PRAVILNIKO BEZBEDNOSTI INFORMACIONO-KOMUNIKACIONOG SISTEMA BISTREZOR POKRAJINSKOG SEKRETARIJATA ZA FINANSIJE("Sl. list AP Vojvodine", br. 14/2021) |
Pravilnikom o bezbednosti informaciono-komunikacionog sistema BISTrezor Pokrajinskog sekretarijata za finansije (u daljem tekstu: Pravilnik) detaljnije se uređuju mere zaštite, principi, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti, kao i ovlašćenja i odgovornosti u vezi s bezbednošću i resursima informaciono-komunikacionog sistema Pokrajinskog sekretarijata za finansije, koji razvija Sektor za informacioni sistem budžeta i trezora (u daljem tekstu: Sektor) Pokrajinskog sekretarijata za finansije (u daljem tekstu: Sekretarijat), za potrebe planiranja i izvršenja budžeta Autonomne pokrajine Vojvodine (u daljem tekstu: AP Vojvodina) i predstavlja integrisani informacioni sistem budžeta i trezora AP Vojvodine (u daljem tekstu: sistem BISTrezor).
Odredbe ovog pravilnika odnose se na zaposlene kod direktnih i indirektnih korisnika budžeta AP Vojvodine, koji u obavljanju poslova svog radnog mesta koriste sistem BISTrezor (u daljem tekstu: korisnici sistema BISTrezor).
Sve imenice koje se u ovom pravilniku koriste u muškom rodu, a imaju i ženski rod, podrazumevaju i istovremeno obuhvataju iste imenice u ženskom rodu.
Imenice koje označavaju službene pozicije i funkcije koriste se u obliku koji izražava pol lica koje je njihov nosilac.
Ciljevi donošenja Pravilnika jesu:
1) određivanje načina i procedura za postizanje i održavanje adekvatnog nivoa bezbednosti sistema BISTrezor;
2) sprečavanje i ublažavanje posledica incidenata kojim se ugrožava ili narušava informaciona bezbednost sistema BISTrezor;
3) podizanje svesti korisnika sistema BISTrezor o značaju informacione bezbednosti, kao i o rizicima i merama zaštite prilikom korišćenja BISTrezor sistema;
4) propisivanje ovlašćenja i odgovornosti korisnika sistema BISTrezor u vezi s bezbednošću i resursima sistema BISTrezor;
5) sveukupno unapređivanje informacione bezbednosti i provera usklađenosti primene mera zaštite.
Obaveza primene odredbi Pravilnika
Mere zaštite sistema BISTrezor, koje su detaljnije uređene Pravilnikom, služe prevenciji nastanka incidenata i minimizaciji štete od incidenata, a njihova primena obavezna je za sve korisnike sistema BISTrezor.
Korisnici sistema BISTrezor dužni su da se pridržavaju odredaba Pravilnika, kao i drugih internih procedura koje regulišu informacionu bezbednost. Pravilnik i relevantne procedure biće dostupne korisnicima u okviru sistema BISTrezor.
Prilikom popunjavanja zahteva za dodelu prava, svaki korisnik sistema BISTrezor dužan je da dâ pismenu izjavu (ili izjavu potpisanu verifikovanim elektronskim potpisom), kojom potvrđuje da je upoznat sa sadržinom Pravilnika. Izgled i sadržaj izjave dati su u proceduri "Dodeljivanje prava zaposlenom za rad na pojedinačnim delovima sistema BISTrezor", koja je sastavni deo sistema BISTrezor.
Rukovodilac Sektora i načelnik Odeljenja za izradu i održavanje informacionog sistema (u daljem tekstu: Odeljenje) odgovorni su za praćenje primene mera bezbednosti sistema BISTrezor, kao i za proveru toga da li su podaci zaštićeni na način koji je utvrđen ovim aktom i internim procedurama.
Odgovornost korisnika sistema BISTrezor
Svaki korisnik sistema BISTrezor odgovoran je za bezbednost podataka resursa koje koristi radi obavljanja poslova iz svoje nadležnosti u okviru sistema BISTrezor i dužan je da blagovremeno informiše Interni CERT sistema BISTrezor na imejl adresu cert.bistrezor@vojvodina.gov.rs o svim sigurnosnim incidentima i problemima.
Korisniku sistema BISTrezor koji naruši informacionu bezbednost i ugrozi funkcionisanje sistema BISTrezor može da se suspenduje pravo na rad u sistemu BISTrezor na određeno vreme.
Korisniku sistema BISTrezor koji ponovo naruši informacionu bezbednost i ugrozi funkcionisanje sistema BISTrezor može trajno da se oduzme pravo na rad u sistemu BISTrezor.
Mere zaštite sistema BISTrezor odnose se na elektronske komunikacione mreže, elektronske uređaje na kojima se čuva i vrši obrada podataka korišćenjem računarskog programa, operativne i aplikativne računarske programe, programski kôd, podatke koji se čuvaju, obrađuju, pretražuju ili prenose pomoću elektronskih uređaja, organizacionu strukturu putem koje se upravlja sistemom BISTrezor, korisničke naloge, tajne informacije za proveru verodostojnosti, tehničku i korisničku dokumentaciju, unutrašnje opšte akte i procedure.
Predmet zaštite jesu:
• glavni server;
• rezervni server;
• testni server;
• baza podataka;
• programski kodovi sistema BISTrezor.
Organizaciona struktura, sa utvrđenim poslovima i odgovornostima zaposlenih, kojom se ostvaruje upravljanje informacionom bezbednošću sistema BISTrezor u okviru Sekretarijata
Sekretarijat - u okviru organizacione strukture - utvrđuje poslove i odgovornosti zaposlenih u Sektoru s ciljem upravljanja informacionom bezbednošću.
Interni akti koji uređuju obaveze i odgovornosti zaposlenih Sektoru u vezi sa upravljanjem informacionom bezbednošću sistema BISTrezor:
• akt o organizaciji i sistematizaciji radnih mesta;
• akt o zasnivanju radnog odnosa (npr. rešenje o raspoređivanju, ugovor o radu);
• ugovori o čuvanju poverljivosti s pravnim licima;
• rešenje o određivanju lica za pristup posebno osetljivim podacima i informacijama u sistemu BISTrezor.
