UREDBAO POSTUPKU OBAVEŠTAVANJA O INCIDENTIMA U INFORMACIONO-KOMUNIKACIONIM SISTEMIMA OD POSEBNOG ZNAČAJA("Sl. glasnik RS", br. 11/2020) |
Ovom uredbom uređuje se postupak obaveštavanja o incidentima u informaciono-komunikacionim sistemima od posebnog značaja (u daljem tekstu: IKT sistemi od posebnog značaja) koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti.
Uredbom se uređuje i lista, vrste i značaj incidenata prema nivou opasnosti, kao i postupanje i razmena informacija o incidentima između organa čiji su predstavnici imenovani u Telo za koordinaciju poslova informacione bezbednosti (u daljem tekstu: Telo za koordinaciju).
Postupak obaveštavanja o incidentima
Operatori IKT sistema od posebnog značaja dostavljaju obaveštenja o incidentima u IKT sistemu koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti bez odlaganja, a najkasnije narednog radnog dana od dana saznanja o nastanku incidenta, u skladu sa zakonom.
Obaveštenja o incidentima dostavljaju se preko veb stranice ministarstva nadležnog za informacionu bezbednost (u daljem tekstu: Ministarstvo) ili Nacionalnog centra za prevenciju bezbednosnih rizika u IKT sistemima (u daljem tekstu: Nacionalni CERT) u jedinstveni sistem za prijem obaveštenja o incidentima (u daljem tekstu: jedinstveni sistem) kojeg održava Ministarstvo.
Operatori IKT sistema od posebnog značaja koji obavljaju poslove finansijskih institucija i poslove vođenja registra podataka o obavezama fizičkih i pravnih lica prema finansijskim institucijama obaveštenja o incidentima dostavljaju Narodnoj banci Srbije, bez odlaganja, najkasnije narednog radnog dana od dana saznanja o nastanku incidenta.
Operatori IKT sistema od posebnog značaja koji obavljaju delatnosti u oblasti elektronskih komunikacija obaveštenja o incidentima dostavljaju regulatornom telu za elektronske komunikacije (u daljem tekstu: RATEL), bez odlaganja, najkasnije narednog radnog dana od dana saznanja o nastanku incidenta.
Narodna banka Srbije i RATEL primljena obaveštenja iz st. 3. i 4. ovog člana dostavljaju u jedinstveni sistem, bez odlaganja, a najkasnije narednog radnog dana od dana prijema tih obaveštenja, u skladu sa zakonom.
Organi koji, u skladu sa ovom uredbom, postupaju u slučaju incidenata u IKT sistemima od posebnog značaja i razmenjuju podatke o tim incidentima dužni su da obezbede zaštitu podataka o tim incidentima u skladu sa propisima i da te podatke koriste isključivo u svrhu za koju su pribavljeni.
Sadržaj obaveštenja o incidentu
Obaveštenje o incidentu mora da sadrži sledeće podatke:
1) naziv podnosioca prijave, broj telefona i adresa elektronske pošte,
2) vrstu i opis incidenta,
3) datum i vreme početka incidenta i trajanje incidenta,
4) posledice koje je incident izazvao,
5) preduzete aktivnosti radi ublažavanja posledica incidenta,
6) po potrebi, druge relevantne informacije.
U slučaju hitnosti obaveštenje o incidentu se dodatno prijavljuje telefonskim putem, putem elektronske pošte ili na drugi odgovarajući način.
Ministarstvo, Narodna banka Srbije i RATEL mogu bliže urediti postupak obaveštavanja o incidentima, u skladu sa ovom uredbom.
Lista incidenata prema vrstama
Vrste incidenata u IKT sistemima od posebnog značaja koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti svrstavaju se u grupe incidenata, u skladu sa Listom incidenata prema vrstama koja je data u Prilogu 1. koji je odštampan uz ovu uredbu i čini njen sastavni deo.
Incidenti u IKT sistemima od posebnog značaja koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti svrstavaju se prema nivou opasnosti, imajući u vidu posledice incidenta, u skladu sa Klasifikacijom incidenta prema nivou opasnosti (u daljem tekstu: Klasifikacija) koja je data u Prilogu 2. koji je odštampan uz ovu uredbu i čini njen sastavni deo.
