UREDBAO KRIPTOBEZBEDNOSTI I ZAŠTITI OD KOMPROMITUJUĆEG ELEKTROMAGNETNOG ZRAČENJA("Sl. glasnik RS", br. 57/2019) |
Ovom uredbom uređuju se bliži uslovi za kriptografska rešenja, kriptografske proizvode, vođenje registara iz oblasti kriptobezbednosti, proveru kompromitujućeg elektromagnetnog zračenja i pružanje usluga uz naknadu pravnim i fizičkim licima izvan sistema javne vlasti u oblasti kriptobezbednosti i zaštite od kompromitujućeg elektromagnetnog zračenja.
Odredbe ove uredbe odnose se na operatore informaciono-komunikacionih sistema od posebnog značaja, imaoce kriptografskih proizvoda koje je odobrilo ministarstvo nadležno za poslove odbrane koji se koriste za zaštitu prenosa i čuvanja podataka koji su određeni kao tajni, u skladu sa propisima kojima se uređuje zaštita tajnih podataka kao i na samostalne operatore informaciono-komunikacionih sistema u Republici Srbiji.
Odredbe ove uredbe ne odnose se na strane tajne podatke.
Pojedini pojmovi koji se koriste u ovoj uredbi imaju sledeće značenje:
1) kriptografski algoritam je složena matematička funkcija koja se koristi u procesu šifrovanja i dešifrovanja i predstavlja niz precizno definisanih koraka koji se realizuju kako bi se izvršilo šifrovanje i dešifrovanje;
2) kriptografski parametri su podaci koji određuju izvršavanje kriptografskog algoritma;
3) kriptografski protokol je skup pravila i konvencija koji definiše komunikacioni okvir između dva ili više entiteta radi uspostavljanja sigurne komunikacije;
4) kriptografski materijal za izradu ključeva je binarni fajl slučajnog niza;
5) kriptografski sistem je organizaciono i tehnički zaokružena celina namenjena za primenu konkretnih mera i postupaka za realizaciju kriptozaštite informacija primenom kriptografskog proizvoda;
6) on line kriptografska zaštita je kriptografska zaštita podataka u toku prenosa komunikacionim kanalom;
7) off line kriptografska zaštita je kriptografska zaštita podataka pre prenosa komunikacionim kanalom;
8) Faradejev kavez je prostor oklopljen posebnim materijalom koji efikasno sprečava prolazak elektromagnetnih signala;
9) zone zaštićenosti od KEMZ su prostori, u objektima i oko objekata u kojima se vrši obrada tajnih informacija, definisani prema slabljenju signala koji potiče sa mesta obrade informacija.
1. Tehnički uslovi za kriptografske algoritme, parametre, protokole i informaciona dobra u oblasti kriptozaštite koji se u Republici Srbiji koriste u kriptografskim proizvodima radi zaštite tajnosti, integriteta, autentičnosti, odnosno neporecivosti podataka
Za kriptografsku zaštitu podataka koji su određeni kao tajni, u skladu sa propisima kojima se uređuje zaštita tajnih podataka, koriste se kriptografska rešenja na bazi kriptografskih algoritama, parametara i protokola koji se implementiraju u kriptografski proizvod.
Za kriptografsku zaštitu podataka koji su određeni kao tajni, u skladu sa propisima kojima se uređuje zaštita tajnih podataka, stepena tajnosti "DRŽAVNA TAJNA" i "STROGO POVERLJIVO", operatori IKT sistema koriste namenska kriptografska rešenja koja izrađuje ministarstvo nadležno za poslove odbrane ili nabavljena na tržištu, a koje je odobrilo ministarstvo nadležno za poslove odbrane.