Rukovodilac Sekretarijata dužan je da donese pojedinačni akt kojim se definiše osnivanje Centra za prevenciju bezbednosnih rizika u IKT sistemu Sekretarijata (u daljem tekstu: Interni CERT), kao i akt kojim se - u skladu sa aktom o organizaciji i sistematizaciji radnih mesta - određuju zaposleni, članovi Internog CERT-a, da obezbeđuju i prate bezbednost informacionog sistema BISTrezor.
Procedurom za "Dodeljivanje prava zaposlenom za rad na pojedinačnim delovima sistema BISTrezor" utvrđuju se način dodele ovlašćenja i način odobravanja pristupa za rad u sistemu BISTrezor.
Zahtev za dodelu prava - koji potpisuje rukovodilac korisnika sistema BISTrezor - dostavlja se na propisanom obrascu koji je sastavni deo procedure za "Dodeljivanje prava zaposlenom za rad na pojedinačnim delovima sistema BISTrezor".
Postizanje bezbednosti rada na daljinu i upotrebe mobilnih uređaja
Pod mobilnim uređajima podrazumevaju se svi prenosni elektronski uređaji namenjeni za komunikaciju na daljinu.
U mobilne uređaje svrstavaju se prenosivi računari, tableti, mobilni telefoni, PDA i svi drugi mobilni uređaji koji sadrže poverljive podatke i imaju mogućnost povezivanja na mrežu AP Vojvodine.
Prilikom korišćenja mobilnih uređaja, potrebno je osigurati poslovne informacije od mogućeg kompromitovanja.
Administrator sistema BISTrezor utvrđuje način i dozvoljava rad na daljinu i upotrebu mobilnih uređaja, ukoliko je osigurana bezbednost rada u slučaju obavljanja poslova van prostorija poslodavca, uzimajući u obzir i rizike do kojih može doći usled neadekvatnog korišćenja mobilnih uređaja, zaštita od krađe i aktivnosti koje je neophodno preduzeti u slučaju krađe ili gubitka mobilnih uređaja kako ne bi bila narušena bezbednost.
Rad na daljinu i korišćenje mobilnih uređaja
Obavljanje poslova van službenih prostorija korisnika sistema BISTrezor obuhvata:
• rad na daljinu;
• rad od kuće;
• virtuelno radno okruženje.
Takođe, rad na daljinu - u smislu ovog pravilnika - odnosi se na situaciju kada je korisnik sistema BISTrezor i drugo radno angažovano lice obavezano da izvrši određene poslove u sistemu BISTrezor, a nalazi se van službenih prostorija. Predmetno angažovanje i omogućavanje obavljanja zadatih i neophodnih poslova uređuje se putem Procedure za VPN pristup informacionom sistemu (u daljem tekstu: VPN procedura).
VPN pristup informacionom sistemu odobrava i omogućuje Uprava za zajedničke poslove pokrajinskih organa, na osnovu zahteva direktnog budžetskog korisnika.
Obezbeđivanje da lica koja koriste sistem BISTrezor, odnosno koja upravljaju tim sistemom budu osposobljena za posao koji obavljaju i da u potpunosti razumeju svoju odgovornost
Sistemom BISTrezor upravljaju zaposleni u Sektoru - u skladu s važećim aktom o sistematizaciji radnih mesta.
Sektor je dužan da svakog novog korisnika sistema BISTrezor upozna sa odgovornostima i pravilima korišćenja sistema BISTrezor, kao i da vodi evidenciju o izjavama kojima korisnici sistema BISTrezor potvrđuju da su upoznati sa sadržajem Pravilnika i s pravilima korišćenja sistema BISTrezor.
Svako korišćenje sistema BISTrezor od strane korisnika sistema BISTrezor i zaposlenih u Sektoru, van dodeljenih ovlašćenja, podleže disciplinskoj odgovornosti - u skladu s važećim zakonima i s Kodeksom ponašanja službenika i nameštenika u organima AP Vojvodine.
Obaveze u toku korišćenja sistema BISTrezor
Svi korisnici sistema BISTrezor u obavezi su da primenjuju mere zaštite bezbednosti, u skladu s Pravilnikom i važećim procedurama.
Radi razvoja, implementacije i održavanja sistema zaštite i bezbednosti podataka sistema BISTrezor, Sektor obezbeđuje uslove za integraciju kontrolnih mehanizama tako što:
• obezbeđuje da se postupci zaštite sprovode na organizovan način i u skladu s procedurama i u kontinuitetu;
• sprovodi programe zaštite na konzistentan i ujednačen način kod svih korisnika sistema BISTrezor;
• koordinira bezbednost i zaštitu podataka u informacionom sistemu BISTrezor s njihovom fizičkom zaštitom.
Zaposleni u Sektoru, koji su nadležni za praćenje, analizu, izveštavanje i preduzimanje aktivnosti na planu sprovođenja usvojene politike i procedura, kontinuirano se obučavaju radi unapređivanja tehničkog i tehnološkog znanja. Rukovodilac Sektora i članovi Internog CERT-a autorizovani su za preduzimanje hitnih i neodložnih mera u slučaju postojanja neposredne opasnosti za podatke i dokumentaciju sistema BISTrezor, koji su pod merama zaštite.
Upoznavanje s bezbednošću informacija, sticanje znanja i obuka
Zaposleni u Sektoru i članovi Internog CERT-a u obavezi su da prođu odgovarajuću obuku i da redovno stiču nova i obnavljaju postojeća znanja o procedurama i drugim aktima, koji uređuju bezbednost informacija, na način koji odgovara njihovom poslovnom angažovanju i radnom mestu.
Zaštita od rizika koji nastaju pri promenama poslova ili prilikom prestanka radnog angažovanja lica u Sekretarijatu i lica koji koriste sistem BISTrezor
Zaposleni u Sektoru i lica koja je Sekretarijat angažovao po drugom osnovu, dužni su da čuvaju poverljive i druge informacije koje su značajne za informacionu bezbednost sistema BISTrezor i nakon promene radnog mesta, odnosno nakon prestanka radnog odnosa ili radnog angažovanja.
