PRAVILNIKO BEZBEDNOSTI INFORMACIONO-KOMUNIKACIONOG SISTEMA ORGANA GRADA NOVOG SADA("Sl. list Grada Novog Sada", br. 26/2021) |
Ovim pravilnikom uređuju se mere zaštite, principi, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti sistema, kao i ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima informaciono-komunikacionog sistema organa Grada Novog Sada (u daljem tekstu: IKT sistem organa Grada), koji je deo Opšteg informacionog sistema Grada Novog Sada.
Cilj donošenja ovog pravilnika je:
- određivanje načina i procedura za postizanje i održavanje adekvatnog nivoa bezbednosti IKT sistema organa Grada;
- sprečavanje i ublažavanje posledica incidenata kojima se ugrožava ili narušava informaciona bezbednost;
- podizanje svesti kod zaposlenih o značaju informacione bezbednosti, rizicima i merama zaštite prilikom korišćenja IKT sistema organa Grada;
- propisivanje ovlašćenja i odgovornosti zaposlenih u vezi sa bezbednošću i resursima IKT sistema organa Grada;
- sveukupno unapređenje informacione bezbednosti i provera usklađenosti primene mera zaštite.
Mere propisane ovim pravilnikom odnose se na zaposlena, izabrana i postavljena lica u organima Grada Novog Sada, Službi Skupštine Grada Novog Sada, Službi izvršnih organa Grada Novog Sada, Pravobranilaštvu Grada Novog Sada, Lokalnom ombudsmanu Grada Novog Sada, Službi za budžetsku inspekciju Grada Novog Sada, Službi za internu reviziju Grada Novog Sada, i na druga lica koja u radu koriste IKT sistem organa Grada (u daljem tekstu: Korisnici).
Pojedini termini u smislu ovog pravilnika imaju sledeće značenje:
1) IKT sistem organa Grada je tehnološko-organizaciona celina koja obuhvata:
- elektronske komunikacione mreže u smislu zakona koji uređuje elektronske komunikacije;
- uređaje ili grupe međusobno povezanih uređaja, takvih da se u okviru uređaja, odnosno u okviru barem jednog iz grupe uređaja, vrši automatska obrada podataka korišćenjem računarskog programa;
- podatke koji se vode, čuvaju, obrađuju, pretražuju ili prenose pomoću sredstava iz alineje 1. i 2. ove tačke, a u svrhu njihovog rada, upotrebe, zaštite ili održavanja;
- organizacionu strukturu putem koje se upravlja IKT sistemom organa Grada;
2) operator IKT sistema organa Grada je svaka organizaciona jedinica koja u okviru obavljanja poslova iz svoje nadležnosti koristi IKT sistem organa Grada;
3) informaciona dobra su svi resursi IKT sistema organa Grada koji sadrže programski kôd, konfiguraciju hardverskih komponenata, tehničku i korisničku dokumentaciju, poslovne informacije, odnosno svi resursi putem kojih se vrši izrada, obrada, čuvanje, prenos, brisanje i uništavanje podataka u IKT sistemu organa Grada, uključujući sve elektronske zapise, računarsku opremu, mobilne uređaje, baze podataka, poslovne aplikacije i slično;
4) nadležni subjekt IKT sistema organa Grada je Služba za zajedničke poslove Grada Novog Sada (u daljem tekstu: Služba).
5) informaciona bezbednost predstavlja skup mera koje omogućavaju da podaci kojima se rukuje putem IKT sistema organa Grada budu zaštićeni od neovlašćenog pristupa, kao i da se zaštiti integritet, raspoloživost, autentičnost i neporecivost tih podataka, da bi sistem funkcionisao kako je predviđeno, kada je predviđeno i pod kontrolom ovlašćenih lica;
6) tajnost je svojstvo koje znači da podatak nije dostupan neovlašćenim licima;
7) integritet znači očuvanost izvornog sadržaja i kompletnosti podatka;
8) raspoloživost je svojstvo koje znači da je podatak dostupan i upotrebljiv na zahtev ovlašćenih lica onda kada im je potreban;
9) autentičnost je svojstvo koje znači da je moguće proveriti i potvrditi da je podatak stvorio ili poslao onaj za koga je deklarisano da je tu radnju izvršio;
10) neporecivost predstavlja sposobnost dokazivanja da se dogodila određena radnja ili da je nastupio određeni događaj, tako da ga naknadno nije moguće poreći;
11) rizik znači mogućnost narušavanja informacione bezbednosti, odnosno mogućnost narušavanja tajnosti, integriteta, raspoloživosti, autentičnosti ili neporecivosti podataka ili narušavanja ispravnog funkcionisanja IKT sistema organa Grada;
12) upravljanje rizikom je sistematičan skup mera koji uključuje planiranje, organizovanje i usmeravanje aktivnosti kako bi se obezbedilo da rizici ostanu u propisanim i prihvatljivim okvirima;