Za kriptografsku zaštitu podataka koji su određeni kao tajni, u skladu sa propisima kojima se uređuje zaštita tajnih podataka, stepena tajnosti "POVERLJIVO" i "INTERNO" operatori IKT sistema koriste:
1) namenska kriptografska rešenja koja izrađuje i verifikuje ministarstvo nadležno za poslove odbrane;
2) javna kriptografska rešenja koja su u skladu sa odgovarajućim nacionalnim i međunarodnim standardima, dokumentima i preporukama iz oblasti kriptografije i odobrena od ministarstva nadležnog za poslove odbrane.
Operatori IKT sistema mogu primeniti mere kriptozaštite prilikom prenosa i čuvanja podataka koji nisu označeni kao tajni, u skladu sa propisima kojima se uređuje zaštita tajnih podataka, kada je na osnovu zakona ili drugog pravnog akta potrebno primeniti tehničke mere ograničenja pristupa podacima i obezbediti zaštitu integriteta, autentičnosti i neporecivosti podataka.
Za realizaciju bezbednosnih servisa, kao što su integritet, autentičnost i neporecivost, operatori IKT sistema mogu koristiti javna kriptografska rešenja koja su u skladu sa odgovarajućim nacionalnim i međunarodnim standardima, dokumentima i preporukama.
Kriptografski proizvodi koje je odobrilo ministarstvo nadležno za poslove odbrane upotrebljavaju se isključivo u skladu sa dobijenim preporukama i uputstvima uz proizvod.
Preporuke i uputstva iz stava 1. ovog člana obavezno se dostavljaju uz kriptografski proizvod.
Operator IKT sistema obezbeđuje uslove za rukovanje i čuvanje informacionih dobara u oblasti kriptozaštite, zavisno od stepena tajnosti koji im je dodeljen, a u skladu sa propisima kojima se uređuje zaštita tajnih podataka i uputstvom za upotrebu.
2. Uslovi koje moraju da ispunjavaju kriptografski proizvodi
Kriptografske proizvode koji se koriste za zaštitu prenosa i čuvanja podataka koji su određeni kao tajni, u skladu sa propisima kojima se uređuje zaštita tajnih podataka mora kriptološki verifikovati ministarstvo nadležno za poslove odbrane.
Kriptografski proizvodi bazirani na javnim komercijalnim kriptografskim rešenjima, moraju ispunjavati odgovarajuće nacionalne ili međunarodne standarde iz oblasti kriptografije.
Kriptografski proizvodi moraju da imaju implementirane mehanizme:
1) autorizacije korisnika;
2) autentifikacije između medija koji nosi kriptografske parametre i kriptografskog proizvoda;
3) mehanizme otpornosti (Tamper resistance) na neovlašćeno otvaranje - prilikom neovlašćenog otvaranja uređaja treba da se brišu kriptološki parametri ili budu nedostupni na drugi način - funkcija Tamper proof;
4) mogućnost brzog brisanja bezbednosnih i kriptoloških parametara ili nemogućnost pristupa istim, odnosno na akciju operatera dovođenje uređaja u nefunkcionalno stanje.
Samostalni operatori IKT sistema mogu samostalno verifikovati kriptografske proizvode koje koriste u sopstvenim kriptografskim sistemima.
3. Odobrenje za kriptografski proizvod
a) Uslovi za izdavanje odobrenja za kriptografski proizvod
Odobrenje za kriptografski proizvod, radi njegove primene za zaštitu tajnih podataka, mogu dobiti samo kriptografski proizvodi koji su verifikovani u ministarstvu nadležnom za poslove odbrane.
Odobrenje za kriptografski proizvod izdaje ministarstvo nadležno za poslove odbrane, na osnovu zahteva za izdavanje odobrenja za kriptografski proizvod podnetog od strane operatora IKT sistema, proizvođača kriptografskog proizvoda ili drugog zainteresovanog lica.