Prikupljanje, analiza i razmena informacija o rizicima za bezbednost IKT sistema
Po prijemu obaveštenja o incidentu u IKT sistemu od posebnog značaja, Nacionalni CERT postupa u skladu sa nadležnostima utvrđenim zakonom, odnosno prikuplja, analizira i razmenjuje informacije o rizicima za bezbednost IKT sistema, kao i incidentu, i u vezi toga obaveštava, pruža podršku, upozorava i savetuje operatora IKT sistema od posebnog značaja i vrši druge poslove iz svoje nadležnosti.
Nacionalni CERT, nakon izvršene analize, utvrđuje nivo opasnosti od incidenta, u skladu sa Klasifikacijom incidenata prema značaju nivoa opasnosti (Prilog 2).
Upozoravanje i savetovanje javnosti o incidentima koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti IKT sistema od posebnog značaja u Republici Srbiji, Nacionalni CERT preduzima nakon dobijene saglasnosti Ministarstva.
Postupanje u slučaju incidenta koji je vezan za izvršenje krivičnog dela, ugrožavanje odbrane Republike Srbije ili ugrožavanje nacionalne bezbednosti
Organi iz člana 2. ove uredbe bez odlaganja dostavljaju obaveštenja o incidentima nadležnim organima, u skladu sa zakonom, ako je incident povezan sa:
1) izvršenjem krivičnih dela koja se gone po službenoj dužnosti,
2) značajnim narušavanjem informacione bezbednosti, koje ima ili može imati za posledicu ugrožavanje odbrane Republike Srbije,
3) značajnim narušavanjem informacione bezbednosti, koje ima ili može imati za posledicu ugrožavanje nacionalne bezbednosti.
Postupanje u slučaju incidenta nivoa opasnosti "veoma visok"
U slučaju incidenta kojem je u skladu sa Klasifikacijom utvrđen nivo opasnosti "veoma visok" Nacionalni CERT bez odlaganja obaveštava o tome Ministarstvo koje potom obaveštava Republički štab za vanredne situacije koji postupa u skladu sa nadležnostima utvrđenim propisima.
U slučaju incidenta iz stava 1. ovog člana Ministarstvo saziva sednicu Tela za koordinaciju.
Tokom trajanja incidenta Nacionalni CERT redovno obaveštava Ministarstvo i Telo za koordinaciju o preduzetim aktivnostima, a po završetku incidenta dostavlja izveštaj o ishodu incidenta najkasnije u roku od tri dana, putem jedinstvenog sistema.
Postupanje u slučaju incidenta nivoa opasnosti "visok"
U slučaju incidenta kojem je u skladu sa Klasifikacijom utvrđen nivo opasnosti "visok" Nacionalni CERT bez odlaganja obaveštava o tome Ministarstvo koje potom saziva sednicu Tela za koordinaciju.
Nacionalni CERT saziva sastanak sa predstavnicima Ministarstva, CERT-a organa vlasti i CERT-ovima samostalnih operatora radi međusobne koordinacije tokom reagovanja po prijavljenom incidentu, a u skladu sa nadležnostima.
Po potrebi, sastancima iz stava 2. ovog člana prisustvuju i predstavnici posebnih CERT-ova, kao i druga lica.
U slučaju da je neophodno, inspektor za informacionu bezbednost može da zabrani korišćenje postupaka i tehničkih sredstava kojima se ugrožava ili narušava informaciona bezbednost u IKT sistemu od posebnog značaja i za to ostavi rok, u skladu sa zakonom.
Tokom trajanja incidenta Nacionalni CERT redovno obaveštava Ministarstvo i Telo za koordinaciju o preduzetim aktivnostima, a po završetku incidenta dostavlja izveštaj o incidentu najkasnije u roku od tri dana, putem jedinstvenog sistema.
Po izvršenoj proceni, Ministarstvo može da obavesti javnost o incidentu, ili dati saglasnost Nacionalnom CERT-u za obaveštavanje javnosti.
Postupanje u slučaju incidenta nivoa opasnosti "srednji"
U slučaju incidenta kojem je u skladu sa Klasifikacijom utvrđen nivo "srednji" Nacionalni CERT bez odlaganja obaveštava o tome Ministarstvo koje potom, u slučaju da se proceni da je potrebno, saziva sednicu Tela za koordinaciju.
Nacionalni CERT priprema predlog preporuka za postupanje i stupa u kontakt sa IKT sistemom od posebnog značaja u kome se desio incident u cilju primene predloženih preporuka za postupanje.
Tokom trajanja incidenta Nacionalni CERT redovno obaveštava Ministarstvo o preduzetim aktivnostima, a po završetku incidenta dostavlja izveštaj o incidentu najkasnije u roku od tri dana, putem jedinstvenog sistema.