13) incident je unutrašnja ili spoljna okolnost ili događaj kojim se ugrožava ili narušava informaciona bezbednost;
14) mere zaštite IKT sistema organa Grada su tehničke i organizacione mere za upravljanje bezbednosnim rizicima IKT sistema organa Grada;
15) tajni podatak je podatak koji je, u skladu sa propisima o tajnosti podataka, određen i označen određenim stepenom tajnosti;
16) IKT sistem organa Grada za rad sa tajnim podacima je deo IKT sistem organa Grada koji je u skladu sa zakonom određen za rad sa tajnim podacima;
17) kriptozaštita je primena metoda, mera i postupaka radi transformisanja podataka u oblik koji ih za određeno vreme ili trajno čini nedostupnim neovlašćenim licima;
18) VPN (Virtual Private Network) je "privatna" komunikaciona mreža koja omogućava Korisnicima na razdvojenim lokacijama da preko javne mreže jednostavno održavaju zaštićenu komunikaciju;
19) MAC adresa (Media Access Control Address) predstavlja jedinstven broj kojim se vrši identifikacija uređaja na mreži;
20) backup predstavlja izradu rezervne kopije podataka;
21) download predstavlja transfer podataka sa centralnog računara ili veb prezentacije na lokalni računar;
22) freeware je besplatan softver;
23) opensource predstavlja softver otvorenog koda;
24) firewall predstavlja "zaštitni zid" odnosno sistem preko koga se vrši nadzor i kontroliše protok informacija između lokalne mreže i interneta u cilju onemogućavanja zlonamernih aktivnosti;
25) USB ili fleš memorija je spoljašnji medijum za skladištenje podataka;
26) CD-ROM (Compact disk read only memory) se koristi kao medijum za snimanje podataka;
27) DVD je optički disk visokog kapaciteta koji se koristi kao medijum za skladištenje podataka.
Merama zaštite IKT sistema organa Grada obezbeđuje se prevencija od nastanka incidenata, odnosno prevencija i smanjenje štete od incidenata koji ugrožavaju vršenje nadležnosti i obavljanje delatnosti.
Korisnik IKT sistema organa Grada odgovoran je za bezbednost resursa IKT sistema organa Grada koje koristi radi obavljanja poslova iz svoje nadležnosti.
IKT sistem organa Grada predstavlja sastavni deo Opšteg informacionog sistema Grada Novog Sada.
Izgradnju i održavanje Opšteg informacionog sistema Grada Novog Sada obavlja JKP "Informatika" Novi Sad (u daljem tekstu: JKP "Informatika").
Za obavljanje poslova koji se odnose na razvoj, unapređenje i funkcionisanje IKT sistema organa Grada, zaštitu podataka, primenu standarda u uvođenju informacionih tehnologija i primenu i korišćenje interneta, zadužena je Služba.
Pod poslovima iz oblasti bezbednosti utvrđuju se:
- poslovi zaštite informacionih dobara, odnosno sredstava imovine za nadzor nad poslovnim procesima od značaja za informacionu bezbednost,
- poslovi upravljanja rizicima u oblasti informacione bezbednosti, kao i poslovi predviđeni procedurama u oblasti informacione bezbednosti,
- poslovi onemogućavanja, odnosno sprečavanja neovlašćene ili nenamerne izmene, oštećenja ili zloupotrebe sredstava, odnosno informacionih dobara IKT sistema organa Grada, kao i pristup, izmene ili korišćenje sredstava bez ovlašćenja i bez evidencije o tome,
- praćenje aktivnosti, revizije i nadzora u okviru upravljanja informacionom bezbednošću,
- obaveštavanje nadležnih organa o incidentima u IKT sistemu organa Grada, u skladu sa propisima.
U slučaju nastanka bezbedonosnog incidenta, ovlašćeno lice Službe obaveštava rukovodioca Službe i nadležne organe u skladu sa zakonom.
Korisnici, putem mobilnih uređaja, mogu da pristupe samo onim delovima računarske mreže koji su konfigurisani na način da omogućavaju pristup internetu, ali ne i delovima računarske mreže kroz koju se obavlja službena komunikacija.
Korisnici resursa IKT sistema organa Grada, putem mobilnih uređaja, koji su u vlasništvu Grada Novog Sada, a koji su podešeni od strane ovlašćenih lica iz Službe ili iz JKP "Informatika", mogu da pristupaju samo onim delovima IKT sistema organa Grada koji im omogućavaju obavljanje radnih zadataka u okviru svoje nadležnosti.
Mobilni uređaji moraju biti podešeni na način da omoguće siguran i bezbedan pristup korišćenjem VPN mreže IKT sistema organa Grada, da se nalaze na listi MAC adresa uređaja sa kojih je dozvoljen pristup, uz aktiviran odgovarajući antivirusni softver.
