i potvrditi da je podatak stvorio ili poslao onaj za koga je deklarisano da je tu radnju izvršio;

8. neporecivost predstavlja sposobnost dokazivanja da se dogodila određena radnja ili da je nastupio određeni događaj, tako da ga nije moguće naknadno poreći;

9. rizik je mogućnost narušavanja informacione bezbednosti, odnosno mogućnost narušavanja tajnosti, integriteta, raspoloživosti, autentičnosti ili neporecivosti podataka ili narušavanja ispravnog funkcionisanja IKT sistema;

10. upravljanje rizikom je sistematičan skup mera koji obuhvata planiranje, organizovanje i usmeravanje aktivnosti, kako bi se obezbedilo da rizici ostanu u propisanim i prihvatljivim okvirima;

11. incident je unutrašnja ili spoljna okolnost ili događaj, kojim se ugrožava ili narušava informaciona bezbednost;

12. mere zaštite IKT sistema su tehničke i organizacione mere upravljanja bezbednosnim rizicima IKT sistema;

13. tajni podatak je podatak koji je, u skladu sa propisima o tajnosti podataka određen i označen određenim stepenom tajnosti;

14. IKT sistem za rad sa tajnim podacima je IKT sistem koji je, u skladu sa zakonom, određen za rad tajnim podacima;

15. kompromitujuće elektromagnetno zračenje (KEMZ) predstavlja nenamerne elektromagnetne emisije prilikom prenosa, obrade ili čuvanja podataka, čijim prijemom i analizom se može otkriti sadržaj tih podataka;

16. kriptobezbednost je komponenta informacione bezbednosti koja obuhvata kriptozaštitu, upravljanje kriptomaterijalima i razvoj metoda kriptozaštite;

17. kriptozaštita je primena metoda, mera i postupaka radi transformisanja podataka u oblik koji ih za određeno vreme ili trajno čini nedostupnim neovlašćenim licima;

18. kriptografski proizvod je softver ili uređaj kojim se vrši kriptozaštita;

19. kriptomaterijali su kriptografski proizvodi, podaci, tehnička dokumentacija kriptografskih proizvoda, kao i odgovarajući kriptografski ključevi;

20. bezbednosna zona je prostor ili prostorija u kojoj se, u skladu sa propisima o tajnosti podataka, obrađuju i čuvaju tajni podaci;

21. informaciona dobra obuhvataju podatke u datotekama i bazama podataka, programski kôd, konfiguraciju hardverskih komponenata, tehničku i korisničku dokumentaciju, unutrašnje opšte pravilnike, procedure i slično;

22. VPN (Virtual Private Network) je "privatna" komunikaciona mreža koja omogućava korisnicima na razdvojenim lokacijama, da preko javne mreže jednostavno održavaju zaštićenu komunikaciju;

23. "MAC adresa" (Media Access Control Address) je jedinstven broj, kojim se vrši identifikacija uređaja na mreži;

24. "Backup" je rezervna kopija podataka;

25. "Download" ili preuzimanje je transfer podataka sa centralnog računara, web prezentacije ili Interneta, na lokalni računar;

26. UPS (Uninterruptible power supply) je uređaj za neprekidno napajanje električnom energijom;

27. "Freeware" je besplatan softver;

28. "Opensource" je softver otvorenog koda;

29. "Firewall" ("zaštitni zid") je sistem, kojim se vrši nadzor i kontroliše protok informacija, između lokalne mreže i interneta, u cilju onemogućavanja zlonamernih aktivnosti;

30. USB ili fleš memorija je spoljašnji, prenosni medijum za skladištenje podataka;

31. CD-ROM (Compact disk-read only memory) se koristi kao spoljašnji, prenosni medijum za snimanje podataka;

32. DVD je optički disk visokog kapaciteta koji se koristi kao spoljašnji, prenosni medijum za skladištenje podataka;

33. korisnički nalog je skup podataka u elektronskom obliku o korisniku IKT sistema, kojim se omogućava pristup IKT sistemu i koji sadrži, između ostalih podataka, korisničko ime i lozinku koji se mogu unositi ili čitati sa medija na kome postoji elektronski sertifikat, na osnovu kojih se vrši autentifikacija (provera identiteta) i autorizacija (provera prava pristupa), odnosno prava korišćenja resursa IKT sistema korisnika IKT sistema;

34. korisnik je zaposleni kod Operatora IKT sistema ili treće lice koje je ovlašćeno za pristup IKT sistemu;

35. domen je vrsta računarske mreže u kojoj su podaci o svim resursima upisani u centralnim bazama podataka, koje se nalaze na računarima (serverima), kontrolerima domena koji upravljaju tom računarskom mrežom;

36. administratorski nalog je korisnički nalog IKT sistema, kojim je omogućen pristup IKT sistemu, kojem su dodeljena sva prava u IKT sistemu i kojim je omogućena upravljanje svim resursima IKT sistema, kao i kojim je omogućeno otvaranje novih i izmena postojećih korisničkih naloga u IKT sistemu; administratorski nalog može biti lokalni i domenski;

37. administrator IKT sistema je lice kome je dodeljen administratorski nalog i koji je ovlašćen za upravljanje svim resursima IKT sistema;

38. redundantne komponente IKT sistema ("duple" komponente, kritične komponente za dostupnost IKT sistema) su komponente IKT sistema, koje su iste ili slične komponentama IKT sistema koje se koriste, a namenjene su korišćenju kada se dostupnost IKT sistema ne može garantovati korišćenjem komponenti IKT sistema koje su u radu.

II MERE ZAŠTITE

Član 4

Merama zaštite IKT sistema se obezbeđuje prevencija nastanka incidenata, odnosno prevencija i minimizacija štete od incidenata, koji ugrožavaju obavljanje delatnosti u okviru svoje nadležnosti, a posebno u pružanju usluga drugim licima.

Mere propisane ovim Pravilnikom se odnose na sve organizacione jedinice Operatora IKT sistema i na sve korisnike IKT sistema, kao i na treća lica, koja su ovlašćena da koriste resurse IKT sistema.

Radi zaštite tajnosti, autentičnosti i integriteta podataka, Operator IKT sistema može da uvede odgovarajuće mere kriptozaštite.

Mere zaštite IKT sistema sprovodi nadležna organizaciona jedinica Operatora IKT sistema.

1. Organizaciona struktura, sa utvrđenim poslovima i odgovornostima zaposlenih, kojom se ostvaruje upravljanje informacionom bezbednošću, u okviru IKT sistema

Član 5

Svaki zaposleni, korisnik resursa IKT sistema ili treće lice, koje je ovlašćeno za korišćenje resursa IKT sistema, je odgovorno za bezbednost resursa IKT sistema koje koristi radi obavljanja poslova iz svoje nadležnosti.

Kontrolu i nadzor nad obavljanjem poslova zaposlenih, korisnika i trećih lice koja su ovlašćena za korišćenje resursa IKT sistema, u cilju zaštite i bezbednosti IKT sistema, kao i za obavljanje poslova u oblasti bezbednosti celokupnog IKT sistema, obavlja nadležna organizaciona jedinica Operatora IKT sistema, u skladu sa pravilnikom o unutrašnjem uređenju i sistematizaciji radnih mesta u gradskoj upravi grada Valjeva u čijoj nadležnosti su poslovi upravljanja IKT sistemom.

Član 6

Poslovi u oblasti informacione bezbednosti su:

1. poslovi zaštite informacionih dobara, odnosno sredstava imovine za nadzor nad poslovnim procesima od značaja za informacionu bezbednost;

2. poslovi upravljanje rizicima u oblasti informacione bezbednosti, kao i poslovi predviđeni procedurama u oblasti informacione bezbednosti;

3. poslovi onemogućavanja, odnosno sprečavanja neovlašćene ili nenamerne izmene, oštećenja ili zloupotrebe sredstava, odnosno informacionih dobara IKT sistema, kao i poslovi onemogućavanja pristupa, onemogućavanja izmene ili onemogućavanja korišćenja sredstava bez ovlašćenja i bez evidencije o tome;

4. praćenje aktivnosti, revizije i nadzora u okviru upravljanja informacionom bezbednošću;

5. obaveštavanje nadležnih organa o incidentima u IKT sistemu, u skladu sa propisima.

U slučaju incidenta u IKT sistemu, korisnik IKT sistema je dužan da, odmah, obavesti rukovodioca svog odeljenja. Rukovodilac odeljenja, odmah o tome, obaveštava rukovodioca Operatora IKT sistema. Ukoliko rukovodilac odeljenja nije dostupan, korisnik IKT sistema je dužan da, odmah, obavesti rukovodioca Operatora IKT sistema.

Po prijemu prijave iz prethodnog stava, rukovodilac Operatora IKT sistema je dužan da, odmah preduzme mere, u cilju zaštite resursa IKT sistema.

Ukoliko se radi o incidentu u IKT sistemu, koji je definisan Uredbom o postupku dostavljanja podataka, listi, vrstama i značaju incidenata i postupku obaveštavanja o incidentima u informaciono- komunikacionim sistemima od posebnog značaja, rukovodilac Operatora IKT sistema, o tom incidentu obaveštava nadležni organ, određen navedenom Uredbom.

Organizaciona jedinica Operatora IKT sistema, koja je nadležna da sprovodi mere zaštite IKT sistema vodi evidenciju o svim incidentima, kao i svim prijavama incidenata, u skladu sa Uredbom, na osnovu koje, protiv odgovornog lica, mogu da se vode disciplinski, prekršajni ili krivični postupci.

2. Bezbednost rada na daljinu i upotreba mobilnih uređaja

Član 7

Neregistrovani korisnici, korišćenjem mobilnih uređaja, mogu da pristupe samo onim delovima IKT sistema, koji su konfigurisani tako, da svima omogućavaju javan i otvoren pristup Internetu i veb sajtu, ali ne i delovima IKT sistema kroz koju se obavlja službena komunikacija.

Zaposleni i korisnici IKT sistema, korišćenjem mobilnih uređaja, koji su u vlasništvu grada Valjeva, i koje su podesili zaposleni u organizacionoj jedinici Operatora IKT sistema, koja je nadležna da sprovodi mere zaštite IKT sistema, mogu da pristupaju samo onim delovima IKT sistema, koji im omogućavaju obavljanje radnih zadataka, u okviru njihove nadležnosti (elektronska pošta), a na osnovu pisane saglasnosti načelnika Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva ili načelnika Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva.

Mobilni uređaji moraju biti podešeni tako da omoguće siguran i bezbedan pristup, korišćenjem VPN mreže IKT sistema i liste MAC adresa uređaja, kojima je dozvoljen pristup, uz aktivan odgovarajući softver za zaštitu od virusa i drugog zlonamernog softvera.