Po izvršenoj proceni, Ministarstvo može obavestiti javnost o incidentu, ili dati saglasnost Nacionalnom CERT-u za obaveštavanje javnosti.
Postupanje u slučaju incidenta nivoa opasnosti "nizak"
U slučaju incidenta kojem je u skladu sa Klasifikacijom utvrđen nivo opasnosti "nizak" Nacionalni CERT obaveštava o tome Ministarstvo.
Nacionalni CERT po potrebi priprema predlog preporuka za postupanje i stupa u kontakt sa IKT sistemom od posebnog značaja u kome se desio incident.
Tokom trajanja incidenta Nacionalni CERT redovno obaveštava Ministarstvo o preduzetim merama, a po završetku incidenta dostavlja izveštaj o incidentu najkasnije u roku od tri dana, putem jedinstvenog sistema.
Prestanak važenja ranijeg propisa
Danom stupanja na snagu ove uredbe prestaje da važi Uredba o postupku dostavljanja podataka, listi, vrstama i značaju incidenata i postupku obaveštavanja o incidentima u informaciono-komunikacionim sistemima od posebnog značaja ("Službeni glasnik RS", broj 94/16).
Ova uredba stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije".
Grupa incidenata |
Vrsta incidenta |
Instaliranje zlonamernog softvera u okviru IKT sistema (malver, engl. "malware") |
Virus |
Crv |
|
Ransomver |
|
Trojanac |
|
Špijunski softver |
|
Rutkit |
|
Neovlašćeno prikupljanje podataka |
Skeniranje portova |
Presretanje podataka između računara i servera |
|
Socijalni inženjering |
|
Kompromitovanje ili curenje podataka |
|
Prevara |
Fišing |
Neovlašćeno korišćenje resursa |
|
Pokušaji upada u IKT sistem |
Pokušaj iskorišćavanja ranjivosti sistema |
Pokušaj otkrivanja kredencijala |
|
Upad u IKT sistem |
Otkrivanje ili neovlašćeno korišćenje privilegovanih naloga |
Otkrivanje ili neovlašćeno korišćenje neprivilegovanih naloga |
|
Neovlašćeni pristup aplikaciji |
|
Mreža zaraženih uređaja |
|
Nedostupnost ili ograničena dostupnost IKT sistema |
Napad sa ciljem onemogućavanja ili ometanja funkcionisanja IKT sistema |
Distribuirani napad sa ciljem onemogućavanja ili ometanja funkcionisanja IKT sistema |
|
Sabotaža |
|
Prekid u funkcionisanju sistema ili dela sistema |
|
Ugrožavanje bezbednosti podataka |
Neovlašćen pristup podacima |
Neovlašćena izmena ili brisanje podataka |
|
Kriptografski napad |
|
Operativni incidenti |
Otkazivanje hardverskih komponenti |
Problemi u radu sa softverskim komponentama |
|
Incidenti fizičko-tehničke bezbednosti |
Krađa hardverskih komponenti |
Požar |
|
Poplava |
|
Ostali incidenti |
Incidenti koji ne spadaju u gore navedene kategorije |
Nivo opasnosti |
Posledice incidenta |
Veoma visok |
U slučaju nastupanja okolnosti ugrožavanja, ometanja rada ili onemogućavanja rada IKT sistema od posebnog značaja, a kada su rizici, pretnje ili nastale posledice incidenta po stanovništvo, materijalna dobra ili životnu sredinu takvog obima i intenziteta da njihov nastanak ili posledice nije moguće sprečiti ili otkloniti redovnim delovanjem nadležnih organa i službi, zbog čega je za njihovo ublažavanje i otklanjanje neophodno upotrebiti posebne mere, dodatne snage i sredstva uz pojačan režim rada. |
Visok |
Kada su rizici i pretnje ili nastale posledice incidenta po stanovništvo, materijalna dobra ili životnu sredinu takvog obima i intenziteta da je njihov nastanak ili posledice moguće sprečiti ili otkloniti redovnim delovanjem nadležnih organa i službi. |
Srednji |
Kada su rizici, pretnje ili nastale posledice incidenta takvog obima i intenziteta da mogu biti otklonjena zajedničkim delovanjem IKT sistema od posebnog značaja u kome se incident desio i Nacionalnog CERT-a. |
Nizak |
Kada su rizici, pretnje ili nastale posledice incidenta takvog obima i intenziteta da mogu biti otklonjene delovanjem IKT sistema od posebnog značaja. |