Pristup resursima IKT sistema organa Grada sa udaljenih lokacija, od strane Korisnika, u cilju obavljanja radnih zadataka, omogućen je putem zaštićene VPN internet konekcije.
Korisniku je zabranjena samostalna instalacija softvera i podešavanje mobilnog uređaja, kao i davanje uređaja drugim neovlašćenim licima (na uslugu, servisiranje i sl.).
Služba u saradnji sa ovlašćenim licima JKP "Informatika" vrši kontrolu pristupa resursima IKT sistema organa Grada.
Ukoliko se ustanovi neovlašćen pristup IKT sistemu organa Grada, o tome se usmeno i putem elektronske pošte odmah, a najkasnije sutradan, obaveštava šef Službe.
MAC adresa sa koje je izvršen neovlašćen pristup, unosi se u "blok" listu softvera koji se koristi za kontrolu pristupa.
Pristup resursima IKT sistema organa Grada sa privatnog uređaja nije dozvoljen, osim ako je uređaj u vlasništvu Grada Novog Sada oštećen, a nije obezbeđena zamena.
Evidenciju privatnih uređaja sa kojih će biti omogućen pristup resursima IKT sistema organa Grada, vodi ovlašćeno lice Službe u saradnji sa ovlašćenim licima JKP "Informatika".
IKT sistemom organa Grada upravljaju zaposleni u Službi, u skladu sa opisom poslova utvrđenih aktom o organizaciji i sistematizaciji radnih mesta.
Služba je dužna da novog Korisnika upozna sa odgovornostima i pravilima korišćenja resursa IKT sistema organa Grada, kao i da vodi evidenciju o izjavama Korisnika da su upoznati sa pravilima korišćenja resursa IKT sistema organa Grada.
Svako korišćenje resursa IKT sistema organa Grada od strane Korisnika, van dodeljenih ovlašćenja, podleže disciplinskoj odgovornosti Korisnika kojom se definiše odgovornost za neovlašćeno korišćenje imovine.
Zahtev za dodelu prava korišćenja IKT sistema organa Grada mora biti u pisanoj formi, potpisan od strane rukovodioca Korisnika i overen pečatom.
U slučaju promene radnog mesta, odnosno nadležnosti Korisnika, Služba će izvršiti dodelu prava korišćenja IKT sistema organa Grada, u skladu sa zahtevom nadležnog rukovodioca.
U slučaju prestanka radnog odnosa ili radnog angažovanja Korisnika, kao i promene radnog mesta Korisnika, nadležni rukovodilac je dužan da o tome pisanim putem obavesti Službu.
U slučaju iz stava 1. ovog člana, Služba ukida korisnički nalog.
U slučaju iz stava 1. ovog člana, Korisnik je u obavezi da ne otkriva podatke koji su od značaja za informacionu bezbednost IKT sistema organa Grada.
Informaciona dobra organa Grada Novog Sada (u daljem tekstu: organ Grada) čine svi resursi koji sadrže poslovne informacije, odnosno putem kojih se vrši izrada, obrada, čuvanje, prenos, brisanje i uništavanje podataka u IKT sistemu organa Grada, uključujući sve elektronske zapise, računarsku opremu, mobilne uređaje, baze podataka, poslovne aplikacije, konfiguraciju hardverskih komponenata i tehničku i korisničku dokumentaciju.
Evidenciju o informacionim dobrima organa Grada vodi Služba, u papirnoj i elektronskoj formi.
Predmet zaštite IKT sistema organa Grada su:
- hardverske i softverske komponente IKT sistema organa Grada,
- podaci koji se obrađuju ili čuvaju na komponentama IKT sistema organa Grada,
- korisnički nalozi i drugi podaci o Korisnicima informatičkih resursa IKT sistema organa Grada,
- podaci o hardverskim i softverskim komponentama IKT sistema organa Grada,
- razvojni i idejni projekti IKT sistema organa Grada,
- administrativna zona.
Podaci koji se nalaze u IKT sistemu organa Grada predstavljaju tajni podatak koji je, u skladu sa propisima kojima se uređuje tajnost podataka, određen ili označen određenim stepenom tajnosti.
Podaci koji se označe kao tajni, moraju biti zaštićeni u skladu sa propisima kojima se uređuju posebne mere zaštite tajnih podataka u informaciono-telekomunikacionim sistemima.
Služba će, u saradnji sa ovlašćenim licima JKP "Informatika" uspostaviti organizaciju pristupa i rada sa podacima, koji budu označeni stepenom tajnosti u skladu sa zakonom i drugim propisima kojima se uređuje tajnost podataka, tako da:
- podaci i dokumenta mogu da se snime (arhiviraju, zapišu) na serveru na kome se snimaju podaci, u folderu nad kojim će pravo pristupa imati samo ovlašćeni Korisnici;
- podaci i dokumenta mogu da se snime na druge nosače podataka (eksterni hard disk, USB, CD-ROM, DVD) samo od strane ovlašćenih Korisnika.