Pristup resursima IKT sistema, sa udaljenih lokacija, zaposlenih-korisnika, u cilju obavljanja radnih zadataka, omogućen je putem zaštićene VPN konekcije ili zaštićene internet konekcije.

Zaposlenom i korisniku IKT sistema, je zabranjena samostalna instalacija softvera u mobilnom uređaju i podešavanje mobilnog uređaja, kao i davanje uređaja drugim neovlašćenim licima (na uslugu, servisiranje i sl.).

Nadležni zaposleni, u organizacionoj jedinici Operatora IKT sistema, koja je nadležna da sprovodi mere zaštite IKT sistema, svakodnevno kontrolišu pristup resursima IKT sistema i proveravaju da li ima pristupa sa nepoznatih uređaja (sa nepoznatih MAC adresa). Ukoliko se ustanovi neovlašćen pristup IKT sistemu, o tome se, elektronskom poštom odmah, a najkasnije sutradan obaveštavaju načelnik Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva i načelnik Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva, a toj MAC adresi se onemogućava pristup IKT sistemu, unosom te MAC adrese u listu blokiranih MAC adresa ("block" listu),u softvera koji se koristi za kontrolu pristupa IKT sistemu.

Pristup resursima IKT sistema, sa privatnog uređaja, nije dozvoljen, osim ako je uređaj, koji je u vlasništvu grada Valjeva oštećen i nije obezbeđena zamena tom, oštećenom, uređaju.

Saglasnost za korišćenje privatnog uređaja, u IKT sistemu, daje načelnik Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva ili načelnik Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva.

Pristup resursima IKT sistema sa privatnog uređaja nije dozvoljen bez saglasnosti načelnika Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva ili načelnika Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva.

Evidenciju privatnih uređaja, sa kojih će biti omogućen pristup, vodi organizaciona jedinici Operatora IKT sistema, koja je nadležna da sprovodi mere zaštite IKT sistema a po odobrenju načelnika Gradske uprave.

Privatni uređaji, sa kojih će se pristupati resursima IKT sistema, mogu se koristiti samo za obavljanje poslova u nadležnosti korisnika-zaposlenog i to samo u periodu kada nije moguće koristiti uređaj, koji je u vlasništvu grada Valjeva. Te uređaje moraju podesiti zaposleni u organizacionoj jedinici Operatora IKT sistema, koja je nadležna da sprovodi mere zaštite IKT sistema.

U slučaju da se privatni uređaj, za koji je data saglasnost načelnika Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva ili načelnika Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva za pristup resursima IKT sistema, predaje ovlašćenom servisu, korisnik tog uređaja je dužan da o tome pismeno obavesti načelnika Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva ili načelnika Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva.

Zaposleni u organizacionoj jedinici Operatora IKT sistema, koja je nadležna da sprovodi mere zaštite IKT sistema je dužan je da, pre predaje privatnog uređaja, koji se predaje ovlašćenom servisu, ukoliko kvar nije takve vrste da to onemogućava, uradi backup službenih podataka koji se nalaze u mobilnom uređaju, a potom ih obriše iz uređaja, i po povratku iz servisa ponovo vrati te podatke u mobilni uređaj.

3. Obezbeđivanje da lica koja koriste IKT sistem, odnosno upravljaju IKT sistemom budu osposobljena za posao koji rade i razumeju svoju odgovornost

Član 8

IKT sistemom upravljaju zaposleni u skladu sa važećom sistematizacijom radnih mesta.

Zaposleni koji upravljaju IKT sistemom, u skladu sa važećom sistematizacijom radnih mesta, obavezno će se osposobljavati i usavršavati, između ostalog i upućivanjem na obuke iz oblasti bezbednosti IKT sistema, upravljanja IKT sistemima i drugih IKT oblasti, najmanje jednom na svakih šest meseci.

Evidenciju o obukama zaposlenih koji upravljaju IKT sistemom vodi organizaciona jedinici Operatora IKT sistema, koja je nadležna za upravljanje ljudskim resursima.

Rukovodilac ili nadležni zaposleni u organizacionoj jedinici Operatora IKT sistema, koja je nadležna za upravljanje ljudskim resursima, je dužan da, svakog zaposlenog ili korisnika IKT resursa, upozna sa odgovornostima i pravilima korišćenja IKT sistema, kao i da vodi evidenciju o izjavama zaposlenih i korisnika IKT sistema, o tome da su upoznati sa pravilima korišćenja IKT sistema.

Rukovodilac ili nadležni zaposleni u organizacionoj jedinici Operatora IKT sistema, koja je nadležna za upravljanje ljudskim resursima, je dužan da, svakog novog zaposlenog ili novog korisnika IKT sistema, upozna sa odgovornostima i pravilima korišćenja IKT sistema, kao i da vodi evidenciju o izjavama novih zaposlenih i novih korisnika IKT sistema, o tome da su upoznati sa pravilima korišćenja IKT sistema.

Svako korišćenje IKT resursa grada Valjeva, zaposlenog ili korisnika IKT sistema, van dodeljenih ovlašćenje, podleže disciplinskoj odgovornosti zaposlenog ili korisnika IKT sistema, kojom se definiše odgovornost za neovlašćeno korišćenje imovine.

4. Zaštita od rizika koji nastaju pri promenama poslova ili prestanka radnog angažovanja lica zaposlenih kod operatora IKT sistema

Član 9

Aktom o popunjavanju radnih mesta koji donosi načelnik gradske uprave, obavezuje se službenik da čuva poverljive i druge informacije koje su od značaja za informacionu bezbednost IKT sistema koje sazna u obavljanju svojih dužnosti, kao i da primenjuje mere njihove zaštite propisane ovim Pravilnikom i drugim propisima kojima se uređuje tajnost podataka.

Istim aktom utvrđuje se i obaveza zaposlenog iz stava 1. ovog člana i po prestanku radnog odnosa.

O prestanku radnog odnosa ili radnog angažovanja zaposlenog ili korisnika IKT sistema, kao i promeni radnog mesta zaposlenog ili korisnika IKT sistema, rukovodilac organizacione jedinice Operatora IKT sistema, nadležne za upravljanje ljudskim resursima je dužan da pismeno obavesti rukovodioca organizacione jedinici Operatora IKT sistema, koja je nadležna da sprovodi mere zaštite IKT sistema, radi ukidanja, ili izmene pristupnih privilegija tog zaposlenog ili korisnika IKT sistema.

U slučaju promene poslova, odnosno promene nadležnosti zaposlenog ili korisnika IKT sistema, rukovodilac organizacione jedinice Operatora IKT sistema nadležne za upravljanje ljudskim resursima, daje pismeni nalog rukovodiocu organizacione jedinice Operatora IKT sistema, koja je nadležna da sprovodi mere zaštite IKT sistema, za promenu privilegija koje je zaposleni ili korisnik IKT sistema ima.

Nadležni zaposleni u organizacionoj jedinici Operatora IKT sistema, koja je nadležna da sprovodi mere zaštite IKT sistema, na osnovu pismenog naloga rukovodioca organizacione jedinici Operatora IKT sistema, koja je nadležna da sprovodi mere zaštite IKT sistema, vrši promenu administrativnih ovlašćenja koje je zaposleni ili korisnik IKT sistema ima.

U slučaju prestanka radnog angažovanja zaposlenog ili korisnika IKT sistema, rukovodilac organizacione jedinice Operatora IKT sistema nadležne za upravljanje ljudskim resursima, daje pismeni nalog za ukidanje korisničkog naloga rukovodiocu organizacione jedinice Operatora IKT sistema, koja je nadležna da sprovodi mere zaštite IKT sistema.

Nadležni zaposleni u organizacionoj jedinici Operatora IKT sistema, koja je nadležna da sprovodi mere zaštite IKT sistema, ukida i onemogućava taj korisnički nalog, na osnovu pismenog naloga rukovodioca organizacione jedinice Operatora IKT sistema, koja je nadležna da sprovodi mere zaštite IKT sistema.

Korisnik IKT resursa (i zaposleni i treća lica koja su ovlašćena za korišćenje IKT sistema), za vreme svog radnog angažovanja i nakon prestanka svog radnog angažovanja, ne sme da otkriva podatke koji su značajni za informacionu bezbednost IKT sistema.

5. Identifikovanje informacionih dobara i određivanje odgovornosti za njihovu zaštitu

Član 10

Informaciona dobra su svi resursi koji sadrže poslovne informacije, kojima se vrši izrada, obrada, čuvanje, prenos, brisanje i uništavanje podataka u IKT sistemu, uključujući sve elektronske zapise, računarsku opremu, mobilne uređaje, baze podataka, poslovne aplikacije, konfiguraciju hardverskih komponenata, tehničku i korisničku dokumentaciju, unutrašnje pravilnike koji se odnose na IKT sistem i sl.

O informacionim dobrima vodi se posebna evidencija i posebna klasifikacija.

Popis informacionih dobara, odnosno sredstava i imovine sprovodi, organizaciona jedinica Operatora IKT sistema, koja je nadležna za zajedničke poslove.

Organizaciona jedinica Operatora IKT sistema, koja je nadležna za zajedničke poslove, uspostavlja, vodi, održava i redovno ažurira evidenciju i klasifikaciju informacionih dobara.

Operator IKT sistema je dužan da klasifikaciju iz stava 2. ovog člana vrši prema stepenu osetljivosti i kritičnosti, uzimajući u obzir moguće posledice narušavanja poverljivosti, integriteta i raspoloživosti informacionih dobara, da dosledno primenjuje tu klasifikaciju, kao i da u skladu s tim, obezbedi adekvatan nivo zaštite informacionih dobara.

Organizaciona jedinica Operatora IKT sistema, koja je nadležna za zajedničke poslove, uspostavlja, vodi, održava i redovno ažurira evidenciju o garancijama, garantnim rokovima, ugovornim obavezama isporučioca opreme u garantnom roku i van garantnog roka, servisiranju u garantnom roku i van garantnog roka, i održavanju informacionih dobara, odnosno sredstava i imovine koja se koristi u IKT sistemu, uključujući i opremu za klimatizaciju, zaštitu i obezbeđenje informacionih dobara, odnosno sredstava i imovine koja se koristi u IKT sistemu.

6. Klasifikovanje podataka, tako da nivo njihove zaštite odgovara značaju podataka, u skladu sa načelom upravljanja rizikom iz Zakona o informacionoj bezbednosti

Član 11

Načelnik Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva i načelnik Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva određuju šemu klasifikacije podataka, prema kojoj se podaci klasifikuju uzimajući u obzir osetljivost, važnost podataka, štetu koja može da nastane usled neovlašćenog otkrivanja, izmene ili brisanje podataka i propise koji uređuju zaštitu podataka (o tajnim podacima, poslovnoj tajni, podacima o ličnosti i sl.).