Samostalni operatori IKT sistema imaju opšte odobrenje za korišćenje kriptografskih proizvoda.
b) Sadržaj zahteva za izdavanje odobrenja za kriptografski proizvod
Zahtev za izdavanje odobrenja kriptografskog proizvoda treba da sadrži:
1) podatke o nazivu kriptografskog proizvoda;
2) podatke o nameni kriptografskog proizvoda;
3) stepen tajnosti podataka koji se štite kriptografskim proizvodom;
4) podatke o potrebi za objavljivanjem na javnoj listi odobrenih modela kriptografskih proizvoda (ako je zahtev podneo proizvođač ili lice koje je ovlastio proizvođač predmetnog kriptografskog proizvoda).
U opisu namene kriptografskog proizvoda treba da stoje sledeći podaci:
1) tip podataka, odnosno vrsta informacija koje se štite;
2) da li je u pitanju kriptografska zaštita podataka koji se prenose različitim komunikacionim kanalima ili podataka koji se čuvaju u bazama podataka ili memorijskim medijima;
3) da li je u pitanju online ili offline kriptografska zaštita;
4) brzina prenosa podataka i broj učesnika pri online kriptografskoj zaštiti.
Uz zahtev iz člana 13. ove uredbe prilaže se sledeća dokumentacija o kriptografskom proizvodu:
1) opis kriptografskog sistema u kome je primenjen kriptografski proizvod (elementi sistema, organizacija kriptozaštite i mere bezbednosti);
2) korisničko uputstvo za kriptografski proizvod;
3) opis celokupnog kriptološkog rešenja (način implementacije kriptografskog algoritma, kriptološka sinhronizacija, opis svih tipova kriptografskih ključeva, način njihovog generisanja i distribucije, čuvanje algoritama, ključeva i drugih bezbednosnih parametara, autentifikacija i autorizacija itd.);
4) dokumentovani izvorni (source) kod aplikacije za šifrovanje. Hardverske i softverske alate za verifikaciju implementacije kriptografskog algoritma, kao i opis njihovog korišćenja;
5) uverenja ili sertifikate za javna kriptografska rešenja da su u skladu sa odgovarajućim nacionalnim i međunarodnim standardima, dokumentima i preporukama iz oblasti kriptografije.
U slučaju potrebe ministarstvo nadležno za poslove odbrane može od podnosioca zahteva za izdavanje odobrenja kriptografskog proizvoda tražiti i dodatnu neophodnu dokumentaciju koja je potrebna za ocenu ispunjenosti propisanih uslova.
v) Postupak izdavanja odobrenja za kriptografski proizvod
Potrebe za odobrenjem kriptografskih proizvoda u narednoj godini operatori IKT sistema, proizvođači kriptografskog proizvoda ili druga zainteresovana lica dostavljaju ministarstvu nadležnom za poslove odbrane do 1. novembra tekuće godine.
Ministarstvo nadležno za poslove odbrane do kraja novembra tekuće godine izrađuje plan verifikacije kriptografskih proizvoda za narednu godinu, na osnovu iskazanih potreba operatora IKT sistema, proizvođača kriptografskog proizvoda ili drugih zainteresovanih lica. Prioritet u planiranju verifikacije kriptografskih proizvoda imaju samostalni operatori IKT sistema.
Operatori IKT sistema, proizvođači kriptografskog proizvoda ili druga zainteresovana lica, u skladu sa planom verifikacije kriptografskih proizvoda, podnose zahtev za izdavanje odobrenja kriptografskog proizvoda ministarstvu nadležnom za poslove odbrane koje donosi rešenje u roku od 45 dana od dana podnošenja urednog i kompletnog zahteva. Rok za rešavanje zahteva može se produžiti u slučaju posebne složenosti provere najviše za još 60 dana.
Protiv rešenja iz stava 1. ovog člana žalba nije dopuštena, ali može da se pokrene upravni spor.
Izuzetno od stava 1. ovog člana, u slučaju hitnosti, zahtev za izdavanje odobrenja za kriptografski proizvod može se podneti i kada nije predviđen planom verifikacije kriptografskih proizvoda, s tim da je podnosilac zahteva dužan da posebno obrazloži razloge hitnosti na koje se u zahtevu poziva i ukoliko je potrebno dostavi dokaze za takve tvrdnje.