Dužnosti i obaveze koje ostaju važeće u slučaju iz stava 1. ovog člana definišu se rešenjem o imenovanju članova Internog CERT-a i rešenjem o pravu na zajedničke identifikatore.
Korisniku sistema BISTrezor koji prelazi na drugo radno mesto ukida se pravo rada u sistemu BISTrezor i mogu mu se odobriti nova prava u zavisnosti od novoutvrđenih poslova, u skladu s procedurom "Dodeljivanje prava zaposlenom na rad na pojedinačnim delovima sistema BISTrezor". Procedura je postavljena u sistemu BISTrezor, u padajućem meniju Proc. i uputstva. Rok za ukidanje prava jeste tri dana od donošenja akta o prelasku na drugo mesto.
Prestankom radnog odnosa ili radnog angažovanja, korisniku sistema BISTrezor ukidaju se sva prava na rad u sistemu BISTrezor. Ta prava ukidaju se odmah po donošenju akta o prestanku radnog angažovanja. Ukidanje prava na rad u sistemu BISTrezor daje rukovodilac, popunjavanjem obrasca zahteva za ukidanje prava, što se evidentira u posebnoj evidenciji.
U slučaju prestanka radnog odnosa zaposlenog u Sektoru, obaveze Sektora su sledeće:
• da pregleda sve naloge i pristupe sistemu BISTrezor, koji su bili dostupni zaposlenom;
• da proveri sadržaj vraćenih mobilnih uređaja i uređaja za prenošenje podataka koji su korišćeni za rad u sistemu BISTrezor i - po potrebi - da taj sadržaj izbriše;
• da zaposlenom ukine pravo pristupa sistemu BISTrezor na dan prestanka radnog odnosa ili drugog osnova angažovanja tog zaposlenog;
• da pregleda sve naloge za pristup zaposlenog sistemu BISTrezor i da prikupi pristupne šifre i kodove s ciljem njihovog ukidanja/promene na dan odlaska.
Identifikovanje informacionih dobara i određivanje odgovornosti za njihovu zaštitu
Informaciona dobra sistema BISTrezor obuhvataju podatke u datotekama i bazama podataka, programski kod, konfiguraciju hardverskih komponenti, programske zahteve i tehničku dokumentaciju u koju se svrstavaju pisana uputstva, projektna dokumentacija i procedure.
Sektor vrši identifikaciju imovine koja odgovara životnom ciklusu informacija i dokumentuje njen značaj.
Životni ciklus informacije obuhvata kreiranje, obradu, skladištenje, prenos, brisanje i uništavanje podataka i informacija.
Sektor pravi popis informacionih dobara Sekretarijata, koji je tačan, ažuran, konzistentan i usklađen s drugom imovinom.
Evidenciju o informacionim dobrima vodi Interni CERT.
Vlasništvo nad imovinom, prihvatljivo korišćenje imovine i njen povraćaj
Interni CERT ima odgovornost za kontrolisanje životnog ciklusa informacionih dobara sistema BISTrezor i dužan je da pravilno upravlja informacionim dobrima tokom celog životnog ciklusa.
Interni CERT-a daje preporuke za pravilno korišćenje imovine povezane sa informacijama i opremom za obradu informacija.
Zaposleni u Sektoru i eksterni saradnici obavezni su da vrate svu imovinu koju poseduju nakon prestanka njihovog zaposlenja ili radnog angažovanja.
Klasifikovanje podataka tako da nivo njihove zaštite odgovara značaju podataka u skladu s načelom upravljanja rizikom iz člana 3. Zakona o informacionoj bezbednosti
Klasifikovanje podataka jeste postupak utvrđivanja i pojedinačnog dodeljivanja nivoa tajnosti podatka, u skladu s njihovim značajem za Sekretarijat.
Sekretarijat označava tipove i lokacije podataka kao poverljive, interne ili javne.
Klasifikacionu šemu poverljivosti informacija Sekretarijat definiše na osnovu prava rada u sistemu BISTrezor:
• pravo na osnovu dodele prava;
• pravo na osnovu rada u Sektoru (osnovna prava - testni podaci);
• rešenje o određivanju lica za pristup posebno osetljivim podacima i informacijama u sistemu BISTrezor.
Sekretarijat vrši klasifikaciju radi:
• jačanja korisničke odgovornosti, kako bi korisnici mogli da uoče i prepoznaju poslovnu vrednost podatka prilikom čuvanja ili slanja i budu svesni odgovornosti za neovlašćeno korišćenje ili prenošenje;
• podizanja svesti o vrednosti informacije ili dokumenta;
• zaštite podataka u pokretu radi bolje i inteligentnije integracije sa DLP, WEB gateway i ostalim proizvodima za zaštitu parametara i krajnjih uređaja;
• zaštite sadržaja;
• integracije sa sistemima za arhiviranje.
Klasifikacija dokumenta usklađena je s pravilima kontrole pristupa.
Sekretarijat postupa u skladu sa usvojenom šemom klasifikovanja podataka. Posebnim procedurama, definišu se radnje za postupanje, obradu, skladištenje i prenos podataka.
Zaštita, upravljanje i rashodovanje nosača podataka
Sektor obezbeđuje sprečavanje neovlašćenog modifikovanja, uklanjanja ili uništenja informacija i sadržaja koji se čuvaju na nosačima podataka.
Evidenciju nosača na kojima su snimljeni podaci vodi Interni CERT.
Sektor je dužan da za upravljanje prenosnim nosačima podataka razvija i implementira proceduru o upravljanju prenosnim nosačima, u skladu sa usvojenom šemom klasifikovanja podataka.
Sektor vrši bezbednosno rashodovanje nosača podataka, uz svođenje na minimum rizika od dolaska osetljivih informacija do neovlašćenih osoba.
Bezbednosno rashodovanje nosača podataka vrši se u skladu s Procedurom za bezbednosno rashodovanje nosača podataka.
Fizički prenos nosača podataka (medijuma)
Nosači podataka koji sadrže informacije štite se od neovlašćenog pristupa, zloupotrebe ili oštećenja prilikom transporta. Kada poverljiva informacija na medijumu nije šifrovana, potrebno je dodatno fizički zaštiti medijum.