Radi određivanja grupnih i pojedinačnih prava pristupa IKT sistemu, klasifikacijom podataka se određuje, između ostalog, i kojim podacima mogu pristupati svi zaposleni i svi korisnici IKT sistema, kojim podacima kojima može pristupati više zaposlenih ili više korisnika IKT sistema koji su ovlašćeni za to (grupa korisnika) i kojim podacima mogu pristupati samo pojedini zaposleni ili pojedini korisnici IKT sistema, koji su ovlašćeni za to.

Podaci koji se nalaze u IKT sistemu predstavljaju tajnu ako su kao takvi definisani posebnim propisima.

Podaci koji se nalaze u IKT sistemu, koji su u skladu sa propisima o tajnosti podataka, određeni ili označeni određenim stepenom tajnosti, predstavljaju tajne podatke.

Podaci koji se označe kao tajni, moraju biti zaštićeni u skladu sa odredbama Uredbe o posebnim merama zaštite tajnih podataka u informaciono- telekomunikacionim sistemima ("Sl. glasnik RS", br. 53/2011).

Načelnik Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva i načelnik Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva, će usvojiti akt o uspostavljanju organizacije pristupa podacima, posebno onim podacima koji budu označeni tajnim, u skladu sa Zakonom o tajnosti podataka.

Dokumenti, sa oznakom tajnosti, mogu da se snime, odnosno arhiviraju ili zapišu na fajl serveru, u folderu kome pravo pristupa imaju samo korisnici IKT sistema, koji su za to ovlašćeni i koji su dobili pravo pristupa tom folderu.

Organizaciona jedinica Operatora IKT sistema, koja je nadležna za upravljanje IKT sistemom, vrši procenu rizika ugrožavanja zaštite podataka, vrši procenu potreba za prevencijom rizika ugrožavanja zaštite podataka i predlaže mere otklanjanja posledica rizika koji se ostvario, uključujući sve vrste vanrednih okolnosti.

Načelnik Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva i načelnik Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva donose akt o proceni rizika, potrebi za prevencijom rizika i otklanjanju posledica rizika koji se ostvario, uključujući sve vrste vanrednih okolnosti, na predlog organizacione jedinice Operatora IKT sistema, koja je nadležna za upravljanje IKT sistemom. Izbor i nivo primene mera zaštite podataka se zasniva na ovom aktu.

7. Zaštita nosača podataka

Član 12

Nadležna organizaciona jedinica Operatora IKT sistema, će uspostaviti organizaciju pristupa i rada sa podacima, posebno onim podacima koji budu označeni stepenom službenosti ili tajnosti, u skladu sa Zakonom o tajnosti podataka, tako da:

1. podaci i dokumenti, a posebno podaci sa oznakom tajnosti, mogu da se snime (arhiviraju, zapišu) na serveru na kome se snimaju podaci, u folderu, nad kojim će pravo pristupa imati samo zaposleni ili korisnici IKT sistema, kojima je to pravo dato odlukom načelnika Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva ili načelnika Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva;

2. podaci i dokumenti, a posebno podaci sa oznakom tajnosti, mogu da snime na druge nosače podataka (eksterni hard disk, USB, CD, DVD i sl.) samo ovlašćeni zaposleni ili ovlašćeni korisnici IKT sistema, koje je ovlastio načelnik Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva ili načelnik Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva.

Načelnik Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva i načelnik Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva određuju, svojim aktom, podatke, u skladu sa šemom klasifikacije podataka, za koje treba voditi evidenciju o korišćenju nosača podataka i preduzetim postupcima zaštite podataka i nosača podataka.

Evidenciju o korišćenju nosača podataka i preduzetim postupcima zaštite podataka i nosača podataka uspostavlja, vodi i redovno ažurira organizaciona jedinica Operatora IKT sistema koja je nadležna za zajedničke poslove.

Rukovodilac svakog odeljenja Operatora IKT sistema vodi evidenciju nosača podataka, u skladu sa aktom iz stava 2. ovog člana, za koje je nadležan i koji su napravljeni u obavljanju poslova iz svoje nadležnosti. Evidencija nosača podataka sadrži, osim ostalih podataka i rokove čuvanja podataka, u skladu sa propisima.

Kada isteknu rokovi za čuvanje podataka upisanih na nosače podataka, ili kada podaci upisani na nosače podataka nisu više potrebni, podaci sa tih nosača podataka se nepovratno brišu. Ukoliko se podaci ne mogu nepovratno obrisati sa nosača podataka, ti nosači podataka se predaju organizacionoj jedinici Operatora IKT sistema koja je nadležna za zajedničke poslove, radi uništavanja. O ovoj predaji nosača podataka sačinjava se zapisnik.

Nosači podataka koji su pokvareni ili koji se više ne upotrebljavaju, predaju se organizacionoj jedinici Operatora IKT sistema koja je nadležna za zajedničke poslove, radi uništavanja. O ovoj predaji nosača podataka sačinjava se zapisnik.

Prilikom rashodovanja informacionog dobra, opreme, sredstava ili imovine, koja u svom sklopu sadrži nosač podataka (računar, prenosni računar, mobilni uređaj, mobilni telefon i sl.), podaci na tim nosačima podataka se nepovratno brišu, a ako se podaci na tim nosačima podataka ne mogu obrisati, taj nosač podataka se nepovratno uništava.

Dokument, sa oznakom tajnosti, može da snimi, na druge nosače podataka (eksterni HDD, USB, CD, DVD i sl.), samo načelnik Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva ili načelnik Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva, ili zaposleni koga pismeno ovlasti načelnik Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva ili načelnik Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva.

Evidenciju nosača podataka, na kojima su snimljeni podaci sa oznakom tajnosti, vodi organizaciona jedinica Operatora IKT sistema koja je nadležna za zajedničke poslove.

Nosači podataka, na kojima se nalaze dokumenti sa oznakom tajnosti, moraju biti propisno obeleženi i odloženi na mesto, na kome će biti zaštićeni od neovlašćenog pristupa.

U slučaju transporta nosača podataka sa podacima sa oznakom tajnosti, načelnik Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva ili načelnik Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva, će odrediti odgovornu osobu za transport nosača podataka sa podacima sa oznakom tajnosti i način transporta nosača podataka sa podacima sa oznakom tajnosti.

Prilikom brisanja podataka za oznakom tajnosti, sa nosača podataka, na kojima su se nalazili, podaci moraju biti nepovratno obrisani, a ako to nije moguće, takvi nosači podataka moraju biti fizički nepovratno oštećeni, odnosno uništeni.

8. Ograničenje pristupa podacima i sredstvima za obradu podataka

Član 13

Pristup resursima IKT sistema određen je korisničkim nalogom koji zaposleni ili korisnik IKT sistema ima u IKT sistemu, u skladu sa klasifikacijom podataka.

Pismeni nalog za otvaranje korisničkog naloga izdaje rukovodilac organizacione jedinice Operatora IKT sistema, koja je nadležna za upravljanje ljudskim resursima.

Nalog za otvaranje korisničkog naloga, rukovodilac organizacione jedinice Operatora IKT sistema, koja je nadležna za upravljanje ljudskim resursima dostavlja rukovodiocu organizacione jedinice Operatora IKT sistema, koja je nadležna da sprovodi mere zaštite IKT sistema.

Nalog za otvaranje korisničkog naloga, pored ostalih podataka, sadrži i opis prava pristupa, u skladu sa klasifikacijom podataka i na osnovu poslova i radnih zadataka zaposlenog ili korisnika IKT sistema.

Na obrazac naloga za otvaranje korisničkog naloga, saglasnost daju načelnik Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva i načelnik Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva.

Rukovodilac organizacione jedinici Operatora IKT sistema, koja je nadležna da sprovodi mere zaštite IKT sistema, na osnovu naloga za otvaranje korisničkog naloga, dostavlja podatke o korisničkom nalogu organizacionoj jedinici Operatora IKT sistema, koja je nadležna za upravljanje ljudskim resursima.

Nadležni zaposleni u organizacionoj jedinici Operatora IKT sistema, koja je nadležna za upravljanje ljudskim resursima, saopštava licu podatke o njegovom korisničkom nalogu i postupa u skladu sa članom 8. ovog Pravilnika.

O nalozima za otvaranje korisničkih naloga se vodi evidencija.

O nalozima za ukidanje korisničkih naloga se vodi evidencija.

Evidenciju naloga za otvaranje korisničkih naloga u IKT sistemu i evidenciju o nalozima za ukidanje korisničkih naloga vodi organizaciona jedinica Operatora IKT sistema nadležna za upravljanje ljudskim resursima. Jedan primerak naloga za otvaranje korisničkog naloga u IKT sistemu se čuva u personalnom dosijeu lica. Za lica, za koja se ne vodi personalni dosije, jedan primerak naloga za otvaranje korisničkog naloga u IKT sistemu se čuva na primeren način.

Korisnički nalozi se mogu organizovati u grupe korisnika, u skladu sa klasifikacijom podataka. Prava pristupa resursima IKT sistema mogu biti organizovana na prava koja se daju svim zaposlenima i svim korisnicima IKT sistema, posebna prava koja se daju članovima jedne grupe zaposlenih ili grupe korisnika IKT sistema i posebna prava koja se daju pojedinačnom zaposlenom ili pojedinačnom korisniku IKT sistema.

Zaposleni koji ima administratorski nalog za pristup IKT sistemu (administrator IKT sistema), ima prava pristupa svim resursima IKT sistema (podacima, softverskim, hardverskim, mrežnim resursima i ostalim resursima IKT sistema) u cilju instalacije, održavanja, podešavanja i upravljanja resursima IKT sistema.

Zaposleni ili korisnik IKT sistema može da koristi samo svoj korisnički nalog, koji je dobio i ne sme da omogući drugom licu korišćenje svog korisničkog naloga, sem administratoru IKT sistema, radi podešavanje korisničkog profila i radne stanice.

Zaposleni ili korisnik IKT sistema koji na bilo koji način zloupotrebi svoja prava, odnosno resurse IKT sistema, podleže krivičnoj i disciplinskoj odgovornosti.

