UREDBAO ODRŽAVANJU I UNAPREĐENJU DRŽAVNOG CENTRA ZA UPRAVLJANJE I ČUVANJE PODATAKA("Sl. glasnik RS", br. 18/2022) |
Ovom uredbom uređuju se bliži uslovi za održavanje i unapređenje Državnog centra za upravljanje i čuvanje podataka (u daljem tekstu: Data centar) kojim upravlja služba Vlade nadležna za projektovanje, usklađivanje, razvoj i funkcionisanje sistema elektronske uprave (u daljem tekstu: nadležni organ) i način korišćenja Data centra od strane državnih organa i organizacija, organa i organizacija pokrajinske autonomije, organa i organizacija jedinica lokalne samouprave, ustanova, javnih preduzeća, posebnih organa preko kojih se ostvaruje regulatorna funkcija i pravnih i fizičkih lica kojima su poverena javna ovlašćenja (u daljem tekstu: organ), kao i druga pitanja koja su od značaja za regulisanje načina korišćenja resursa Data centra i usluga nadležnog organa.
Nadležni organ dužan je da obezbedi korišćenje celokupne infrastrukture Data centra, ormane, odnosno mrežne i serverske rekove, napajanje, agregate, sistem za hlađenje, sistem za neprekidno napajanje (uninterruptible power supply - UPS), protivpožarni sistem, integrisani sistem bezbednosti, kao i stručna lica uključena u upravljanje i održavanje navedenih resursa (u daljem tekstu: resursi Data centra).
Nadležni organ dužan je da obezbedi korišćenje usluga elektronske uprave nadležnog organa kojima se obezbeđuje korišćenje opreme za čuvanje i skladištenje podataka u Data centru (telehousing) i korišćenje klaud servisa koje nadležni organ pruža drugim organima i korisnicima usluga nadležnog organa svakom organu u elektronskoj upravi.
Organ je dužan da koristi resurse Data centra i usluge nadležnog organa u skladu sa ovom uredbom i propisima kojima se uređuje informaciona bezbednost.
Korišćenje resursa Data centra i usluga nadležnog organa vrši se u skladu sa zakonom kojim se uređuje zaštita podataka o ličnosti.
Postupak povezivanja organa na resurse Data centra
Organ podnosi zahtev nadležnom organu za pristup resursima Data centra i uslugama nadležnog organa u kojem navodi:
1) podatke o ovlašćenim službenim licima i ovlašćenim licima zaduženim za pristup resursima Data centra;
2) specifikaciju resursa Data centra koju hoće da koristi;
3) usluge elektronske uprave nadležnog organa koje želi da koristi.
Podnošenjem zahteva organ se saglašava sa uslovima korišćenja Data centra koje donosi i objavljuje na svojoj veb prezentaciji nadležni organ.
Nadležni organ dužan je da proveri kompletnost zahteva iz stava 1. ovog člana i da na osnovu dokumentacije odredi da li organ koji je podneo zahtev ispunjava zakonske uslove da bude povezan na infrastrukturu Data centra.
Nadležni organ dužan je da u roku od osam dana od dana prijema zahteva odgovori na zahtev i odobri ili odbije pristup resursima Data centra.
Pristup resursima Data centra dozvoljen je ovlašćenim službenim licima nadležnog organa.
Ovlašćeno službeno lice nadležnog organa dužno je da koristi elektronsko sredstvo za autentikaciju prilikom svakog ulaska i izlaska iz Data centra.
U slučaju da je sredstvo za autentikaciju privremeno nedostupno ovlašćenom službenom licu a kada je ulazak u Data centar neophodan, pristup resursima Data centra dozvoljen je nakon dobijanja saglasnosti nadležnog organa.
U slučaju da u Data centar ulazi više lica od kojih svako ima elektronsko sredstvo za autentikaciju za ulazak, sva lica moraju prilikom ulaska da koriste svoje sredstvo.
Pristup resursima Data centra dozvoljen je ovlašćenim službenim licima organa koji je smestio svoju opremu u Data centar i ovlašćenim licima.
Pristup resursima Data centra dozvoljen je i ovlašćenim licima telekomunikacionog servis provajdera ovlašćenog od strane nadležnog organa, u svrhu instalacije ili održavanja opreme, a samo ovlašćenim serviserima opreme ovlašćenim od strane nadležnog organa radi instalacije i održavanja opreme nadležnog organa, odnosno uređaja za neprekidno napajanje i druge opreme.