Sekretarijat će obezbediti sigurnu i bezbednu lokaciju za čuvanje podataka sistema BISTrezor.
Podaci će se na drugu lokaciju prenositi na siguran i bezbedan način.
Ograničenje pristupa podacima i sredstvima za obradu podataka
Pristup podacima i sredstvima za obradu podataka u sistemu BISTrezor ograničen je u skladu sa utvrđenim stepenom tajnosti podataka i usvojenom šemom klasifikovanja podataka prema članu 17. ovog pravilnika.
Sektor će formirati kontrolnu listu pristupa, koja sadrži popis svih informacionih objekata i subjekte koji im mogu pristupiti.
Korisnicima sistema BISTrezor dozvoljen je pristup samo samo u okviru prava dodeljenih korisničkim nalogom.
Zaposleni u Sektoru, koji ima administratorski nalog, ima prava pristupa svim resursima sistema BISTrezor (softverskim i hardverskim, mreži i mrežnim resursima) radi instalacije, održavanja, podešavanja i upravljanja resursima sistema BISTrezor.
Korisnik sistema BISTrezor može da koristi samo svoj korisnički nalog koji je dobio od administratora i ne sme da omogući drugom licu korišćenje njegovog korisničkog naloga, sem administratoru za podešavanje korisničkog profila i radne stanice.
Odobravanje ovlašćenog pristupa i sprečavanje neovlašćenog pristupa sistemu BISTrezor i uslugama koje sistem pruža
Sektor upravlja pristupom sistemu BISTrezor i uslugama upotrebom korisničkih identifikatora.
Upravljanje korisničkim identifikatorima vrši se poštujući sledeće principe:
• korisnički identifikatori su jedinstveni i treba da omoguće da podaci budu zaštićeni od neovlašćenog pristupa, kao i da se zaštite integritet, raspoloživost, autentičnost i neporecivost tih podataka, da bi sistem BISTrezor funkcionisao kako je predviđeno;
• korišćenje zajedničkih identifikatora dozvoljava se samo onda kada je to potrebno za obavljanje posla, u skladu s rešenjem o određivanju lica za pristup posebno osetljivim podacima i informacijama u sistemu BISTrezor, koje donosi rukovodilac Sekretarijata. Zajednički identifikatori se ovim rešenjem mogu dodeliti samo zaposlenima u Sektoru i licima koja je angažovao Sekretarijat. Zajednički identifikatori su s najvišim pravom pristupa u šemi klasifikovanja prava;
• korisnicima kojima je prestao radni odnos ili radno angažovanje onemogućava se rad u sistemu BISTrezor i uklanjaju im se korisnički identifikatori.
Pravo pristupa sistemu BISTrezor dodeljuje se korisniku sistema BISTrezor na osnovu zahteva koji je potpisalo ovlašćeno lice, u skladu s radnim zadacima koje obavlja. Korisniku sistema BISTrezor dodeljuju se jedinstveni podaci i jedinstvena šifra za logovanje, koji se ne smeju deliti s drugim licima.
Dodeljivanje privilegovanih (administratorskih) prava za pristup sistemu BISTrezor vrši se na osnovu posebnog rešenja o određivanju lica za pristup posebno osetljivim podacima i informacijama u sistemu BISTrezor, koje je potpisao rukovodilac Sekretarijata. Privilegovana prava za pristup sistemu BISTrezor, koja treba dodeliti administratoru, drugačija su od onih koja se koriste za redovne aktivnosti.
Redovne poslovne aktivnosti ne treba vršiti iz privilegovanih korisničkih identifikatora.
Šifre za pristup zajedničkim korisničkim identifikatorima administratora sistema BISTrezor menjaju se kada se promeni barem jedan administrator.
Pristup svim resursima sistema BISTrezor imaju zaposleni u Sektoru, sa administratorskim privilegijama.
Pravo pristupa sistemu BISTrezor korisnik sistema BISTrezor dobija po dodeli prava. Korisnici sistema BISTrezor moraju podneti zahtev za dodelu prava za pristup i zahtev za instalaciju sistema BISTrezor. Zahtevi - koje potpisuje neposredni rukovodilac - podnose se Sektoru, u skladu s potrebama obavljanja poslovnih zadataka. Nakon odobravanja zahteva, datom korisniku se otvara korisnički nalog i instalira se sistem BISTrezor. Ukoliko je zahtev sa ograničenim trajanjem, pravo pristupa korisniku se automatski ukida istekom perioda na zahtevu.
Korisnicima sistema BISTrezor i eksternim saradnicima po prestanku zaposlenja ili isteka angažovanja ukida se pravo na pristup.
Utvrđivanje odgovornosti korisnika za zaštitu sopstvenih sredstava za autentifikaciju
Korisnički nalog sastoji se od korisničkog imena i lozinke.
Korisničko ime formira se od latiničkih slova imena ili imena i prezimena.
Administrator sistema BISTrezor dodeljuje korisniku sistema BISTrezor inicijalnu lozinku, koju je dužan da promeni.
Lozinka treba da sadrži velika i mala slova i cifre. Lozinka ne treba da sadrži prepoznatljive podatke o korisniku sistema BISTrezor (npr. u vidu imena, prezimena, datuma rođenja).
Korisnik sistema BISTrezor, kome je dodeljen korisnički nalog, dužan je da ga čuva u najstrožoj tajnosti, tako da ga samo on zna. Ako korisnik sistema BISTrezor posumnja da je drugo lice otkrilo njegovu lozinku, dužan je da tu lozinku odmah izmeni. Neovlašćeno ustupanje korisničkog naloga drugom licu podleže disciplinskoj odgovornosti.
Sistem BISTrezor periodično, a najmanje četiri puta godišnje, od korisnika sistema BISTrezor zahteva da promeni svoju lozinku.
Predviđanje odgovarajuće upotrebe kriptozaštite radi zaštite tajnosti, autentičnosti odnosno integriteta podataka
Pristup resursima sistema BISTrezor ne zahteva posebnu kriptozaštitu.