Svaki korisnik IKT sistema (i zaposleni i treća lica koja su ovlašćena za korišćenje IKT sistema) je dužan da poštuje i sledeća pravila bezbednog i primerenog korišćenja IKT sistema:

1. da koristi resurse IKT sistema isključivo u poslovne svrhe;

2. da prihvati da su svi podaci koji se skladište, prenose ili obrađuju u okviru IKT sistema vlasništvo Operatora IKT sistema i da mogu biti predmet nadgledanja i pregledanja;

3. da postupa poverljivim podacima u skladu sa propisima, a posebno prilikom kopiranja i prenosa podataka;

4. da bezbedno čuva svoje lozinke, svoje elektronske sertifikate i PIN podatke;

5. da menja lozinke saglasno utvrđenim pravilima;

6. da se, pre svakog udaljavanja od radne stanice, odjavi sa sistema, odnosno zaključa radnu stanicu;

7. da koristi DVDRW, CDRW i USB eksterne memorije na radnoj stanici samo uz odobrenje rukovodioca Operatora IKT sistema;

8. da zahtev za instalaciju softvera ili hardvera podnosi u pisanoj formi, koji odobrava nadležni rukovodilac;

9. da obezbedi sigurnost podataka u skladu sa važećim propisima;

10. da pristupa resursima IKT sistema samo na osnovu izričito, dodeljenih svojih korisničkih prava;

11. da ne sme da zaustavlja rad ili briše antivirusni program, menja podešene opcije antivirusnog programa niti da neovlašćeno instalira drugi antivirusni program;

12. da ne sme na radnoj stanici da skladišti sadržaj koji ne služi u poslovne svrhe;

13. da izrađuje zaštitne kopije (backup) svojih podataka u skladu sa propisanim procedurama;

14. da koristi Internet, Intranet i e-mail servis Operatora IKT sistema, u skladu sa propisanim procedurama;

15. da prihvati da se određene vrste informatičkih intervencija obavljaju u utvrđeno vreme;

16. da prihvati da svi pristupi resursima IKT sistema i informacijama treba da budu zasnovani na principu minimalne neophodnosti;

17. da prihvati instalaciju programa u cilju sigurnosti IKT sistema;

18. da ne sme samostalno da instalira, modifikuje, isključuje iz rada ili briše zaštitni, sistemski ili aplikativni softver ili bilo koji drugi softver.

9. Odobravanje ovlašćenog pristupa i sprečavanje neovlašćenog pristupa IKT sistemu i uslugama koje IKT sistem pruža

Član 14

Pravo pristupa IKT sistemu imaju samo zaposleni, korisnici ili treća lica koja su ovlašćena da pristupe IKT sistemu i koja su ovlašćena da koriste IKT sistem i kojima je dodeljen korisnički ili administratorski nalog u IKT sistemu.

Administratorski nalog može da koristi samo zaposleni u nadležnoj organizacionoj jedinici Operatora IKT sistema ili lice koje, na osnovu zakona, pismeno ovlasti načelnik Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva ili načelnik Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva.

Administratorski nalog za upravljanje bazom podataka može da koristi samo zaposleni na poslovima koji su za to određeni u nadležnoj organizacionoj jedinici Operatora IKT sistema.

Korisnički nalog se sastoji od korisničkog imena i lozinke, koji se mogu ukucavati tastaturom ili podataka koji se mogu čitati sa medija na kome postoji elektronski sertifikat, kojima se vrši autentifikacija (provera identiteta) i autorizacija (provera prava pristupa), i kojima se vrši provera prava korišćenja resursa IKT sistema korisnika IKT sistema.

Korisnički nalog otvara administrator IKT sistema, na osnovu pismenog naloga za otvaranje korisničkog naloga rukovodioca organizacione jedinice Operatora IKT sistema, nadležne za upravljanje ljudskim resursima i pismenog naloga rukovodioca organizacione jedinice Operatora IKT sistema, nadležne za upravljanje IKT sistemom.

Korisnički nalog menja administrator IKT sistema, na osnovu pismenog naloga za promenu korisničkog naloga rukovodioca organizacione jedinice Operatora IKT sistema, nadležne za upravljanje ljudskim resursima i pismenog naloga rukovodioca organizacione jedinice Operatora IKT sistema, nadležne za upravljanje IKT sistemom.

Korisnički nalog ukida administrator IKT sistema, na osnovu pismenog naloga za ukidanje korisničkog naloga rukovodioca organizacione jedinice Operatora IKT sistema, nadležne za upravljanje ljudskim resursima i pismenog naloga rukovodioca organizacione jedinice Operatora IKT sistema, nadležne za upravljanje IKT sistemom.

Administrator IKT sistema vodi evidenciju o korisničkim nalozima u elektronskom obliku, proverava njihovo korišćenje, menja prava pristupa i ukida korisničke naloge na osnovu pismenog naloga rukovodioca organizacione jedinice Operatora IKT sistema, nadležne za upravljanje ljudskim resursima i pismenog naloga rukovodioca organizacione jedinice Operatora IKT sistema, nadležne za upravljanje IKT sistemom, u skladu sa ovim Pravilnikom.

Rukovodioci organizacione jedinice Operatora IKT sistema, nadležne za upravljanje ljudskim resursima i organizacione jedinice Operatora IKT sistema, nadležne za upravljanje IKT sistemom, najmanje jednom godišnje, vrše proveru i usklađivanje evidencija korisničkih naloga, koje su nadležni da vode. Posebno se pažljivo proveravaju administratorski nalozi u IKT sistemu.

O proveri i usklađenosti evidencija korisničkih naloga, koje vode organizacione jedinice Operatora IKT sistema, nadležne za upravljanje ljudskim resursima i organizacione jedinice Operatora IKT sistema, nadležne za upravljanje IKT sistemom sastavlja se zapisnik. Po jedna kopija, ovog zapisnika, se dostavlja načelniku Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva i načelniku Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva. U slučaju neusklađenosti ove dve evidencije načelnik Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva i načelniku Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva nalažu mere za usklađivanje ovih evidencija.

Korisnički nalog se može zaključati ako se unese pogrešna lozinka uzastopno pet puta.

U slučajevima promene radnog mesta, prestanka radnog odnosa i, po potrebi, u drugim slučajevima, ukidanje prava pristupa IKT sistemu se sprovodi u skladu sa članom 9. i članom 13. ovog Pravilnika.

10. Utvrđivanje odgovornosti korisnika za zaštitu sopstvenih sredstava za autentikaciju

Član 15

Korisničko ime se pravi po modelu ime, prezime, latiničnim slovima engleske abecede, bez upotrebe velikih ili malih slova đ, ž, lj, nj, ć, č, dž, š.

Umesto slova, iz stava 1. ovog člana, koriste se slova iz sledeće tabele.

Ćirilična slova	Latinična slova
ђ	dj
ж	z
љ	lj
њ	nj
ћ, ч	c
ш	s
џ	dz

Lozinka mora da sadrži najmanje osam znakova, kombinovanih od malih i velikih slova, cifara i specijalnih znakova.

Lozinka po pravilu ne sadrži ime, prezime, datum rođenja, broj telefona i druge prepoznatljive podatke zaposlenog odnosno korisnika IKT sistema.

Ako zaposleni ili korisnik IKT sistema posumnja da je drugo lice otkrilo njegovu lozinku, dužan je da svoju lozinku odmah promeni.

Zaposleni ili korisnik IKT sistema po pravilu menja lozinku, najmanje jednom u šest meseci.

Ista lozinka se ne sme ponavljati u vremenskom periodu od godinu dana.

Korisnički nalog može da se se kreira i na osnovu podataka koji se nalaze na mediju sa kvalifikovanim elektronskim sertifikatom (npr. lična karta sa čipom i upisanim kvalifikovanim elektronskim sertifikatom).

Prijavljivanje u IKT sistem se vrši upisivanje korisničkog imena i lozinke ili ubacivanjem medija sa elektronskim sertifikatom u čitač kartica.

Neovlašćeno ustupanje korisničkog naloga ili medija sa elektronskim sertifikatom drugom licu, podleže disciplinskoj odgovornosti.

Za poslove izvršene pod određenim korisničkim imenom ili pod određenim elektronskim sertifikatom, odgovoran je korisnik IKT sistema kome je dodeljeno to korisničko ime ili kome je dodeljen taj elektronski sertifikat.

11. Predviđanje odgovarajuće upotrebe kriptozaštite radi zaštite tajnosti, autentičnosti odnosno integriteta podataka

Član 16

Pristup resursima IKT sistema, ne zahteva posebnu kriptozaštitu.

Za pristup resursima IKT sistema koji se odnose na poslove odbrane, odnosno, za koje je nadležno ministarstvo propisalo korišćenje kriptozaštite, posebnim pravilnikom će biti definisana upotreba odgovarajućih mera kriptozaštite, uzimajući u obzir osetljivost informacija koje treba da se štite, poslovne procese koji se sprovode, nivo zahtevane zaštite, implementaciju primenjenih kriptografskih tehnika i upravljanje kriptografskim ključevima.

Zaposleni ili korisnici IKT sistema mogu da koriste kvalifikovane elektronske sertifikate za elektronsko potpisivanje dokumenata kao i autentifikaciju i autorizaciju pristupa pojedinim aplikacijama.

Zaposleni u organizacionoj jedinici Operatora IKT sistema nadležnoj za upravljanje IKT sistemom, su zaduženi za instalaciju potrebnog softvera i hardvera za korišćenje kvalifikovanih elektronskih sertifikata.

Zaposleni ili korisnici IKT sistema su dužni da čuvaju svoje nosače kvalifikovanih elektronskih sertifikata, kako ne bi došli u posed drugih lica.

12. Fizička zaštita objekata, prostora, prostorija odnosno zona u kojima se nalaze sredstva i dokumenti IKT sistema i obrađuju podaci u IKT sistemu

Član 17

Prostor u kome se nalaze serveri, mrežna ili komunikaciona oprema IKT sistema, organizuje sa kao administrativna zona.

Administrativna zona se uspostavlja za fizički pristup resursima IKT sistema u kontrolisanom, vidljivo označenom prostoru, koji je obezbeđen mehaničkom bravom.

Administrativna zona mora da bude obezbeđena od kompromitujućeg elektromagnetnog zračenja (KEMZ), požara i drugih elementarnih nepogoda, i u njoj treba da bude odgovarajuća temperatura (klimatizovan prostor).

Ulazak u administrativnu zonu se kontroliše.

Evidenciju lica kojima je dozvoljen ulazak u administrativnu zonu i evidenciju ovlašćenja za ulazak u administrativnu zonu, vodi organizaciona jedinica Operatora IKT sistema koja je nadležna za upravljanje ljudskim resursima.

Evidenciju ulazaka u administrativnu zona vodi organizaciona jedinica Operatora IKT sistema koja je nadležna za upravljanje IKT sistemom.

U slučaju elementarnih nepogoda, zlonamernih napada, nesreća ili namernog uništavanja objekata, prostorija, sredstava i dokumenata IKT sistema, u periodu trajanja tih okolnosti, organizuje se posebno, celodnevno (24 sata), fizičko obezbeđenje administrativne zone, tako što jedan zaposleni organizacione jedinice Operatora IKT sistema, koji obavlja poslove obezbeđenja, vrši stalno i neposredno fizičko obezbeđenje administrativne zone.