Evidenciju nosača podataka na kojima su snimljeni podaci sa oznakom tajnosti, vode ovlašćeni Korisnici.
Nosači podataka na kojima se nalaze dokumenti sa oznakom tajnosti moraju biti propisno obeleženi i odloženi na mesto na kome će biti zaštićeni od neovlašćenog pristupa.
U slučaju transporta nosača sa podacima sa oznakom tajnosti, nadležni rukovodilac ovlašćenog Korisnika će odrediti odgovornu osobu i način transporta.
Prilikom brisanja podataka sa oznakom tajnosti sa nosača podataka na kojima su isti čuvani, podaci moraju biti nepovratno obrisani, a ako to nije moguće, takvi nosači podataka moraju biti fizički oštećeni, odnosno uništeni.
Pristup resursima IKT sistema organa Grada imaju lica koja imaju administratorski ili korisnički nalog.
Administratorski nalog je jedinstveni nalog kojim je omogućen pristup i administracija svih resursa IKT sistema organa Grada, kao i otvaranje novih i izmena postojećih naloga.
Zaposleni koji ima administratorski nalog (u daljem tekstu: administrator), ima pravo pristupa svim resursima IKT sistema organa Grada (softverskim i hardverskim, računarskoj mreži i ostalim resursima) radi instalacije, održavanja, podešavanja i upravljanja resursima IKT sistema organa Grada.
Administrator vodi evidenciju o korisničkim nalozima i proverava njihovo korišćenje u delu IKT sistema organa Grada za koji je zadužen.
Administrator, na osnovu zahteva Korisnika, odnosno nadležnog rukovodioca, menja pravo pristupa i ukida korisničke naloge, u skladu ovim pravilnikom.
Korisnički nalog se sastoji od korisničkog imena i lozinke, koji se mogu unositi putem tastature ili učitavati sa medija koji sadrži elektronski sertifikat.
Proverom korisničkog naloga vrši se autentifikacija (provera identiteta) i autorizacija (provera prava pristupa).
Korisničko ime se kreira latiničnim pismom, bez upotrebe slova đ, ž, lj, nj, ć, č, dž, š.
Umesto ćiriličnih slova, iz stava 3. ovog člana, koriste se latinična slova i to: đ - dj, ž - z, lj - lj, nj - nj, ć - c, č - c, dž - dz, š - s.
Korisnički nalog dodeljuje administrator.
Korisnik može da koristi samo svoj korisnički nalog koji je dobio od administratora i ne sme da omogući drugom licu korišćenje njegovog korisničkog naloga, sem administratoru za podešavanje korisničkog profila i radne stanice.
Korisnik koji na bilo koji način zloupotrebi prava, odnosno resurse IKT sistema organa Grada, podleže disciplinskoj odgovornosti.
Lozinka Korisnika mora da sadrži minimum osam karaktera kombinovanih od malih i velikih slova, cifara i specijalnih znakova.
Lozinka ne sme da sadrži ime, prezime, datum rođenja, broj telefona i druge prepoznatljive podatke.
Ako Korisnik posumnja da je drugo lice otkrilo njegovu lozinku dužan je da istu odmah izmeni.
Korisnik je dužan da menja lozinku najmanje jednom u šest meseci.
Ista lozinka se ne sme ponavljati u vremenskom periodu od godinu dana.
Za poslove izvršene pod određenim korisničkim imenom i lozinkom odgovoran je Korisnik IKT sistema organa Grada kome je korisnički nalog dodeljen.
Korisnik je dužan da poštuje i sledeća pravila bezbednog i primerenog korišćenja resursa IKT sistema organa Grada i to:
- da koristi informatičke resurse isključivo u poslovne svrhe,
- da prihvati da su svi podaci koji se skladište, prenose ili obrađuju u okviru informatičkih resursa vlasništvo organa Grada i da mogu biti predmet nadgledanja i pregledanja,
- da postupa sa poverljivim podacima u skladu sa propisima, a posebno prilikom kopiranja i prenosa podataka,
- da bezbedno čuva svoje lozinke, odnosno da ih ne odaje drugim licima,
- da menja lozinke saglasno utvrđenim pravilima,
- da se pre svakog udaljavanja od radne stanice, odjavi sa sistema, odnosno zaključa radnu stanicu,
- da zahtev za instalaciju softvera ili hardvera podnosi u pisanoj formi, odobren od strane nadležnog rukovodioca,
- da obezbedi sigurnost podataka u skladu sa važećim propisima,
- da pristupa informatičkim resursima samo na osnovu eksplicitno dodeljenih korisničkih prava,
- da ne sme da zaustavlja rad ili briše antivirusni program, menja njegove podešene opcije, niti da neovlašćeno instalira drugi antivirusni program,
- da na radnoj stanici ne sme da skladišti sadržaj koji ne služi u poslovne svrhe,
- da izrađuje zaštitne kopije podataka u skladu sa propisanim procedurama,
- da koristi internet i elektronsku poštu u organima Grada u skladu sa propisanim procedurama,
- da prihvati da se određene vrste informatičkih intervencija (izrada zaštitnih kopija, ažuriranje programa, pokretanje antivirusnog programa i sl.) obavljaju u utvrđeno vreme,
- da prihvati da svi pristupi informatičkim resursima i informacijama treba da budu zasnovani na principu minimalne neophodnosti,
- da prihvati da tehnike sigurnosti sprečavaju potencijalne pretnje IKT sistemu organa Grada,
- da ne sme da instalira, modifikuje, isključuje iz rada ili briše zaštitni, sistemski ili aplikativni softver.