Korisnici sistema BISTrezor mogu da koriste svoje kvalifikovane elektronske sertifikate za elektronsko potpisivanje dokumenata. Takvi dokumenti mogu biti sastavni deo podataka koji se obrađuju u sistemu BISTrezor.
Za instalaciju potrebnog softvera i hardvera za korišćenje ličnih elektronskih sertifikata na korisničkim radnim stanicama zadužena je Uprava za zajedničke poslove pokrajinskih organa.
Korisnici sistema BISTrezor dužni su da čuvaju svoje elektronske sertifikate kako ne bi dospeli u posed drugih lica.
Fizička zaštita objekata, prostora, prostorija odnosno zona u kojima se nalaze sredstva i dokumenti sistema BISTrezor i obrađuju podaci u sistemu
Sektor je dužan da preduzme mere radi sprečavanja neovlašćenog fizičkog pristupa sistem-sali u kojoj se nalaze sredstva i dokumenti sistema BISTrezor, kao i sprečavanja oštećenja i ometanja informacija i opreme za obradu informacija.
Zona razdvajanja i uspostavljanje sistema fizičke bezbednosti
Oprema za obradu informacija štiti se zaključavanjem prostorija u kojima se nalazi.
Prostor u kojem se nalazi oprema sistema BISTrezor obezbeđuje se mehaničkom bravom i magnetnom karticom.
Zaštita kancelarija, prostorija, sredstava, kao i zaštita od pretnji eksternih faktora iz okruženja
Uprava za zajedničke poslove pokrajinskih organa prostor u kome se nalazi oprema sistema BISTrezor obezbeđuje od požara i drugih elementarnih nepogoda.
Sistem-sala je prostor u kome se nalaze serveri, mrežna ili komunikaciona oprema sistema i predstavlja bezbednosnu zonu.
Prostor je obezbeđen od požara i drugih elementarnih nepogoda i u njemu je odgovarajuća temperatura (klimatizovan prostor).
Bezbedna zona podleže sledećim merama zaštite:
• rukovodilac Sektora ili načelnik Odeljenja mora biti obavešten o postojanju i aktivnostima unutar bezbedne zone;
• zabranjen je rad bez nadzora;
• bezbedna zona je fizički zaključana;
• ne dozvoljava se unošenje fotografskih, video-uređaja i audio-urađaja ili drugih uređaja za zapisivanje, osim uz prethodno odobrenje rukovodioca Sektora ili načelnika Odeljenja.
Zaštita od gubitka, oštećenja, krađe ili drugog oblika ugrožavanja bezbednosti sredstava koja čine sistem BISTrezor
Postavljanje i zaštita opreme
Oprema se postavlja i štiti tako da se smanjuje rizik od pretnji i opasnosti iz okruženja, kao i mogućnosti za neovlašćeni pristup.
Rukovodilac Sektora i načelnik Odeljenja redovno prate uslove okoline (kao što su temperatura i vlažnost), koji bi mogli negativno da utiču na rad opreme za obradu informacija.
Oprema se štiti od prekida napajanja, tako što se:
• pomoćna oprema za napajanje održava u skladu sa specifikacijama opreme proizvođača i propisima;
• kapacitet pomoćne opreme redovno procenjuje;
• redovno pregleda i ispituje u pogledu pravilnog funkcionisanja i popravljaju kvarovi;
• obezbeđuje višestruko napajanje s različitih trasa; serveri su neprekidno priključeni na SMART uređaje za neprekidno napajanje i na agregatsku električnu mrežu.
Bezbednosni elementi prilikom postavljanja kablova
Uprava za zajedničke poslove pokrajinskih organa stara se o bezbednosti prilikom postavljanja aktivne i pasivne mrežne opreme.
Kako bi se osigurala neprekidna raspoloživost i nepovredivost opreme, održava se na sledeći način:
• popravke i servisiranje opreme obavlja samo osoblje ovlašćeno za održavanje;
• o svim sumnjivim ili stvarnim neispravnostima, kao i o celokupnom preventivnom i korektivnom održavanju čuvaju se zapisi;
• osetljive informacije se brišu iz opreme;
• nakon održavanja, pre vraćanja u rad, oprema se pregleda, kako bi se utvrdilo da nije neovlašćeno korišćena ili oštećena.
Izmeštanje i premeštanje imovine
Oprema, informacije ili softver izmeštaju se samo uz odobrenje rukovodioca Sektora i načelnika Odeljenja, a tokom izmeštanja, primenjuju se sledeća pravila:
• za izmeštanje opreme postavljaju se vremenska ograničenja i proverava se usklađenost prilikom povratka;
• zahtevom za izmeštanje opreme iz sistem-sale, dokumentuju se identitet i uloga lica koja koriste ili koja postupaju sa imovinom prilikom premeštanja i ta dokumentacija treba da bude vraćena sa opremom, informacijama ili softverom.
Bezbednost izmeštene opreme i imovine
Iznošenje opreme radi selidbe, servisiranja, kapitalnog održavanja prostorije i slično, sprovodi se na osnovu zahteva načelnika Odeljenja za izmeštanje opreme iz sistem-sale, koji odobri rukovodilac Sektora. Zahtev sadrži spisak opreme koja se iznosi, uslove pod kojima se iznosi, način iznošenja i mesto njenog privremenog ili trajnog smeštanja.
Oprema iz prostorije se izuzetno, u slučaju opasnosti od požara, vremenskih nepogoda i slično, može izneti i bez odobrenja rukovodioca Sektora.
Prilikom iznošenja opreme radi servisiranja, sačinjava se zapisnik koji sadrži naziv i tip opreme, serijski broj, naziv servisera, ime i prezime ovlašćenog lica servisera.
Ugovorom sa serviserom će biti definisane obaveze zaštite podataka koji se nalaze na medijima koji su deo sistema BISTrezor resursa Sekretarijata.
Bezbedno rashodovanje ili ponovno korišćenje opreme
Svi delovi opreme koji sadrže medijume za čuvanje podataka se pregledaju, da bi se svi osetljivi podaci i licencirani softveri obrisali pre rashodovanja ili ponovnog korišćenja.