13. Zaštita od gubitka, oštećenja, krađe ili drugog oblika ugrožavanja bezbednosti sredstava koja čine IKT sistem

Član 18

Ulaz u administrativnu zonu, dozvoljen je samo:

1. načelniku Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva i njegovom zameniku;

2. načelniku Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva i njegovom zameniku;

3. rukovodiocu organizacione jedinice Operatora IKT sistema koja je nadležna za upravljanje IKT sistemom i njegovom zameniku;

4. administratorima IKT sistema i licima zaposlenim u organizacionoj jedinici Operatora IKT sistema koja je nadležna za upravljanje IKT sistemom;

5. licima koja, za to, pismeno ovlasti načelnik Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva ili načelnik Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva;

6. licima koja obavljaju poslove održavanja higijene, pod uslovima oređenim ovim Pravilnikom;

7. licima koja obavljaju poslove obezbeđenja, pod uslovima oređenim ovim Pravilnikom.

Pristup administrativnoj zoni mogu imati i treća lica, radi instalacije i servisiranja određenih resursa IKT sistema, a po prethodnom pismenom odobrenju načelnika Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva ili načelnika Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva, i uz prisustvo nadležnog lica, zaposlenog u organizacionoj jedinica Operatora IKT sistema nadležnoj za upravljanje IKT sistemom.

Pristup administrativnoj zoni može imati i zaposleni na poslovima održavanja higijene uz prisustvo nadležnog lica, zaposlenog u organizacionoj jedinica Operatora IKT sistema nadležnoj za upravljanje IKT sistemom.

Pristup administrativnoj zoni može imati i zaposleni na poslovima obezbeđenja, u hitnim i vanrednim situacijama.

Administrativna zona mora biti vidljivo obeležena i u njoj se mora nalaziti odgovarajuća protivpožarna oprema, koja se može koristiti samo u slučaju požara u prostoriji u kojoj se nalazi IKT oprema i mediji sa podacima.

Prozori i vrata na ovoj prostoriji moraju uvek biti zatvoreni.

Nije dozvoljen rad servera ukoliko uređaji za klimatizaciju server sale ne rade ispravno.

U server sali obavezno se postavljaju dva uređaja za klimatizaciju, istog kapaciteta. Ukoliko je to moguće postići, drugi uređaj za klimatizaciju server sale treba automatski da se uključi, ukoliko prvi uređaj prestane da radi.

Uređaji za klimatizaciju server sale se moraju održavati i čistiti redovno i u skladu sa propisanim procedurama proizvođača te opreme.

Protivpožarna oprema u administrativnoj zoni se mora održavati i u skladu sa propisanim procedurama proizvođača te opreme.

Temperatura u server sali se održava u skladu sa propisanom temperaturom proizvođača servera.

U server sali se može koristiti oprema za akviziciju podataka o temperaturi i slanje obaveštenja, ovlašćenim licima, o prekoračenjima propisane temperature u server sali.

Prekid napajanja električnom energijom iz javne električne mreže se smatra incidentom i o tome se vodi evidencija kao o incidentu.

Prekid rada uređaja za klimatizaciju server sale se smatra incidentom i o tome se vodi evidencija kao o incidentu.

Serveri i aktivna mrežna oprema (switch, modem, router, firewall), moraju stalno biti priključeni na uređaje za neprekidno napajanje (UPS).

U slučaju prekida napajanja električnom energijom iz javne električne mreže, uređaji za neprekidno napajanje (UPS)servera i serveri moraju biti tako podešeni da se serveri automatski isključuju, pre nego što uređaj za neprekidno napajanje (UPS) potroši energiju za napajanje servera, u skladu sa procedurama proizvođača opreme.

U slučaju prekida napajanja električnom energijom iz javne električne mreže, u periodu dužem od perioda za koji je kapacitet uređaja za neprekidno napajanje (UPS) dovoljan za napajanje servera, ovlašćeno lice je dužno da proveri da li su serveri isključeni i ako serveri nisu isključeni da isključi servere, u skladu sa procedurama proizvođača opreme.

U slučaju prekida napajanja električnom energijom iz javne električne mreže, ovlašćeno lice je dužno da proveri ispravnost rada uređaja za klimatizaciju server sale.

U slučaju neposredne opasnosti (požar, vremenske nepogode i sl.) IKT oprema se može izneti iz prostorije bez odobrenja načelnika Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva ili načelnika Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva.

U slučaju iznošenja IKT opreme iz poslovne prostorije ili administrativne zone, radi selidbe ili servisiranja, neophodno je prethodno odobrenje načelnika Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva ili načelnika Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva, koji će odrediti uslove, način i mesto iznošenja IKT opreme.

Ako se IKT oprema iznosi radi servisiranja, pored odobrenja načelnika Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva ili načelnika Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva, potrebno je sačiniti zapisnik u kome se navodi i naziv i tip opreme, inventarni broj, serijski broj, naziv servisera, ime i prezime ovlašćenog lica servisera.

Ugovorom sa serviserom, obavezno, se definiše obaveza zaštite podataka koji se nalaze na IKT opremi ili medijima koji su deo IKT sistema Operatera.

U slučaju prestanka napajanja električnom energijom, u dužem trajanju od 15 minuta, u periodu van redovnog radnog vremena, zaposleno lice na poslovima obezbeđenja je dužan da, o tome odmah obavesti rukovodioca organizacione jedinice Operatora IKT sistema koja je nadležna za upravljanje IKT sistemom, administratora IKT sistema ili nekog od zaposlenih lica u organizacionoj jedinici Operatora IKT sistema nadležnoj za upravljanje IKT sistemom. Ukoliko niko od navedenih lica nije dostupan, zaposleni na poslovima obezbeđenja je dužan da, o tome odmah obavesti načelnika Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva ili načelniku Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva.

14. Obezbeđivanje ispravnog i bezbednog funkcionisanja sredstava za obradu podataka

Član 19

Svi resursi IKT sistema raspoređuju se, organizacionim jedinicama Operatora IKT sistema, odlukom načelnika Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva ili odlukom načelnika Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva.

Svi resursi IKT sistema premeštaju se iz jedne organizacione jedinice Operatora IKT sistema u drugu organizacionu jedinicu Operatora IKT sistema odlukom načelnika Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva ili odlukom načelnika Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva.

Na osnovu odluke iz stava 1. ovog člana, prilikom uvođenja u rad novog računara u IKT sistem, nadležni zaposleni proverava ispravnost računara i ostale računarske opreme (kućište, monitor, tastatura, miš, štampač, skener i sl.). Ukoliko su računar i računarska oprema ispravni, nadležni zaposleni instalira i licencira operativni sistem i ostale.

Svakom računaru, koji se prijavljuje u domen, dodeljuje se jednoznačan naziv računara. Taj naziv računara se sastoji od slova i četiri cifre. Slova u nazivu računara se dodeljuju prema nazivu organizacione jedinice Operatora IKT sistema, u koju je raspoređen taj računar. Naziv se može dopuniti i dodatnim slovima, ukoliko se za to ukaže potreba. Prve dve cifre, u nazivu računara, se dodeljuju kao poslednje dve cifre godine u kojoj je nabavljen taj računar. Poslednje dve cifre, u nazivu računara, se dodeljuju kao redni broj računara koji je, te godine, uveden u IKT sistem. Nakon dodeljivanja naziva računaru, upisuje se inventarni broj uređaja i ostali, poznati, opisni podaci o tom računaru.

Naziv računara se ne menja prilikom premeštanja računara, na osnovu odluke iz stava 2. ovog člana, iz jedne organizacione jedinice Operatora IKT sistema u drugu organizacionu jedinicu Operatora IKT sistema. Svi ostali opisni podaci, o tom računaru, obavezno se menjaju, u skladu sa odlukom iz stava 2. ovog člana.

Naziv računara se ne menja prilikom promene naziva organizacione jedinice Operatora IKT sistema.

Prilikom premeštanja resursi IKT sistema, na osnovu odluke iz stava 1. ovog člana, naziv računara se ne menja

Svakom uređaju, koji se koristi u IKT sistemu (štampači, skeneri i sl.) ukoliko je to moguće, upisuje se u opisno polje, najmanje inventarni broj, tekst koji sadrži mesec i godinu nabavke opreme i naziv isporučioca opreme.

Organizaciona jedinica Operatora IKT sistema koja je nadležna za upravljanje IKT sistemom, čuva po bar jednu kopiju nosača podataka koji sadrži drajvere za taj uređaj.

Svaki zaposleni i svaki korisnik IKT sistema, na početku radnog vremena, uključuje opremu IKT sistema, i prijavljuje se u IKT sistem svoji korisničkim nalogom.

Svaki zaposleni i svaki korisnik IKT sistema koji se udaljava od svoje radne stanice, je dužan da se odjavi iz svih programa koje je koristio i da se odjavi iz IKT sistema.

Svaki zaposleni i svaki korisnik IKT sistema kraju radnog vremena, je dužan da se odjavi iz IKT sistema i da na ispravan način isključi opremu IKT sistema koju koristi (računar, laptop, mobilni uređaj i sl.).

Zaposleni ili korisnik prijavljuje otkaz ili kvar opreme koja se koristi u IKT sistemu, u skladu sa ovim Pravilnikom i Pravilnikom za prijavu kvara računara ili računarske opreme. Pre servisiranja uređaja, čiji je kvar ili otkaz prijavljen, obavezno se proverava da li je u uređaj u ugovornom garantnom roku isporučioca opreme.

Rukovodilac i zaposleni u organizacionoj jedinici Operatora IKT sistema, koja je nadležna za upravljanje IKT sistemom, kontinuirano nadziru i proveravaju funkcionisanje sredstava za obradu podataka, upravljaju rizicima koji mogu uticati na bezbednost IKT sistema i u skladu sa tim planiraju i predlažu načelniku Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva i načelniku Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva, preduzimanje odgovarajućih mera.

Pri testiranju softvera potrebno je obezbediti neometano funkcionisanje IKT sistema.

Za razvoj i za testiranje softvera, pre uvođenja u rad u IKT sistemu, moraju se koristiti serveri, IKT oprema i podaci, koji su isključivo namenjeni testiranju i razvoju.

Zabranjeno je korišćenje servera, IKT opreme i podataka, koji se koriste u redovnom radu, za testiranje softvera.

Pre uvođenja u rad novog softvera neophodno je napraviti kopiju (arhivu) postojećih podataka.

Instaliranje novog softvera kao i ažuriranje postojećeg softvera, odnosno instalacija nove verzije softvera, može se vršiti na način koji ne ometa redovan rad zaposlenih ili korisnika IKT sistema.

U slučaju da se na novoj verziji softvera, koji je uveden u operativni rad primete bitni nedostaci koji mogu uticati na rad, potrebno je primeniti proceduru za vraćanje na prethodnu stabilnu verziju softvera.