Pristup resursima IKT sistema organa Grada ne zahteva posebnu kriptozaštitu.
Korisnici koriste kvalifikovane elektronske sertifikate za elektronsko potpisivanje dokumenata kao i autentifikaciju i autorizaciju pristupa pojedinim aplikacijama.
Zaposleni na poslovima IKT sistema organa Grada su zaduženi za instalaciju potrebnog softvera i hardvera za korišćenje sertifikata.
Korisnici su dužni da čuvaju svoje kvalifikovane elektronske sertifikate, kako isti ne bi došli u posed drugih lica.
IV FIZIČKA ZAŠTITA OBJEKATA, PROSTORA, PROSTORIJA ODNOSNO ZONA U KOJIMA SE NALAZE SREDSTVA I DOKUMENTI IKT SISTEMA ORGANA GRADA I OBRAĐUJU PODACI U IKT SISTEMU ORGANA GRADA
Prostor u kome se nalaze serveri, mrežna i komunikaciona oprema IKT sistema organa Grada, organizuje se kao administrativna zona i nalazi se u prostorijama JKP "Informatika" Novi Sad.
Ukoliko postoji potreba za servisiranjem ili popravkom računarske opreme, Korisnik je dužan da o nastaloj potrebi podnese zahtev Službi u pisanom obliku.
Zahtev mora biti potpisan od strane nadležnog rukovodioca i overen pečatom.
Zahtev mora da sadrži naziv i tip računarske opreme, serijski broj, ime, prezime i adresu Korisnika.
Opremu iz stava 1. ovog člana, iz objekata koje koriste organi Grada, može izneti samo ovlašćeno lice Službe, ovlašćeno lice JKP "Informatika" ili ovlašćeno lice servisera sa kojim Služba ima zaključen ugovor.
U slučaju krajnje nužde, u cilju spasavanja računarske opreme, ista se može izneti bez odobrenja ovlašćenog lica Službe.
Računarska oprema iz stava 5. ovog člana odlaže se na sigurno mesto i hitno, bez odlaganja, o tome obaveštava nadležni rukovodilac Korisnika i ovlašćeno lice Službe.
Ulaz u prostor iz člana 24. ovog pravilnika, dozvoljen je samo ovlašćenim licima JKP "Informatika" i ovlašćenim licima Službe.
Pristup opremi koja čini IKT sistem organa Grada, mogu imati i treća lica u cilju instalacije i servisiranja određenih resursa, uz prisustvo nadležnog lica Službe, a na osnovu zaključenog ugovora sa Službom.
Ugovorom iz stava 1. ovog člana, definiše se vrsta delatnosti po osnovu kojih treće lice pristupa opremi i resursima IKT sistema organa Grada i propisuje obaveza zaštite podataka koji se tiču opreme i ostalih resursa IKT sistema organa Grada.
Lica iz stava 1. ovog člana, koja pristupaju resursima IKT sistema organa Grada, dužna su da potpišu izjavu o tajnosti i poverljivosti podataka.
V OBEZBEĐIVANJE ISPRAVNOG I BEZBEDNOG FUNKCIONISANJA IKT SISTEMA ORGANA GRADA
Zaposleni na poslovima IKT sistema organa Grada kontinuirano nadgledaju i proveravaju njegovo funkcionisanje, upravljaju rizicima koji mogu uticati na bezbednost IKT sistema organa Grada i, u skladu sa tim, planiraju, odnosno predlažu odgovarajuće mere rukovodiocu Službe.
Pre uvođenja u rad novog softvera, neophodno je napraviti kopiju-arhivu postojećih podataka, u cilju pripreme za proceduru vraćanja na prethodnu stabilnu verziju.
Instaliranje novog softvera kao i ažuriranje postojećeg, odnosno instalacija nove verzije, može se vršiti na način koji ne ometa operativni rad Korisnika.
U slučaju da se na novoj verziji softvera koji je uveden u operativni rad primete bitni nedostaci koji mogu uticati na rad, potrebno je primeniti proceduru za vraćanje na prethodnu stabilnu verziju softvera.