Odobrenje za kriptografski proizvod može se odnositi na pojedinačni primerak kriptografskog proizvoda ili na određeni model kriptografskog proizvoda koji se serijski proizvodi.
Odobrenje za kriptografski proizvod može imati rok važenja koji je utvrđen u postupku verifikacije kriptografskog proizvoda. Rok važenja odobrenja na zahtev operatora IKT sistema, proizvođača kriptografskog proizvoda ili drugog zainteresovanog lica može se produžiti ako nema novih saznanja vezanih za tehnička rešenja primenjena u proizvodu, a koja utiču na ocenu stepena zaštite koji pruža proizvod.
Ministarstvo nadležno za poslove odbrane, u skladu sa zakonom, prethodno izdato odobrenje za kriptografski proizvod može povući ili promeniti iz razloga novih saznanja vezanih za tehnička rešenja koja utiču na stepen kriptografske zaštite koju pruža kriptografski proizvod.
Odobrenje za kriptografski proizvod obavezno se povlači u slučaju kompromitacije kriptografskog proizvoda kojom je ugrožen stepen kriptografske zaštite koju pruža kriptografski proizvod.
Pod kompromitacijom kriptografskog proizvoda podrazumeva se svaki njegov nestanak zbog gubljenja ili krađe, otvaranje kriptografskog proizvoda od strane neovlaštenih lica, kao i neovlašteno umnožavanje kriptografskih proizvoda i njegove tehničke dokumentacije.
g) Javna lista odobrenih modela kriptografskih proizvoda
Ministarstvo nadležno za poslove odbrane objavljuje javnu listu odobrenih modela kriptografskih proizvoda za sve modele kriptografskih proizvoda za koje je u zahtevu za izdavanje odobrenja naglašeno da model kriptografskog proizvoda treba da bude na javnoj listi i ako je zahtev podneo proizvođač ili lice koje je ovlastio proizvođač predmetnog kriptografskog proizvoda.
Javna lista objavljuje se javno i sadrži osnovne podatke o kriptografskom proizvodu (namena i tehnički podaci), podatke o proizvođaču kriptografskog proizvoda i podatak o najvišem stepenu tajnosti informacija koji se mogu štititi kriptografskim proizvodom.
a) Ustrojavanje i vođenje registara
Ustrojavaju se i vode sledeći registri:
1) Registar kriptomaterijala;
2) Registar izdatih odobrenja za kriptografske proizvode;
3) Registar pravila i propisa u kriptozaštiti;
4) Registar lica koja obavljaju poslove kriptozaštite.
Ustrojavanje i vođenje registara iz člana 22. ove uredbe vrši se u elektronskoj formi na računaru. Svaki registar ustrojava se i vodi posebno. U slučaju da nema uslova za ustrojavanje i vođenje registara u elektronskoj formi, za vođenje registara koriste se knjige.
Kada se vođenje registara vrši u elektronskoj formi obavezno se obezbeđuju kopije evidencija na eksternim memorijskim jedinicama koje se čuvaju u skladu sa zakonom.
Kada se za ustrojavanje i vođenje registara koriste knjige, sadržaj rubrika je identičan kao i u elektronskoj formi, strane knjige moraju biti numerisane i overene, a knjigama dodeljen i upisan evidencioni broj.
Registar kriptomaterijala ustrojava se za vođenje evidencija o kriptografskim proizvodima, tehničkoj dokumentaciji kriptografskih proizvoda, kriptografskim ključevima, kriptomodulima i algoritmima u kriptografskim proizvodima za zaštitu prenosa i čuvanja podataka koji su određeni kao tajni, u skladu sa propisima kojima se uređuje zaštita tajnih podataka.