Bezbednost opreme korisnika bez nadzora
Korisnici sistema BISTrezor treba da osiguraju da oprema i softver, kada su bez nadzora, imaju odgovarajuću zaštitu, radi onemogućavanja pristupa zaštićenim informacijama i podacima.
Ostavljanje osetljivih i poverljivih dokumenata i materijala
Sva osetljiva i poverljiva dokumenta i svi materijali moraju da budu uklonjeni s radne površine i odloženi na odgovarajuće mesto koje se zaključava, u periodu kada korisnik sistema BISTrezor nije prisutan na svom radnom mestu ili kada se dokumenta i materijali ne koriste.
Obezbeđivanje ispravnog i bezbednog funkcionisanja sredstava za obradu podataka
Radi obezbeđivanja ispravnog i bezbednog funkcionisanja sredstava za obradu podataka, definišu se procedure za rukovanje sredstvima, koje se odnose na otpočinjanje i završetak pristupa informacionom sistemu BISTrezor, pravljenje rezervnih kopija, održavanje opreme, rukovanje nosačima podataka, kontrolu pristupa u prostorije sa serverskom infrastrukturom, komunikacionom opremom i sistemima za skladištenje podataka, kao i u slučajevima izmeštanja delova IKT sistema.
Sekretarijat usvaja procedure koje sadrže instrukcije za detaljno izvršenje poslova u okviru Sektora.
Upravljanje raspoloživim kapacitetima
Korišćenje resursa se kontinuirano nadgleda, podešava i projektuje - u skladu sa zahtevanim kapacitetima, kako bi se osigurale neophodne performanse sistema. Periodično se sprovode sleće aktivnosti:
a) brisanje zastarelih podataka;
b) povlačenje iz upotrebe aplikacija, sistema, baza podataka ili okruženja;
v) optimizacija serije procesa i rasporeda.
Razdvajanje okruženja za razvoj, ispitivanje i rad
Okruženja za razvoj, ispitivanje i rad su međusobno razdvojena, kako bi se smanjio rizik od neovlašćenog pristupa ili promena u radnom okruženju.
Za obezbeđivanje ispravnog i bezbednog funkcionisanja sredstava za obradu podataka i primenu radnih procedura zadužen je rukovodilac Sektora.
Zaštita podataka i sredstava za obradu podataka od zlonamernog softvera
Uprava za zajedničke poslove pokrajinskih organa zadužena je za zaštitu opreme i softvera od zlonamernih napada koji imaju nameru da otežaju rad ili oštete neki umrežen ili neumrežen računar.
Zaposleni u Sektoru i drugi korisnici mreže, putem koje funkcioniše sistem BISTrezor, dužni su da svaku informaciju o narušavanju bezbednosti prijave na sledeći imejl informaciona. bezbednost@vojvodina.gov.rs u skladu sa aktima kojima je ovu oblast regulisala Uprava za zajedničke poslove pokrajinskih organa.
Postupak kontrole i preduzimanje mera protiv zlonamernog softvera
Sektor određuje i primenjuje kontrole otkrivanja, sprečavanja i oporavka sistema BISTrezor, radi zaštite od zlonamernog softvera.
U slučaju da korisnik sistema BISTrezor primeti neobično ponašanje računara, odnosno nepravilnosti u radu sistema BISTrezor, zapažanje treba bez odlaganja da prijavi na sledeći imejl cert.bistrezor@vojvodina.gov.rs
Sektor izrađuje rezervne kopije koje obuhvataju sistemske informacije, aplikacije i podatke koji su neophodni za oporavak celokupog sistema BISTrezor, u slučaju nastupanja posledica izazvanih vanrednim okolnostima u skladu s procedurom "Backup podataka sistema BISTrezor".
Rezervne kopije informacija i podataka
Rezervne kopije informacija, softvera i duplikati sistema BISTrezor redovno se izrađuju i ispituju.
Zaštitne kopije korisnicima obezbeđuju korisničke podatke, funkcionalnost servisa i aplikacija nakon uništenja ili oštećenja koja su nastala usled hakerskih napada, otkaza hardvera, grešaka korisnika sistema BISTrezor, prirodnih katastrofa i drugih nesreća.
Pod zaštitnim kopijama podrazumeva se pravljenje rezervnih kopija aplikacija, kao i izvorni kodovi i baze podataka sistema BISTrezor.
Zaštitne kopije omogućavaju brzo i efikasno vraćanje u funkciju sistema BISTrezor u slučaju neželjenih događaja i treba ih praviti u vreme kada se ne umanjuje raspoloživost servisa, aplikacija i baza podataka.
Za čuvanje zaštitnih kopija koriste se eksterni i interni hardiskovi i USB (Iron key), Sektor izvršava sledeće zadatke:
• procenjuje osetljive i kritične podatke za koje je potrebno praviti rezervne kopije;
• kreira plan pravljenja rezervnih kopija;
• pravi zaštitne kopije serverskog operativnog sistema i podataka, konfiguracionih fajlova, aplikacija, servisa i baza podataka;
• vodi evidenciju urađenih rezervnih kopija;
• odlaže kopije na bezbedno mesto;
• testira ispravnost rezervnih kopija i procedure za pravljenje zaštitnih kopija;
• restaurira podatke s rezervnih kopija.
Za zaštitu od gubitka podataka odgovoran je rukovodilac Sektora.
Čuvanje podataka o događajima koji mogu biti od značaja za bezbednost sistema BISTrezor
U sistemu BISTrezor formiraju se se zapisi o događajima (logovi) u vezi sa aktivnostima korisnika i sa informacionom bezbednošću.
Sektor pravi zapise o događajima i beleži aktivnosti korisnika sistema BISTrezor, greške i događaje u vezi s bezbednošću informacija, koji se moraju čuvati i redovno preispitivati.
Zapisi o događajima sadrže:
• identifikatore korisnika sistema BISTrezor;
• datume, vreme i detalje ključnih događaja (npr. prijavljivanja i odjavljivanja);
• identitet računara;
• zapise o uspešnim i odbijenim pokušajima pristupa sistemu;
• mrežne adrese.