Za razvoj i testiranje softvera pre uvođenja u rad, moraju se koristiti serveri i podaci koji su namenjeni testiranju i razvoju.
Pri testiranju softvera, potrebno je obezbediti neometano funkcionisanje IKT sistema organa Grada.
Zabranjeno je korišćenje servera koji se koriste u operativnom radu za testiranje softvera, na način koji može da zaustavi normalno funkcionisanje IKT sistema organa Grada.
VI ZAŠTITA PODATAKA I SREDSTVA ZA OBRADU PODATAKA OD ZLONAMERNOG SOFTVERA
Zaštita od zlonamernog softvera na računarskoj mreži sprovodi se u cilju zaštite od virusa i druge vrste zlonamernog koda koji u računarsku mrežu mogu dospeti uspostavljanjem internet konekcije, korišćenjem elektronske pošte, prenosnim medijima koji sadrže virus (USB memorija, CD-ROM itd.), instalacijom nelicenciranog softvera i sl.
Za uspešnu zaštitu od virusa na svakom računaru je instaliran antivirusni program.
Pre upotrebe prenosnog medija, potrebno je izvršiti njegovu proveru korišćenjem antivirusnog softvera.
Zabranjeno je zaustavljanje i isključivanje antivirusnog softvera tokom skeniranja prenosnih medija.
Ako se utvrdi da prenosivi medij sadrži virus ili zlonamerni kod, primenjuje se uklanjanje virusa ili zlonamernog koda antivirusnim softverom, ukoliko je to moguće.
Rizik od eventualnog gubitka podataka prilikom skeniranja medija antivirusnim softverom snosi donosilac medija.
U cilju zaštite od upada u IKT sistem organa Grada sa interneta, JKP "Informatika" je dužna da održava sistem za sprečavanje upada.
Rukovodioci organa Grada određuju koji zaposleni imaju pravo pristupa internetu radi obavljanja poslova iz svoje nadležnosti.
Korisnicima koji su priključeni na IKT sistem organa Grada nije dozvoljeno samostalno priključivanje na internet (priključivanje preko sopstvenog modema), pri čemu ovlašćeno lice Službe ili ovlašćeno lice JKP "Informatika" može ukinuti pristup internetu u slučaju dokazane zloupotrebe istog.
Korisnici IKT sistema organa Grada koji koriste internet dužni su da se pridržavaju mera antivirusne zaštite.
Svaki računar koji se priključuje na internet mora biti odgovarajuće podešen i zaštićen, pri čemu podešavanje vrši ovlašćeno lice Službe u saradnji sa ovlašćenim licima JKP "Informatika".
U slučaju da Korisnik primeti neuobičajeno funkcionisanje računara, dužan je da bez odlaganja o tome obavesti Službu.
Prilikom korišćenja interneta treba izbegavati veb stranice sumnjivog i neproverenog sadržaja.
Strogo je zabranjeno gledanje filmova i igranje igrica na računarima, kao i pristup veb stranicama sumnjivog, neproverenog i nedoličnog sadržaja, kao i preuzimanje istih sa interneta.
Nedozvoljena upotreba interneta obuhvata:
- instaliranje, distribuciju, oglašavanje, prenos ili na drugi način činjenje dostupnim softverskih proizvoda koji nisu licencirani na odgovarajući način,
- narušavanje sigurnosti mreže ili na drugi način onemogućavanje poslovne internet komunikacije,
- namerno širenje destruktivnih i opstruktivnih programa na internetu,
- nedozvoljeno korišćenje društvenih mreža i drugih internet sadržaja koje je ograničeno,
- preuzimanje podataka velikog kapaciteta koje prouzrokuje usporen protok ili zastoj u radu računarske mreže,
- preuzimanje materijala zaštićenih autorskim pravima,
- korišćenje linkova koji nisu u vezi sa poslom;
- nedozvoljeni pristup sadržaju, promena sadržaja, brisanje ili prerada sadržaja preko interneta.
Korisnicima koji neadekvatnim korišćenjem interneta prouzrokuju zastoj, prekid u radu ili narušavaju bezbednost računarske mreže, može se oduzeti pravo pristupa.
VII ZAŠTITA OD GUBITKA PODATAKA
Baze podataka koje su u upotrebi u organima Grada, smeštene su na serverima koji se nalaze u prostorijama JKP "Informatika".
VIII ČUVANJE PODATAKA O DOGAĐAJIMA KOJI MOGU BITI OD ZNAČAJA ZA BEZBEDNOST IKT SISTEMA ORGANA GRADA
O informacionom sistemu i ostalom aplikativnom softveru koji je neophodan za potrebe obavljanja finansijskih poslova (likvidatura, glavna knjiga i ostali aplikativni softveri koji su propisani zakonom i podzakonskim aktima), čuvanje podataka o događajima koji mogu biti od značaja za bezbednost IKT sistema organa Grada, vrši JKP "Informatika".