Samostalni operatori IKT sistema, u obavezi su da vode evidenciju kriptomaterijala od trenutka prijema, u toku upotrebe do završetka ciklusa upotrebe kriptomaterijala.
Registar kriptomaterijala sadrži:
1) Evidenciju kriptografskih proizvoda;
2) Evidenciju tehničke dokumentacije kriptografskih proizvoda;
3) Evidenciju kriptografskih ključeva i kriptomodula.
v) Evidencija kriptografskih proizvoda
Evidencija kriptografskih proizvoda ustrojava se i vodi na nivou samostalnih operatora IKT sistema.
Na nižim nivoima u okviru samostalnih operatora IKT sistema vode se podregistri kriptomaterijala sa evidencijom kriptoproizvoda po istom obrascu.
Evidencija kriptografskih proizvoda sadrži sledeće podatke: naziv kriptografskog proizvoda, datum od kada je kriptografski proizvod na upotrebi, rok važenja odobrenja za kriptografski proizvod, naziv i mesto korisnika kriptografskog proizvoda, broj kriptografskih proizvoda i procenat popune.
Evidencija kriptografskih proizvoda (Obrazac 1.) odštampan je uz ovu uredbu i čini njen sastavni deo.
g) Evidencija tehničke dokumentacije kriptografskih proizvoda
Evidencija tehničke dokumentacije kriptografskih proizvoda ustrojava se i vodi na nivou samostalnih operatora IKT sistema koji imaju ovu dokumentaciju.
Tehnička dokumentacija kriptografskih proizvoda obuhvata: konstrukcionu dokumentaciju za proizvodnju, tehnološku dokumentaciju koju izrađuje proizvođač, dokumentaciju za upotrebu i održavanje, tehničke uslove za modifikaciju, remontnu dokumentaciju i dokumentaciju o kvalitetu proizvoda.
Evidencija tehničke dokumentacije kriptografskih proizvoda mora da sadrži sledeće podatke: naziv dokumenta, stepen tajnosti, mesto, delovodni broj i vreme izdavanja dokumenta.
Evidencija tehničke dokumentacije kriptografskih proizvoda (Obrazac 2.) odštampan je uz ovu uredbu i čini njen sastavni deo.
d) Evidencija kriptografskih ključeva i kriptomodula
Evidencija kriptografskih ključeva i kriptomodula ustrojava se i vodi na nivou samostalnih operatora IKT koji imaju kriptološke ključeve i kriptomodule za zaštitu tajnih podataka.
Na nižim nivoima u okviru samostalnih operatora IKT sistema vode se podregistri sa evidencijom kriptoloških ključeva i kriptomodula po istom obrascu.
Evidencija kriptografskih ključeva i kriptomodula sadrži sledeće podatke: serijski ili evidencioni broj medija na kojem se nalaze kriptografski ključevi ili kriptomodul, stepen tajnosti i datum početka i završetka upotrebe. Pored navedenih podataka evidencija može da sadrži i druge podatke od značaja za operatora IKT sistema.
Evidencija kriptografskih ključeva i kriptomodula (Obrazac 3.) odštampan je uz ovu uredbu i čini njen sastavni deo.
đ) Registar izdatih odobrenja za kriptografske proizvode
Ministarstvo nadležno za poslove odbrane ustrojava i vodi Registar izdatih odobrenja za kriptografske proizvode.
Registar izdatih odobrenja za kriptografske proizvode je namenjen za jedinstvenu evidenciju izdatih odobrenja za kriptografske proizvode za korisnike u Republici Srbiji.