15. Zaštita podataka i sredstava za obradu podataka od zlonamernog softvera

Član 20

Zaštita IKT sistema od zlonamernog softvera sprovodi se u cilju zaštite IKT sistema od računarskih virusa i drugih vrsta zlonamernog računarskog koda, koji u IKT sistem mogu dospeti internet konekcijom, mejlom, zaraženim prenosnim medijima (USB memorija, CD itd.), instalacijom nelicenciranog softvera i sl.

Za uspešnu zaštitu od zlonamernog softvera, na svakom računaru, na svakom prenosnom uređaju i na svakom uređaju koji se koristi u IKT sistemu, na kome se može instalirati softver za zaštitu od zlonamernog softvera, instalira se licenciran softver za zaštitu od zlonamernog softvera.

Softver za zaštitu od zlonamernog softvera se podešava tako, da se može svakodnevno, automatski, vršiti dopuna antivirusnih definicija na svakih 10 minuta.

Jednom nedeljno se, automatski, uključuje provera svih uređaja programom za zaštitu od zlonamernog softvera.

Zabranjeno je zaustavljanje i isključivanje programa za zaštitu od zlonamernog softvera tokom provere prenosnih medija.

Zabranjeno je korišćenje privatnih prenosnih memorijskih medijuma (spoljni diskovi, USB fleš i sl.).

Prenosni memorisjki medijumi, pre korišćenja, moraju biti provereni programom za zaštitu od zlonamernog softvera. Ako se posumnja ili ako se utvrdi da prenosni medij sadrži zlonamerni softver, ukoliko je to moguće, vrši se čišćenje prenosnog medija programom za zaštitu od zlonamernog softvera. Ukoliko nije moguće očistiti prenosni memorijski medijum od zlonamernog softvera, taj prenosivi memorijski medijum se uništava.

Rizik od eventualnog gubitka podataka prilikom čišćenja medija od zlonamernog softvera snosi korisnik tog memorijskog medijuma.

U cilju zaštite od upada u IKT sistem, nadležni zaposleni u organizacionoj jedinici Operatora IKT sistema, koja je nadležna za upravljanje IKT sistemom, su dužni da održavaju sistem za sprečavanje upada u IKT sistem.

Na svim resursima IKT sistema, na kojima je to moguće (serveri, računari, laptopovi, mobilni telefoni, tableti i sl.), moraju biti instalirane najnovije dopune i izmene svih programa, koje proizvođač, tog programa, označi kao kritične, važne ili preporučene (tzv "zakrpe"). Proveru instalacije najnovijih bezbednosnih ili drugih dopuna ili izmena vrše nadležni zaposleni u organizacionoj jedinici Operatora IKT sistema koja je nadležna za upravljanje IKT sistemom.

Zaposleni i korisnici IKT sistema, koji koriste službeni ili privatni prenosni računar za službene potrebe (laptop, notbuk i sl.), su dužni su da omoguće, nadležnom zaposlenom, proveru instalacije najnovijih servisnih i bezbednosnih dopuna ili izmena softvera najmanje jednom mesečno.

Zaposleni i korisnici IKT sistema, koji koriste službeni prenosni mobilni telefon ili privatni mobilni telefon za službene potrebe, su dužni su da omoguće nadležnom zaposlenom proveru instalacije najnovijih servisnih i bezbednosnih dopuna ili izmena softvera najmanje jednom u tri meseca.

Načelnik Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva i načelnik Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva, određuju koji zaposleni ili korisnici IKT sistema imaju pravo pristupa Internetu, radi prikupljanja podataka i ostalih informacija potrebnih za obavljanje poslova u njihovoj nadležnosti.

Korisnicima koji su priključeni na IKT sistem je zabranjeno samostalno priključivanje na Internet, preko sopstvenog uređaja.

Funkcioneri, zaposleni i korisnici IKT sistema, kojima je odobreno korišćenje Interneta i elektronske pošte, dužni su da prilikom korišćenja Interneta i elektronske pošte, postupaju po međunarodnim konvencijama i pravilima ponašanja na Internetu.

Korisnicima IKT sistema, koji neodgovarajućim korišćenjem Interneta, uzrokuju zagušenje IKT sistema, prekid u radu IKT sistema ili narušavaju bezbednost IKT sistema, može se oduzeti pravo pristupa Internetu i elektronskoj pošti.

Načelnik Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva i načelnik Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva, može korisniku ukinuti pristup Internetu i elektronskoj pošti, u slučaju dokazane zloupotrebe Interneta i elektronske pošte.

Korisnici IKT sistema, kojima je odobreno korišćenje Interneta i elektronske pošte, dužni su da se pridržavaju mera zaštite od zlonamernog softvera i mera zaštite od neovlašćenog upada u IKT sistem sa Interneta.

Svaki računar, čiji se korisnik priključuje na Internet, mora biti odgovarajuće podešen za korišćenje Interneta i zaštićen od zlonamernog softvera i neovlašćenog upada u IKT sistem sa Interneta. Podešavanje računara za korišćenje Interneta vrši nadležni zaposleni u organizacionoj jedinici Operatora IKT sistema, koja je nadležna za upravljanje IKT sistemom.

Prilikom korišćenja Interneta, korisnik IKT sistema kome je odobreno korišćenje Interneta, dužan je da izbegava sumnjive WEB stranice, u cilju sprečavanja instaliranja programa koji mogu naneti štetu IKT sistemu.

U slučaju da korisnik primeti neobično ponašanje računara, tu pojavu je dužan, da bez odlaganja, prijavi svom rukovodiocu i nadležnom zaposlenom u organizacionoj jedinici operatora IKT sistema, koja je nadležna za upravljanje IKT sistemom.

Strogo je zabranjeno gledanje filmova, slušanje muzike preko Interneta, otvaranje TV stanica preko Interneta, otvaranje radio stanica preko Interneta, instaliranje i igranje igrica na računarima.

Strogo je zabranjeno korišćenje portabilnih programa ili programa koji se koriste bez instalacije. Ukoliko je korisniku potreban takav program, korisnik o tome sastavlja pisani zahtev svom rukovodiocu. Rukovodilac tog korisnika dostavlja pismeni zahtev za korišćenje portabilnih programa ili programa koji se koriste bez instalacije, načelniku Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva ili načelniku Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva.

Ukoliko Načelnik Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva ili načelnik Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva, izda pismenu saglasnost korisniku za korišćenje zahtevanog, besplatnog, portabilnog programa ili zahtevanog besplatnog programa koji se koristi bez instalacije, korisnik može koristiti zahtevani besplatni program, u skladu sa datom saglasnošću.

Načelnik Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva ili načelnik Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva obaveštava rukovodioca organizacione jedinice, koja je nadležna za vođenje evidencije o informacionim dobrima, o izdatoj saglasnosti korisniku za korišćenje zahtevanog, besplatnog, portabilnog programa ili zahtevanog program koji se koristi bez instalacije.

Strogo je zabranjeno otvaranje WEB stranica koje sadrže nedoličan sadržaj, kao i samovoljno preuzimanje nedoličnog sadržaj sa Interneta.

Korišćenje društvenih mreža i korišćenje drugih Internet sadržaja uređuju, svojom odlukom, načelnik Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva i načelnik Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva.

Nedozvoljena upotreba Interneta obuhvata sledeće:

1. instaliranje, distribuciju, oglašavanje, prenos ili na drugi način činjenje dostupnim "piratskih" ili drugih softverskih proizvoda koji nisu licencirani na odgovarajući način;

2. narušavanje sigurnosti IKT sistema ili onemogućavanje poslovne internet komunikacije na drugi način;

3. namerno širenje destruktivnih i opstruktivnih programa na Internetu (Internet virusi, Internet trojanski konji, Internet crvi i druge vrste zlonamernog softvera);

4. nedozvoljeno korišćenje društvenih mreža i drugih internet sadržaja, koje je ograničeno odlukom načelnika Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva i načelnika Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva;

5. preuzimanje ("download") podataka velike "težine" koje prouzrokuje "zagušenje" na računarskoj mreži;

6. preuzimanje ("download") materijala zaštićenih autorskim pravima;

7. korišćenje linkova koji nisu u vezi sa poslom (gledanje filmova, audio i videostreaming i sl.);

8. nedozvoljeni pristup sadržaju, nedozvoljena promena sadržaja, nedozvoljeno brisanje ili nedozvoljena prerada sadržaja preko interneta.

16. Zaštita od gubitka podataka

Član 21

Operator IKT sistema vrši izradu rezervnih kopija, koje treba da obuhvate sve sistemske informacije, aplikacije i podatke koji su neophodni za oporavak celokupnog sistema u slučaju nastupanja posledica izazvanih vanrednim okolnostima.

Baze podataka se obavezno arhiviraju na uređaje za snimanje rezervnih kopija podataka i na prenosive medije (CDROM, DVD, USB, "strimer" traka, eksterni hard disk), za potrebe obnove baze podataka, jednom dnevno, jednom nedeljno, jednom mesečno i jednom godišnje.

Ostali fajlovi (dokumenti) se arhiviraju jednom nedeljno, jednom mesečno i jednom godišnje.

Podaci o zaposlenima i korisnicima IKT sistema se arhiviraju najmanje jednom mesečno.

Dnevno kopiranje (arhiviranje)podataka vrši se svaki radni dan u sedmici, od 20 časova, svakog radnog dana.

Nedeljno kopiranje (arhiviranje)podataka vrši se poslednjeg radnog dana u nedelji, od 20 časova, u onoliko nedeljnih primeraka koliko ima nedelja u tom mesecu.

Mesečno kopiranje (arhiviranje)podataka vrši se poslednjeg radnog dana u mesecu, za svaki mesec posebno, od 20 časova.

Godišnje kopiranje (arhiviranje)podataka vrši se poslednjeg radnog dana u godini.

Svaki primerak godišnje kopije (arhive)podataka se čuva u roku, koji je definisan Uputstvom o kancelarijskom poslovanju organa državne uprave ("Sl. Glasnik RS", br 10/93, 14/93-ispr. i 67/2016).

Svaki primerak prenosnog memorijskog medijuma, koji sadrži kopije (arhivu) podataka, mora biti označen brojem, vrstom (dnevna, nedeljna, mesečna, godišnja), datumom izrade kopije (arhivu) podataka, kao i imenom zaposlenog ili korisnika IKT sistema, koji je izvršio kopiranje (arhiviranje) podataka.

Dnevne, nedeljne i mesečne kopije (arhive) podataka se čuvaju u prostoriji koja je fizički obezbeđena i koja je obezbeđena u skladu sa merama zaštite od požara.

Godišnje kopije (arhive) podataka se izrađuju u dva primerka. Jedan primerak godišnje kopije (arhive) podataka se čuva u prostoriji, u kojoj se čuvaju dnevne, nedeljne i mesečne kopije (arhive) podataka, a drugi primerak godišnje kopije (arhive) podataka u posebnom objektu, van zgrade Gradskih uprava grada Valjeva.