Sistem za kontrolu i dojavu o greškama, neovlašćenim aktivnostima i drugim radnjama, mora biti podešen na način da odmah obaveštava administratora i Službu o svim neregularnim aktivnostima Korisnika, pokušajima upada i upadima u sistem.
X OBEZBEĐIVANJE INTEGRITETA SOFTVERA I OPERATIVNIH SISTEMA
U IKT sistemu organa Grada može da se instalira samo softver za koji postoji važeća licenca u vlasništvu organa Grada, odnosno Freeware i Opensource verzije.
Instalaciju i podešavanje softvera može da vrši samo ovlašćeno lice Službe ili ovlašćeno lice JKP "Informatika".
Instalaciju i podešavanje softvera može da izvrši i treće lice, u skladu sa ugovorom o nabavci, odnosno održavanju softvera i pravilima o tajnosti i poverljivosti podataka, propisanim ovim pravilnikom.
Pre svake instalacije nove verzije softvera, odnosno podešavanja, neophodno je napraviti kopiju postojećeg, kako bi se obezbedila mogućnost povratka na prethodno stanje u slučaju neočekivanih situacija.
XI ZAŠTITA OD ZLOUPOTREBE TEHNIČKIH BEZBEDNOSNIH SLABOSTI IKT SISTEMA ORGANA GRADA
Ukoliko se identifikuju slabosti koje mogu da ugroze bezbednost IKT sistema organa Grada, Služba, u saradnji sa ovlašćenim licima JKP "Informatika", je dužna da onemogući instaliranje softvera koji može dovesti do ugrožavanja bezbednosti IKT sistema organa Grada.
XII AKTIVNOSTI NA REVIZIJI IKT SISTEMA ORGANA GRADA
Revizija IKT sistema organa Grada se mora vršiti na način tako da ima što manji uticaj na poslovne procese Korisnika.
Ovlašćeno lice Službe predlaže vreme obavljanja revizije IKT sistema organa Grada, u zavisnosti od vrste poslova i radnih zadataka Korisnika IKT sistema organa Grada.
Ukoliko reviziju IKT sistema organa Grada nije moguće izvršiti u toku radnog vremena Korisnika, revizija će se vršiti nakon završetka radnog vremena Korisnika.
XIII ZAŠTITA PODATAKA U KOMUNIKACIONIM MREŽAMA UKLJUČUJUĆI UREĐAJE I VODOVE
Komunikacioni kablovi i kablovi za napajanje moraju biti postavljeni u zidu ili kanalicama, tako da se onemogući neovlašćen pristup, odnosno da se izvrši izolacija od mogućeg oštećenja.
Aktivna mrežna oprema se mora nalaziti u zaključanom rek ormanu.
Služba je dužna da stalno vrši kontrolni pregled mrežne opreme i blagovremeno preduzima mere u cilju otklanjanja eventualnih nepravilnosti.
Bežična mreža koju mogu da koriste posetioci objekata u nadležnosti organa Grada, mora biti odvojena od interne računarske mreže koju koriste Korisnici u organima Grada i kroz koju se vrši razmena službenih podataka.
Mreža iz stava 4. ovog člana treba da bude posebno označena.
XIV BEZBEDNOST IKT SISTEMA ORGANA GRADA U SLUČAJU RAZMENE PODATAKA
Podaci koji su označeni stepenom tajnosti, razmenjuju se sa drugim organima, organizacijama ili pravnim licima u skladu sa potpisanim sporazumom o povezivanju sistema.
Akt iz stava 1. ovog člana sadrži podatke o ovlašćenim licima za razmenu podataka, načinu razmene podataka, pravni okvir za takvu vrstu razmene, kao i pravni okvir kojim se definiše zaštita podataka koji se razmenjuju.
XV UČEŠĆE TREĆIH LICA U POSLOVIMA IKT SISTEMA ORGANA GRADA
Način instaliranja novih, zamena i održavanje postojećih resursa IKT sistema organa Grada od strane trećih lica koja nisu zaposlena u organima Grada, definiše se ugovorom koji treća lica zaključuju sa Službom.
Treća lica pružaoci usluga izrade i održavanja softvera, kao i drugih intelektualnih rešenja iz oblasti IKT sistema organa Grada, mogu pristupiti samo onim podacima za koje postoji ugovorom definisan pristup.
Služba je zadužena za tehnički nadzor nad realizacijom ugovorenih obaveza od strane trećih lica.
O uspostavljanju novog IKT sistema organa Grada, odnosno uvođenju novih delova i izmenama postojećih delova IKT sistema organa Grada, Služba vodi evidenciju.
Evidencija iz stava 4. ovog člana mora da sadrži opise svih procedura a posebno procedura koje se odnose na bezbednost IKT sistema organa Grada.