Registar izdatih odobrenja za kriptografske proizvode sadrži: naziv i sedište (adresa) operatora IKT sistema za koji je izdato odobrenje za kriptografski proizvod, podatke o odgovornom licu operatora IKT sistema (ime i prezime, funkcija, adresa, broj telefona i adresa elektronske pošte), naziv kriptografskog proizvoda, tip kriptografskog proizvoda (uređaj ili softver), broj i datum zahteva za verifikaciju i odobrenje kriptografskog proizvoda, broj i datum odobrenja kriptografskog proizvoda, rok važenja kriptografskog proizvoda, podatke o nameni kriptografskog proizvoda (tip odnosno vrsta podataka koji se štite, opis tipa primenjene kriptografske zaštite, da li je u pitanju kriptografska zaštita u lokalu (offline) ili na liniji (online), brzina prenosa podataka, broj učesnika i učestalost saobraćaja pri kriptografskoj zaštiti u lokalu i na liniji), podatke vezane za produženje roka važenja kriptografskog proizvoda i podatke o povlačenju ili promeni odobrenja za kriptografski proizvod.
Registar izdatih odobrenja za kriptografske proizvode (Obrazac 4.) odštampan je uz ovu uredbu i čini njen sastavni deo.
e) Registar pravila i propisa u kriptozaštiti
Registar pravila i propisa u kriptozaštiti ustrojava se za vođenje evidencija o izdatim i imajućim pravilima i propisima u kriptozaštiti.
Registar pravila i propisa u kriptozaštiti ustrojavaju i vode samostalni operatori IKT sistema u Republici Srbiji u skladu sa propisima kojima se uređuje zaštita tajnih podataka.
Registar pravila i propisa u kriptozaštiti sadrži: Evidenciju izdatih pravila i propisa kriptozaštite i Evidenciju imajućih pravila i propisa kriptozaštite.
Evidencija izdatih pravila i propisa kriptozaštite vodi se na nivou organizacione jedinice nadležne za poslove kriptozaštite samostalnih operatora IKT sistema u Republici Srbiji za ažuriranje podataka o svim izdatim pravilima i propisima u kriptozaštiti na nivou IKT sistema.
Evidencija imajućih pravila i propisa kriptozaštite vodi se na nivou samostalnih operatera IKT sistema u Republici Srbiji i na svim nivoima koji imaju pravila i propise u kriptozaštiti.
Na nižim nivoima u okviru samostalnih operatora IKT sistema vode se podregistri pravila i propisa u kriptozaštiti koji sadrži samo evidenciju o imajućim pravilima i propisima u kriptozaštiti.
Evidencija izdatih pravila i propisa kriptozaštite (Obrazac 5.) i Evidencija imajućih pravila i propisa kriptozaštite (Obrazac 6.) odštampani su uz ovu uredbu i čine njen sastavni deo.
ž) Registar lica koja obavljaju poslove kriptozaštite
Registar lica koja obavljaju poslove kriptozaštite ustrojava se za vođenje evidencija o licima koja se bave poslovima kriptozaštite.
Ustrojavaju ga i vode samostalni operatori u skladu sa propisima kojima se uređuje zaštita tajnih podataka i zaštita podataka o ličnosti.
Registar lica koja obavljaju poslove kriptozaštite sadrži sledeće podatke: prezime, ime oca i ime, datum i mesto rođenja, matični broj, broj telefona, adresu elektronske pošte, školsku spremu, podatke o završenom stručnom osposobljavanju za poslove kriptozaštite, naziv radnog mesta, kao i datum početka i završetka rada na poslovima kriptozaštite.
Samostalni operatori IKT sistema u Republici Srbiji ustrojavaju registre lica koja obavljaju poslove kriptozaštite.
Na nižim nivoima u okviru samostalnih operatora IKT sistema vode se podregistri lica koja obavljaju poslove kriptozaštite.
Registar lica koja obavljaju poslove kriptozaštite (Obrazac 7.) odštampan je uz ovu uredbu i čini njen sastavni deo.
III ZAŠTITA OD KOMPROMITUJUĆEG ELEKTROMAGNETNOG ZRAČENJA
Ministarstvo nadležno za poslove odbrane nadležno je za poslove informacione bezbednosti koji se odnose na zaštitu od KEMZ.