Odluku o posebnom objektu, u kome će se čuvati drugi primerak godišnje kopije (arhive) podataka, donose načelnik Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva i načelnik Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva, posebnim aktom.

Ispravnost kopije (arhive) podataka proverava se najmanje jednom na šest meseci i to tako što se vrši vraćanje baza podataka iz kopija (arhiva) podataka, koje se nalaze na mediju za čuvanje kopije (arhive) podataka, pri čemu vraćeni podaci treba da budu ispravni i spremni za upotrebu, nakon vraćanja.

17. Čuvanje podataka o događajima koji mogu biti od značaja za bezbednost IKT sistema

Član 22

U cilju obezbeđivanja pouzdanosti zapisa vremena, u svim podsistemima IKT sistema moraju biti sinhronizovana međusobno, kao i sa referentnim tačnim vremenom.

O aktivnostima administratora, zaposlenih i korisnika IKT sistema vode se dnevnici aktivnosti (activitylog, history, securitylog, transactionlog i dr).

Svakog poslednjeg radnog dana u nedelji, datoteke u kojima se nalazi dnevnik aktivnosti, se kopiraju (arhiviraju), po proceduri za izradu kopija (arhiva) ostalih podataka u IKT sistemu, u skladu sa čl. 21 ovog pravilnika.

18. Obezbeđivanje integriteta softvera i operativnih sistema

Član 23

U IKT sistemu može da se instalira samo softver za koji postoji važeća licenca, u vlasništvu grada Valjeva, odnosno potpuno besplatna Freeware verzija softvera ili potpuno besplatna Opensource verzija softvera.

Instalaciju i podešavanje softvera može da vrši samo administrator IKT sistema, odnosno zaposleni ili korisnik, koji ima ovlašćenje za to.

Instalaciju i podešavanje softvera može da izvrši i treće lice, u skladu sa Ugovorom o nabavci ili u skladu sa Ugovorom o održavanju softvera.

Pre svake instalacije nove verzije softvera, odnosno promene podešavanja softvera, neophodno je napraviti kopiju postojećeg softvera, ukoliko je to moguće, kako bi se obezbedila mogućnost povratka stanja softvera na prethodno stanje softvera, u slučaju neočekivanih situacija tokom instalacije nove verzije softvera ili promene podešavanja softvera.

Ukoliko nije moguće napraviti kopiju postojećeg softvera, pre instalacije nove verzije softvera, odnosno pre promene podešavanja softvera, neophodno je napraviti kopiju postojećeg stanja podešavanja softvera, ukoliko je to moguće, kako bi se obezbedila mogućnost povratka stanja softvera na prethodno stanje softvera, u slučaju neočekivanih situacija tokom instalacije nove verzije softvera ili promene podešavanja softvera.

19. Zaštita od zloupotrebe tehničkih bezbednosnih slabosti IKT sistema

Član 24

Nadležna organizaciona jedinica Operatora IKT sistema, vrši analizu dnevnika aktivnosti, najmanje jednom mesečno, a po potrebi i češće (activitylog, history, securitylog, transactionlog i dr) u cilju identifikacije potencijalnih slabosti IKT sistema.

Ukoliko se analizom dnevnika aktivnosti identifikuju slabosti IKT sistema, koje mogu da ugroze bezbednost IKT sistema, rukovodilac nadležne organizacione jedinica Operatora IKT sistema je dužan da odmah o tome obavesti načelnika Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva i načelnika Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva.

Nakon prijema obaveštenja o identifikovanim slabostima IKT sistema, načelnik Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva ili načelnik Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva nalaže sprovođenje mera, koj će otkloniti uočene slabosti, u skladu sa ovim Pravilnikom.

Nadležna organizaciona jedinica Operatora IKT sistema treba da onemogući neovlašćeno instaliranje softvera, koji može dovesti do ugrožavanja bezbednosti IKT sistema, odgovarajućim podešavanjem korisničkih polisa u domenu.

20. Obezbeđivanje da aktivnosti na reviziji IKT sistema imaju što manji uticaj na funkcionisanje sistema

Član 25

Revizija IKT sistema se mora vršiti tako, da ima što manji uticaj na poslovne procese zaposlenih i korisnika IKT sistema. Ukoliko reviziju IKT sistema nije moguće uraditi u radno vreme, onda se revizija IKT sistema vrši nakon završetka radnog vremena zaposlenih i korisnika IKT sistema, čiji bi poslovni proces bio ometan, uz prethodnu saglasnost načelnika Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva i načelnika Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva.

21. Zaštita podataka u komunikacionim mrežama uključujući uređaje i vodove

Član 26

Komunikacioni kablovi i kablovi za napajanje u IKT sistemu, moraju biti postavljeni u zidu ili kanalicama, gde god je to moguće, tako da se time onemogući neovlašćen pristup tim kablovima, odnosno da se izvrši izolacija tih kablova od mogućeg oštećenja.

Mrežna oprema (switch, router, firewall) se mora nalaziti u zaključanom "rack" ormanu.

Zaposleni u nadležnoj organizacionoj jedinici Operatora IKT sistema su dužni, da stalno vrše kontrolni pregled mrežne opreme i blagovremeno preduzima mere u cilju otklanjanja eventualnih nepravilnosti u radu mrežne opreme.

Bežična mreža, koju mogu da koriste posetioci objekata koji su u nadležnosti grada Valjeva, mora biti odvojena od interne mreže koju koriste zaposleni i korisnici IKT sistema u Gradskim upravama grada Valjeva, kroz koju se vrši razmena službenih podataka.

Ta mreža, koju mogu da koriste posetioci objekata koji su u nadležnosti grada Valjeva, treba da bude označena identifikatorom ("SSID") po modelu "Valjevo Provajder".

22. Bezbednost podataka koji se prenose unutar operatora IKT sistema, kao i između operatora IKT sistema i lica van operatora IKT sistema

Član 27

Zaštita podataka koji se prenose komunikacionim sredstvima unutar IKT sistema, između operatora IKT sistema i lica van operatora IKT sistema, obezbeđuje se utvrđivanjem odgovarajućih pravila, procedura, potpisivanjem ugovora i sporazuma, kao i primenom adekvatnih kontrola.

- Pravila korišćenja elektronske pošte

Upotreba elektronske pošte mora biti u skladu sa pravilima postupka u okviru kog se koristi elektronska pošta. Upotreba elektronske pošte mora biti sigurna i u skladu sa pozitivnim propisima i poslovnom praksom. Elektronska pošta se može koristiti isključivo za poslovne potrebe; razmena poruka ličnog sadržaja nije dozvoljena; svi podaci sadržani u porukama ili njihovom prilogu moraju biti u skladu sa standardima zaštite podataka i propisima o zaštiti podataka o ličnosti.

- Pravila korišćenja Interneta

Pristup sadržajima na Internetu je dozvoljen isključivo za poslovne namene. Internet saobraćaj se nadzire i kontroliše. Način nadzora i kontrole saobraćaja uređuje načelnik Gradske uprave koja je nadležna za upravljanje IKT sistemom.

- Pravila korišćenja informacionih resursa

Informacioni resursi se koriste isključivo u poslovne svrhe, na radu ili u vezi sa radom. Korišćenje informacionih resursa za druge namene odobrava načelnik Gradske uprave, na obrazloženi pisani zahtev korisnika.

- Sporazumi o prenosu informacija

Bezbedan prenos informacija između organizacije i trećeg lica obezbeđuje se sporazumom o prenosu informacija.

Sporazumi o prenosu informacija treba da uključe sledeće:

1) odgovornosti rukovodstva za kontrolu i izveštavanje o prenosu, otpremi i prijemu informacija;

2) procedure za obezbeđenje sledljivosti i neporecivosti procesa prenosa informacija;

3) minimalne tehničke standarde za pakovanje i prenos informacija;

4) standarde za identifikovanje lica koje pre nosi informacije ili lica koje prenosi nosače podataka;

5) obaveze i odgovornosti službenih lica, u slučaju incidenata narušavanja bezbednosti informacija, kao što je gubitak podataka;

6) korišćenje propisanog sistema označavanja osetljivih, kritičnih ili in informacija u dokumentima koji su označeni oznakom tajnosti, uz osiguravanje da je značenje oznaka odma razumljivo i da su te informacije odgovarajuće zaštićene;

7) posebne kontrole koje su potrebne da bi se zaštitili osetljivi podaci, poput kriptografije;

8) održavanje lanca nadzora nad procesom prenošenja informacija;

9) razumno uveravanje da svi subjekti koji razmenjuju podatke ili informacije koriste pouzdane sistem za zaštitu od zlonamernog softvera, da se ne bi zlonamerni programi preneli iz jednog u drugi u IKT sistem.

Ukoliko postoji sumnja, da je IKT sistem u koji se prenose informacije ili postoji sumnja da je IKT sistem iz kojeg se prenose informacije ili podaci, ugrožen zlonamernim softverom, ne sme se vršiti prenos podataka ili prenos informacija sa IKT sistemom za koji se sumnja da je ugrožen zlonamernim softverom.

Informacije i podaci se razmenjuju u skladu sa propisanom procedurom o bezbednosti u postupku elektronske razmene informacija ili podataka.

Načelnik Gradske uprave propisuje proceduru razmene informacija.

- Procedura o bezbednosti u postupku elektronske razmene informacija ili podataka treba obuhvata:

- zaštitu informacija ili podataka od neovlašćenog pristupa;

- zaštitu informacija ili podataka od neovlašćenog modifikovanja;

- osiguranje ispravnog adresiranja i osiguranje ispravnog transporta informacija ili podataka;

- osiguranje poštovanja zakonskih odredbi, na primer odredbi o elektronskom potpisu;

- davanje odobrenja za korišćenja javnih usluga, kao što su razmena hitnih poruka, pristup i korišćenje društvenih mreža ili zajedničko korišćenje datoteka;

- nivoe utvrđivanja verodostojnosti, kontrolisanjem pristupa iz mreža sa javnim pristupom.

Operator IKT sistema sklapa Sporazumom o poverljivosti ili neotkrivanju informacija i podataka, u postupku razmene podataka ili informacija, kojim se obavezuju potpisnici da štite informacije i podatke koji se razmenjuju, u skladu sa zakonom, te da koriste i objavljuju podatke i informacije koje razmenjuju na odgovoran i zakonit način.

Sporazum o poverljivosti ili neotkrivanju informacija i podataka, treba da sadrži, između ostalog:

1) definiciju informacija i podataka koje treba zaštititi;

2) očekivano trajanje sporazuma, uključujući slučajeve u kojima je potrebno da se poverljivost održi neograničeno;

3) postupanja sa informacijama ili podacima po isteku sporazuma, poput povraćaja ili uništavanja informacija i podataka;

4) definiciju dozvoljenog korišćenja informacija ili podataka označenih oznakom tajnosti;

5) pravo provere i praćenje poslova za koje je sklopljen taj sporazum;

6) proces za obaveštavanje i izveštavanje o neovlašćenom otkrivanju ili pristupu poverljivim informacijama;

7) radnje koje treba preduzeti u slučaju kršenja tog sporazuma.