XVI TESTIRANJE IKT SISTEMA ORGANA GRADA OSNOSNO DELOVA IKT SISTEMA ORGANA GRADA
Za potrebe testiranja IKT sistema organa Grada, odnosno delova IKT sistema organa Grada, Služba može da koristi podatke koji nisu osetljivi, koje štiti, čuva i kontroliše na odgovarajući način.
XVII PREVENCIJA I REAGOVANJE NA BEZBEDNOSNE INCIDENTE
U slučaju bilo kakvog incidenta koji može da ugrozi bezbednost resursa IKT sistema organa Grada, Korisnik je dužan da odmah obavesti Službu.
Po prijemu prijave, Služba je dužna da odmah obavesti JKP "Informatika" i nadležne organe u skladu sa zakonom, kao i da preduzme sve neophodne radnje u cilju zaštite resursa IKT sistema organa Grada.
Ukoliko se radi o incidentu koji je definisan propisima kojima se uređuje postupak obaveštavanja o incidentima u informaciono-komunikacionim sistemima od posebnog značaja, Služba je dužna da obavesti nadležne organe u skladu sa tim propisima.
Služba vodi evidenciju o svim incidentima, kao i prijavama incidenata u skladu sa propisima iz stava 1. ovog člana.
XVIII MERE KOJE OBEZBEĐUJU KONTINUITET OBAVLJANJA POSLA U VANREDNIM OKOLNOSTIMA
U slučaju vanrednih okolnosti, koje mogu da dovedu do izmeštanja IKT sistema organa Grada iz objekata koje koriste organi Grada, Služba je dužna da u najkraćem roku organizuje i obezbedi funkcionisanje redudantnih komponenti IKT sistema organa Grada na rezervnoj lokaciji, u skladu sa planom reagovanja u vanrednim i kriznim situacijama.
Specifikaciju delova IKT sistema organa Grada koji su neophodni za funkcionisanje u vanrednim situacijama, izrađuje Služba u saradnji sa JKP "Informatika" i to u tri primerka, od kojih se jedan dostavlja Gradonačelniku Grada Novog Sada, drugi organu Grada koji je nadležan za poslove odbrane i vanredne situacije, a treći primerak ostaje u Službi.
Delove IKT sistema organa Grada koji nisu neophodni za njegovo funkcionisanje u vanrednim situacijama, potrebno je čuvati na rezervnoj lokaciji, u skladu sa planom reagovanja u vanrednim i kriznim situacijama.
Skladištenje delova IKT sistema organa Grada koji nisu neophodni za njegovo funkcionisanje, vrši se na način da oprema bude bezbedna i obeležena, u skladu sa evidencijom koja se o njoj vodi.
XIX PROVERA IKT SISTEMA ORGANA GRADA
Proveru IKT sistema organa Grada vrši Služba u saradnji sa ovlašćenim licima JKP "Informatika".
Provera IKT sistema organa Grada vrši se jednom godišnje.
Provera se vrši na sledeći način:
1) proverava se da li se u operativnom radu adekvatno primenjuju predviđene mere zaštite i procedure u skladu sa utvrđenim ovlašćenjima i odgovornostima, metodama intervjua, simulacije, posmatranja, uvida u predviđene evidencije i drugu dokumentaciju;
2) vrši se provera bezbednosnih slabosti na nivou tehničkih karakteristika komponenti IKT sistema organa Grada, metodom uvida u izabrane proizvode, arhitekture rešenja, tehničke konfiguracije, tehničke podatke o statusima, zapise o događajima (logove) i metodom testiranja postojanja poznatih bezbednosnih slabosti u sličnim okruženjima.
O izvršenoj proveri sačinjava se izveštaj koji se dostavlja Gradonačelniku Grada Novog Sada.
Izveštaj o proveri IKT sistema organa Grada sadrži:
1) naziv operatora IKT sistema organa Grada koji se proverava;
2) vreme provere;
3) podatke o licima koja su vršila proveru;
4) izveštaj o sprovedenim radnjama provere;
5) zaključke po pitanju usklađenosti ovog pravilnika sa zakonom i podzakonskim aktima;
6) zaključke po pitanju adekvatne primene predviđenih mera zaštite u operativnom radu;
7) zaključke po pitanju eventualnih bezbednosnih slabosti na nivou tehničkih karakteristika komponenti IKT sistema organa Grada;
8) ocenu ukupnog nivoa informacione bezbednosti;
9) predloge eventualnih korektivnih mera;
10) potpis ovlašćenih lica koja su izvršila proveru IKT sistema organa Grada.
Stupanjem na snagu ovog pravilnika, prestaje da važi Pravilnik o bezbednosti informaciono-komunikacionog sistema organa Grada Novog Sada, broj XIX-031-1/2020 od 4. novembra 2020. godine, koji je doneo v.d. šefa Službe za zajedničke poslove Grada Novog Sada.
Ovaj pravilnik stupa na snagu osmog dana od dana objavljivanja u "Službenom listu Grada Novog Sada".