Operatori IKT sistema u toku rada sa podacima u IKT sistemu koji su određeni kao tajni, u obavezi su da obezbede zaštitu od KEMZ u skladu sa propisima kojima se uređuje tajnost podataka i koji definišu posebne mere zaštite u informaciono-telekomunikacionim sistemima.
Samostalni operatori IKT sistema mogu vršiti proveru KEMZ za svoje potrebe, ukoliko poseduju tehničke, ljudske i materijalne resurse za tu namenu. Provera KEMZ vrši se na osnovu procene rizika od oticanja podataka putem KEMZ.
Procena rizika od oticanja podataka putem KEMZ vrši se na:
1) uređajima ili sistemima koji se koriste za elektronsku obradu, memorisanje, prenos ili kriptozaštitu tajnih informacija;
2) prostorima u kojima se elektronski obrađuju tajne informacije u smislu određivanje zona zaštićenosti od KEMZ;
3) Faradejevim kavezima koji služe za zaštitu prostora od KEMZ.
Procenu rizika oticanja podataka putem KEMZ na uređajima, prostorima i Faradejevim kavezima vrši ministarstvo nadležno za poslove odbrane na zahtev operatora IKT sistema.
Ministarstvo nadležno za poslove odbrane, na osnovu dobijenih zahteva operatora IKT sistema, na godišnjem nivou izrađuje godišnji plan aktivnosti na proceni rizika od oticanja podataka putem KEMZ.
Ministarstvo nadležno za poslove odbrane razrađuje sopstvene procedure za procenu rizika oticanja podataka putem KEMZ na uređajima i prostorima.
Ministarstvo nadležno za poslove odbrane, prilikom procene rizika od oticanja podataka putem KEMZ na uređajima ili prostorima, može prihvatiti sertifikate za određeni nivo zaštite od KEMZ nacionalnih ili međunarodnih akreditovanih laboratorija ili nadležnih institucija.
Procena oticanja podataka putem KEMZ na Faradejevim kavezima, odnosno merenje efikasnosti Faradejevih kaveza vrši se na osnovu javno dostupnih standarda.
IV PRUŽANJE USLUGA IZ OBLASTI KRIPTOBEZBEDNOSTI I ZAŠTITE OD KOMPROMITUJUĆEG ELEKTROMAGNETNOG ZRAČENJA UZ NAKNADU PRAVNIM I FIZIČKIM LICIMA IZVAN SISTEMA JAVNE VLASTI
Ministarstvo nadležno za poslove odbrane pruža usluge uz naknadu pravnim i fizičkim licima, izvan sistema javne vlasti u oblasti kriptobezbednosti i zaštite od KEMZ koje se odnose na:
1) izradu namenskih kriptografskih rešenja;
2) verifikaciju kriptografskih proizvoda;
3) generisanje kriptografskog materijala za izradu kriptografskih ključeva;
4) procenu rizika oticanja podataka putem KEMZ.
Lica iz stava 1. ovog člana u obavezi su da primenjuju posebne mere za bezbednost namenskih kriptografskih rešenja, proizvoda, materijala i ključeva u skladu sa propisima kojima se uređuje zaštita tajnih podataka i uputstvima za rad konkretnog kriptografskog proizvoda.
Sredstva ostvarena od naknade za pružanje usluga iz stava 1. ovog člana su prihod budžeta Republike Srbije.
Registri i evidencije iz čl. 22-35. ove uredbe ustrojiće se u roku od 12 meseci od dana stupanja na snagu ove uredbe.
Stupanjem na snagu ove uredbe prestaje da važi član 46. Uredbe Saveta ministara Državne zajednice Srbija i Crna Gora o kriptozaštiti.
Ova uredba stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije".
Obrasce 1-7, koji su sastavni deo ove uredbe, objavljene u "Sl. glasniku RS", br. 57/2019, možete pogledati OVDE