23. Pitanja informacione bezbednosti u okviru upravljanja svim fazama životnog ciklusa IKT sistema odnosno delova IKT sistema

Član 28

Način instaliranja novih resursa IKT sistema, zamena i održavanje postojećih resursa IKT sistema, koje vrše treća lica, koja nisu zaposlena u Gradskim upravama grada Valjeva, ili koje vrše druga pravna lica, se uređuje ugovorom, koji se sklapa sa tim licima sa tim pravnim licima.

Nadležna organizaciona jedinica Operatora IKT sistema je zadužena za tehnički nadzor, nad realizacijom ugovorenih obaveza trećih lica.

O uspostavljanju novog IKT sistema, odnosno uvođenju novih delova IKT sistema i izmenama postojećih delova IKT sistema, nadležna organizaciona jedinica Operatora IKT sistema vodi dokumentaciju.

Dokumentacija iz prethodnog stava, mora da sadrži opise svih procedura za uspostavljanju novog IKT sistema, odnosno uvođenja novih delova IKT sistema i izmenama postojećih delova IKT sistema, a posebno procedura koje se odnose na bezbednost IKT sistema.

24. Zaštita podataka koji se koriste za potrebe testiranja IKT sistema odnosno delova sistema

Član 29

Za potrebe testiranja IKT sistema odnosno delova IKT sistema, nadležna organizaciona jedinica Operatora IKT sistema, može da koristi samo one podatke koji nisu osetljivi, ali koje štiti, čuva i kontroliše na odgovarajući način.

Prilikom testiranja sistema, podacima koji su označeni oznakom tajnosti, službenosti kao poverljivi podaci, ili podacima o ličnosti, postupa se u skladu sa propisima, kojima je definisana upotreba i zaštita takve vrste podataka.

25. Zaštita sredstava operatora IKT sistema koja su dostupna pružaocima usluga

Član 30

Treća lica ili pružaoci usluga izrade i održavanja softvera mogu pristupiti samo onim podacima, koji se nalaze u bazama podataka koje su deo softvera koji su oni izradili, odnosno za koje postoji pristup uređen ugovorom.

Nadležna organizaciona jedinica Operatora IKT sistema vrši kontrolu pristupa i vrši nadzor nad izvršenjem ugovorenih obaveza.

Nadležna organizaciona jedinica Operatora IKT sistema vrši proveru poštovanje odredbi ovog Pravilnika, tokom sprovođenja aktivnosti definisanih ugovorenim obavezama.

26. Održavanje ugovorenog nivoa informacione bezbednosti i pruženih usluga u skladu sa uslovima koji su ugovoreni sa pružaocem usluga

Član 31

Grad Valjevo ili Gradske uprave grada Valjeva, mogu sklopiti ugovor sa trećim licima za pružanje usluga informacione bezbednosti.

Nadležna organizaciona jedinica Operatora IKT sistema vrši nadzor nad poštovanjem ugovorenih obaveza trećih lica ili pružalaca usluga, posebno u oblasti poštovanja odredbi kojima je uređena informaciona bezbednost resursa IKT sistema. U slučaju nepoštovanja ugovorenih obaveza, rukovodilac nadležne organizaciona jedinica Operatora IKT sistema, je dužan da odmah obavesti načelnika Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva i načelnika Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva, kako bi oni mogli da preduzmu mere, u cilju otklanjanja nepravilnosti.

27. Prevencija i reagovanje na bezbednosne incidente, što podrazumeva adekvatnu razmenu informacija o bezbednosnim slabostima IKT sistema, incidentima i pretnjama

Član 32

U slučaju bilo kakvog incidenta, koji može da ugrozi bezbednost resursa IKT sistema, zaposleni ili korisnik IKT sistema, je dužan da odmah obavesti svog rukovodioca i rukovodioca organizacione jedinice Operatora IKT sistema nadležne za upravljanjem IKT sistemom.

Po prijemu prijave iz prethodnog stava, rukovodilac organizacione jedinice Operatora IKT sistema nadležne za upravljanjem IKT sistemom, je dužan da odmah obavesti načelnika Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva i načelnika Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva i preduzme mere, u cilju zaštite resursa IKT sistema.

Ukoliko se radi o incidentu, koji je definisan Uredbom o postupku dostavljanja podataka, listi, vrstama i značaju incidenata i postupku obaveštavanja o incidentima u informaciono- komunikacionim sistemima od posebnog značaja ("Sl. Glasnik RS", br, 94/2016), načelnik Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva i načelnik Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva su dužni da obaveste nadležni organ, definisan pomenutom Uredbom.

Organizaciona jedinice Operatora IKT sistema koja je nadležna za upravljanjem IKT sistemom, vodi evidenciju o svim incidentima, kao i evidenciju o prijavama incidenata, u skladu sa Uredbom o postupku dostavljanja podataka, listi, vrstama i značaju incidenata i postupku obaveštavanja o incidentima u informaciono-komunikacionim sistemima od posebnog značaja("Sl. Glasnik RS", br, 94/2016), na osnovu koje mogu da se vode disciplinski, prekršajni ili krivični postupci protiv odgovornog lica.

28. Mere koje obezbeđuju kontinuitet obavljanja posla u vanrednim okolnostima

Član 33

U vanrednih situacijama, koje mogu da uzrokuju izmeštanje IKT sistema iz zgrade Gradskih uprava grada Valjeva, organizaciona jedinica Operatora IKT sistema koja je nadležna za upravljanjem IKT sistemom, je dužna da u najkraćem roku prenese delove IKT sistema, neophodne za funkcionisanje u vanrednoj situaciji na rezervnu lokaciju, u skladu sa Planom reagovanja u vanrednim i kriznim situacijama ili obezbedi funkcionisanje redudantnih komponenti IKT sistema, na rezervnoj lokaciji, ukoliko postoje redudantne komponenti IKT sistema na rezervnoj lokaciji.

Specifikaciju delova IKT sistema, koji su neophodni za funkcionisanje u vanrednim situacijama izrađuje organizaciona jedinica Operatora IKT sistema koja je nadležna za upravljanjem IKT sistemom, u četiri primeraka, od kojih se jedan nalazi kod rukovodioca organizacione jedinici Operatora IKT sistema koja je nadležna za upravljanjem IKT sistemom, drugi primerak kod zaposlenog nadležnog za poslove odbrane i vanredne situacije i po jedan primerak kod načelnika Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva i načelnika Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva.

Na specifikaciju delova IKT sistema, koji su neophodni za funkcionisanje u vanrednim situacijama daju saglasnost načelnik Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva i načelnik Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva.

Delovi IKT sistema, koji nisu neophodni za funkcionisanje u vanrednim situacijama, skladište se na rezervnu lokaciju, koju odrede načelnik Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva i načelnik Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva.

Skladištenje delova IKT sistema koji nisu neophodni za funkcionisanje u vanrednim situacijama, se vrši tako da oprema bude bezbedna i obeležena, u skladu sa evidencijom koja se o toj opremi vodi.

III IZMENA PRAVILNIKA O BEZBEDNOSTI

Član 34

U slučaju nastanka promena, koje mogu nastupiti usled tehničko-tehnoloških, kadrovskih, organizacionih ili drugih promena u IKT sistemu i događaja na globalnom i nacionalnom nivou, koji mogu narušiti informacionu bezbednost, nadležna organizaciona jedinica Operatora IKT sistema dužna jeda blagovremeno obavesti načelnika Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva i načelnika Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva, kako bi oni mogli da pristupe izmeni ovog Pravilnika, u cilju unapređenje mera zaštite, načina i procedura postizanja i održavanja adekvatnog nivoa bezbednosti IKT sistema, kao i preispitivanje ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima IKT sistema.

IV PROVERA IKT SISTEMA

Član 35

Proveru IKT sistema vrši organizaciona jedinica Operatora IKT sistema koja je nadležna za upravljanjem IKT sistemom.

Proveru IKT sistema može vršiti i treće lice, koje bude izabrano u skladu sa odredbama Zakona o javnim nabavkama. Provera IKT sistema će se vršiti poslednjeg meseca u godini.

Provera IKT sistema se vrši tako što se:

1. proverava usklađenost Pravilnika o bezbednosti IKT sistema, uzimajući u obzir i pravilnike na koja se vrši upućivanje, sa propisanim uslovima, odnosno proverava da li su pravilnikom adekvatno predviđene mere zaštite, procedure, ovlašćenja i odgovornosti u IKT sistemu;

2. proverava da li se u operativnom radu adekvatno primenjuju predviđene mere zaštite i procedure u skladu sa utvrđenim ovlašćenjima i odgovornostima, koristeći metode intervjua, simulacije, posmatranja, uvida u predviđene evidencije i drugu dokumentaciju;

3. vrši provera bezbednosnih slabosti na nivou tehničkih karakteristika komponenti IKT sistema, metodom uvida u izabrane proizvode, arhitekture, tehničke konfiguracije, tehničke podatke o statusima, zapise o događajima (logove) kao i metodom testiranja postojanja poznatih bezbednosnih slabosti u sličnim okruženjima.

O izvršenoj proveri IKT sistema sačinjava se izveštaj, koji se dostavlja načelniku Gradske uprave za lokalni razvoj, privredu, urbanizam i komunalne poslove grada Valjeva i načelniku Gradske uprave za društvene delatnosti, finansije, imovinske i inspekcijske poslove grada Valjeva.

V SADRŽAJ IZVEŠTAJA O PROVERI IKT SISTEMA

Član 36

Izveštaj o proveri IKT sistema sadrži:

1. naziv Operatora IKT sistema koji se proverava;

2. vreme i datume provere IKT sistema;

3. podatke o licima koja su vršila proveru IKT sistema;

4. izveštaj o sprovedenim radnjama provere IKT sistema;

5. zaključke o usklađenosti Pravilnika o bezbednosti IKT sistema sa propisanim uslovima;

6. zaključke o adekvatnim primenama predviđenih mera zaštite u operativnom radu IKT sistema;

7. zaključke o eventualnim bezbednosnim slabostima, na nivou tehničkih karakteristika komponenti IKT sistema;

8. ocenu ukupnog nivoa informacione bezbednosti IKT sistema;

9. predlog eventualnih korektivnih mera;

10. potpis odgovornog lica koje je sprovelo proveru IKT sistema.

VI PRELAZNE I ZAVRŠNE ODREDBE

Član 37

Ovaj Pravilnik stupa na snagu osmog dana, od dana objavljivanja u "Službenom glasniku grada Valjeva".