Zaštita informacija u zapisima
Sredstva za zapisivanje i zapisane informacije zaštićeni su od neovlašćenog menjanja i pristupa.
Zabranjeno je neovlašćeno unošenje sledećih izmena:
• menjanje tipova poruka koje se zapisuju;
• unošenje izmena u datoteke sa zapisima ili njihovo brisanje;
• prepunjavanje medijuma za zapise, što dovodi do otkaza zapisivanja događaja ili upisivanja preko već ranije zapisanog.
Zapisi administratora i operatora
Administratori sistema BISTrezor mogu da upravljaju zapisima na opremi za obradu informacija koje su pod njihovom direktnom kontrolom. Aktivnosti administratora i operatora sistema se zapisuju, a zapisi štite i redovno preispituju.
Satovi svih odgovarajućih sistema za obradu informacija zaštite moraju biti sinhronizovani po griničkom srednjem vremenu.
Za čuvanje podataka o događajima koji mogu biti od značaja za bezbednost IKT sistema zadužen je Interni CERT.
Zaštita od zloupotrebe tehničkih bezbednosnih slabosti sistema BISTrezor
Interni CERT analizira sistem BISTrezor i utvrđuje stepen izloženosti sistema BISTrezor potencijalnim bezbednosnim slabostima, te preduzima odgovarajuće mere u pogledu uklanjanja prepoznatih slabosti i primenu mera zaštite.
Upravljanje tehničkim ranjivostima
Interni CERT blagovremeno prikuplja informacije o tehničkim ranjivostima informacionog sistema BISTrezor, vrednuje izloženost tim ranjivostima i preduzima odgovarajuće mere, imajući u vidu pripadajuće rizike.
Posebne informacije koje su potrebne za podršku upravljanja tehničkim ranjivostima obuhvataju prodavca softvera, brojeve verzija, tekuće stanje razmeštaja, kao i osobe koje su odgovorne za taj softver.
Ukoliko se identifikuju ranjivosti koje mogu da ugroze bezbednost IKT sistema, Interni CERT je dužan da odmah predloži podešavanja ili instalaciju dodatnog softvera koji će otkloniti uočene ranjivosti. Prvo se uzimaju u razmatranje sistemi s visokim rizikom.
Ograničenja u pogledu instalacije softvera
Zabranjeno je instaliranje softvera na uređajima koji mogu dovesti do izloženosti sistema BISTrezor bezbednosnim slabostima.
Procedurom "Instalacija outsource programa (komercijalnih programa)" detaljnije je definisano koje vrste softvera administrator sme da instalira, a koje su zabranjene u smislu bezbednosti sistema BISTrezor.
Obezbeđivanje da aktivnosti na reviziji sistema BISTrezor imaju što manji uticaj na funkcionisanje sistema
Prilikom sprovođenja revizije sistema BISTrezor, Sektor obezbeđuje da revizija ima što manji uticaj na funkcionisanje sistema BISTrezor.
Reviziju IKT sistema može da planira samo Interni CERT, zajedno s rukovodiocem Sektora i načelnikom Odeljenja.
Zaštita podataka u komunikacionim mrežama, uključujući uređaje i vodove
Zaštitu podataka u komunikacionim mrežama, uređajima i vodovima od neovlašćenog pristupa kontroliše i sprovodi Uprava za zajedničke poslove pokrajinskih organa.
Bezbednost podataka koji se prenose unutar operatora IKT sistema, kao i između operatora IKT sistema i lica van operatora IKT sistema
Zaštitu podataka koji se prenose komunikacionim sredstvima unutar Sekretarijata, kao i između Sekretarijata i direktnih budžetskih korisnika, sprovodi Uprava za zajedničke poslove pokrajinskih organa.
Sporazumi o prenosu informacija iz sistema BISTrezor
Bezbedan prenos poslovnih informacija iz sistema BISTrezor između Sekretarijata i trećeg lica obezbeđuje se poštovanjem sporazuma o prenosu informacija.
Sporazum o prenosu informacija treba da sadrži:
1) odgovornosti za kontrolu i izveštavanje o prenosu, otpremi i prijemu;
2) procedure za obezbeđenje sledljivosti i neporecivosti;
3) minimalne tehničke standarde za pakovanje i prenos;
4) definisanje i identifikovanje kurira;
5) obaveze i odgovornosti u slučaju incidenata narušavanja bezbednosti informacija, kao što je gubitak podataka;
6) održavanje lanca nadzora za informacije u toku prenosa.
O bezbednosti i verodostojnosti elektronskih poruka stara se Uprava za zajedničke poslove pokrajinskih organa.
Sporazumi o poverljivosti ili neotkrivanju
Rešenjem o određivanju lica za pristup posebno osetljivim podacima i informacijama u sistemu BISTrezor definisani su poverljivost i zaštita informacije o sistemu BISTrezor i obavezuju potpisnike da informacije štite, koriste i objavljuju ih na odgovoran i autorizovan način.
Pitanja informacione bezbednosti u okviru upravljanja svim fazama životnog ciklusa sistema odnosno delova sistema BISTrezor
Obezbeđivanje aplikativnih usluga u javnim mrežama
Uprava za zajedničke poslove pokrajinskih organa zadužena je da obezbeđuje mrežu i štiti informacije obuhvaćene aplikativnim uslugama, koje prolaze kroz javne mreže, od malverzacija, neovlašćenog otkrivanja podataka i modifikovanja. Identitet korisnika i ovlašćenja za rad proverava sistem BISTrezor.
Prevencija i reagovanje na bezbednosne incidente, što podrazumeva adekvatnu razmenu informacija o bezbednosnim slabostima sistema BISTrezor incidentima i pretnjama
Odgovornost pojedinaca i postupak odgovora na incidente
Posebnim procedurama uređuje se način odgovora na incidente narušavanja bezbednosti informacija sistema BISTrezor i određuje se osoba za kontakt u slučajevima narušavanja bezbednosti, kao i za kontakte s Nacionalnim CERT-om.
Sekretarijat osniva Interni CERT čiji je zadatak da - zajedno sa Sektorom - pridržavajući se procedura, planira, detektuje, analizira i da informiše nadležne u toku i nakon incidenta.
Interni CERT treba da poseduje odgovarajuća tehnička znanja kako bi na najbrži i odgovarajući način mogao da odgovori na bezbednosne incidente.
Radi prevencije, Interni CERT treba da obezbedi više (različitih i drugačijih) mehanizama za komunikaciju i koordinaciju u slučaju narušavanja bezbednosti.
U slučaju bilo kakvog incidenta koji može da ugrozi bezbednost resursa sistema BISTrezor, korisnik sistema BISTrezor dužan je da odmah o tome obavesti nadležne putem imejla cert.bistrezor@vojvodina.gov.rs
Izveštavanje o događajima u vezi sa bezbednošću informacija
Svi korisnici sistema BISTrezor moraju biti upoznati sa obavezom i s procedurom izveštavanja o događajima u vezi s bezbednošću informacija.
Interni CERT dužan je da pripremi plan za obezbeđenje kontinuiteta rada sistema BISTrezor.
Rukovodilac Sektora daje plan na usvajanje rukovodiocu Sekretarijata.
U slučaju pogrešnog funkcionisanja ili drugih anomalijskih ponašanja sistema BISTrezor, izveštava se isto kao i u slučaju događaja u vezi s bezbednošću informacija.
Kada je identifikovan incident, korisnik sistema BISTrezor dužan je da odmah obustavi rad i da obavesti Inertni CERT, radi zaštite resursa IKT sistema.
Interni CERT vodi evidenciju o svim incidentima, kao i o prijavama incidenata, u skladu sa aktima na osnovu kojih se protiv odgovornih lica mogu da vode disciplinski, prekršajni ili krivični postupci.
Izveštavanje o utvrđenim slabostima sistema zaštite
Korisnici sistema BISTrezor su u obavezi da izveštavaju Interni CERT o uočenim i utvrđenim slabostima IKT sistema, u što kraćem roku, kako bi se sprečili incidenti narušavanja bezbednosti informacija, kao i nastanak štete.
Događaji u vezi s bezbednošću informacija se ocenjuju i - u skladu s tim - donosi se odluka da li je potrebno da se klasifikuju kao incidenti narušavanja bezbednosti informacija.
Rukovodilac Sekretarijata će posebnim aktom urediti način postupanja članova Internog CERT-a i zaposlenih u Sektoru u slučaju incidenta u sistemu BISTrezor.
Odgovor na incidente narušavanja bezbednosti informacija
Sekretarijat je u obavezi da usvoji plan za obezbeđenje kontinuiteta rada sistema BISTrezor.
Prikupljeno znanje iz analize i rešavanja incidenata koji su narušili bezbednost informacija, Sekretarijat koristi da bi se identifikovali incidenti koji se ponavljaju, te da bi se smanjila verovatnoća ponavljanja i uticaj budućih incidenata.
Na predlog Sektora, Sekretarijat definiše i primenjuje procedure za identifikaciju, sakupljanje i čuvanje informacija koje mogu da služe kao dokaz u slučaju sprovođenja postupka za utvrđivanje odgovornosti zaposlenih u Sektoru i korisnika sistema BISTrezor u slučaju incidenta kojim se narušavaju bezbednost i funkcionisanje sistema BISTrezor.
Mere koje obezbeđuju kontinuitet obavljanja posla u vanrednim okolnostima
Sektor primenjuje mere koje obezbeđuju kontinuitet obavljanja posla u vanrednim okolnostima, kako bi sistem BISTrezor u što kraćem roku bio u funkcionalnom stanju.
Planiranje kontinuiteta mera bezbednosti informacija
Na predlog Sektora, Sekretarijat donosi plan za obezbeđenje kontinuiteta rada sistema BISTrezor.
Implementacija kontinuiteta bezbednosti informacija
Da bi se osigurao potreban nivo kontinuiteta bezbednosti informacija sistema BISTrezor tokom vanrednih situacija, Interni CERT primenjuje procedure i kontrole opisane u planu za obezbeđenje kontinuiteta rada sistema BISTrezor.
Interni CERT redovno vrši proveru usvojenih procedura kontrole kontinuiteta bezbednosti informacija sistema BISTrezor, kako bi one bile važeće i efektivne tokom vanrednih situacija.
Provera se vrši vežbanjem i ispitivanjem znanja i rutine prilikom rukovanja procesima, procedurama i kontrolama, kao i preispitivanjem efektivnosti mera bezbednosti informacija u slučaju promene vrste i broja servera i tipa baze podataka, procesa, procedure i kontrole bezbednosti informacija.
Korisnik sistema BISTrezor ne može zahtevati pristup informacijama koje mu nisu potrebne za obavljanje poslova, a informacije koje su mu dostupne dužan je da koristi na propisani način.
Korisnik sistema BISTrezor ne sme da neovlašćeno saopštava informacije do kojih je došao u obavljanju svojih poslova.
Pri obavljanju privatnih poslova, korisnik sistema BISTrezor ne sme da koristi informacije iz sistema BISTrezor, koje su mu službeno dostupne radi sticanja pogodnosti za sebe ili s njim povezana lica.
Radi zaštite privatnosti, korisnik sistema BISTrezor ne sme da iznosi lične podatke iz evidencija koje se u sistemu BISTrezor vode o drugom zaposlenom, osim u zakonom predviđenim slučajevima.
III PRELAZNE I ZAVRŠNE ODREDBE
Obaveza Sektora jeste da najmanje jednom godišnje sprovede proveru bezbednosti sistema BISTrezor.
Provera može da se sprovede samostalno ili uz angažovanje spoljnih eksperata. Proverom se ocenjuju adekvatnost nivoa informacione bezbednosti putem provere mera zaštite, procedura i odgovornosti utvrđenih ovim pravilnikom.
Sektor je dužan da sastavi izveštaj o izvršenoj proveri i da ga dostavi rukovodiocu Sekretarijata. Na osnovu izveštaja, Sektor može rukovodiocu Sekretarijata da dâ predlog o izmeni ovog pravilnika.
Ovaj pravilnik stupa na snagu osmog dana od dana objavljivanja u "Službenom listu AP Vojvodine".