Fizički pristup resursima Data centra iz st. 5. i 6. ovog člana omogućava se nakon dobijanja saglasnosti nadležnog organa i isključivo uz pratnju ovlašćenog službenog lica nadležnog organa.
Nadležni organ dužan je da vodi, odnosno obezbedi evidenciju poseta lica koji pristupaju resursima Data centra koja sadrži: lično ime i broj javne isprave kojom se dokazuje identitet lica.
Svaki ulazak i izlazak iz Data centra ovlašćenih lica koja ne poseduju elektronsko sredstvo za autentikaciju evidentira ovlašćeno službeno lice nadležnog organa.
Prijem i iznošenje opreme iz Data centra
Nadležni organ dužan je da imenuje ovlašćeno službeno lice za potrebe smeštanja i čuvanja opreme u Data centru.
Organ je dužan da imenuje ovlašćeno službeno lice, odnosno drugo ovlašćeno lice koje može vršiti unos i instalaciju opreme u Data centru, odnosno demontažu i iznošenje opreme.
Ovlašćeno službeno lice iz stava 1. ovog člana dužno je da, najmanje dva dana pre unošenja ili iznošenja opreme podnese zahtev nadležnom organu za odobrenje za unošenje ili iznošenje opreme u Data centar.
Zahtev iz stava 3. ovog člana mora da sadrži specifikaciju opreme, njenu namenu, kao i osnov po kojem je nabavljena.
Oprema mora biti oslobođena ambalaže i spremna za eksploataciju izvan prostorija namenjenih smeštanju opreme Data centra.
Nadležni organ dužan je da vodi ažurnu evidenciju o celokupnoj opremi smeštenoj u Data centru koja sadrži:
1) osnovne podatke o opremi, i to:
(1) naziv opreme,
(2) namenu,
(3) osnovne tehničke karakteristike;
2) naziv organa koji koristi opremu;
3) lično ime lica ovlašćenog za administraciju i održavanje opreme sa kontakt podacima: brojem telefona, adresom elektronske pošte, a za lica van organa i naziv pravnog lica koje je ovlašćeno da održava opremu;
4) poziciju opreme u sali, odnosno broj boksa, broj reka i poziciju u reku.
Iznošenje opreme iz Data centra obavlja ovlašćeno službeno lice nadležnog organa i ovlašćeno lice za opremu organa uz prethodno odobren zahtev iz stava 3. ovog člana.
Ovlašćeno službeno lice nadležnog organa evidentira serijski broj uređaja koji se iznosi, kao i lično ime lica koje iznosi opremu.
U Data centru ne smeju se čuvati rezervni delovi, pomoćna sredstva kao i komponente koje se neće koristiti u eksploataciji. Ovlašćena službena lica nadležnog organa dužna su da spreče odlaganje navedenih predmeta u Data centru.
Prijem opreme u slučaju hitnih intervencija
U slučaju hitnih intervencija na opremi, unošenje opreme u Data centar može se obaviti bez podnošenja zahteva iz člana 5. stav 3. ove uredbe uz prethodnu najavu nadležnom organu.
Hitna intervencija na opremi obavlja se u prisustvu ovlašćenog službenog lica nadležnog organa.
Po završenoj hitnoj intervenciji organ podnosi izveštaj nadležnom organu koji sadrži naziv opreme na kojoj se intervenisalo, specifikaciju zamenjene opreme kao i imena učesnika intervencije, odnosno ovlašćenih lica.
Zaštita opreme smeštene u Data centru
Data centar štiti opremu od uticaja pretnji iz spoljašnjeg okruženja, tako što poseduje:
1) spoljne zidove od materijala koji štiti od spoljašnjih atmosferskih uslova;
2) antistatik pod;
3) tehničke sisteme zaštite, odnosno protivpožarni, protivprovalni i video nadzor, postavljene u skladu sa važećim zakonskim propisima i standardima;
4) sisteme za održavanje temperature i vlažnosti vazduha u zadatim granicama.
Data centar poseduje bezbednosne sisteme zaštite za sprečavanje neovlašćenog pristupa opremi i nepropisnog rukovanja, i to:
1) jasno utvrđene fizičke granice sa odgovarajućim fizičkim barijerama prema ostalim prostorijama;
2) vrata i prozore koji se obezbeđuju alarmom ili elektronskim odnosno mehaničkim bravama i dodatno, ugradnjom rešetki ako je server sala u prizemlju.
Data centar poseduje sisteme za neprekidno napajanje električnom energijom preko električnog uređaja koji obezbeđuje napajanje strujom u slučaju nestanka primarnog izvora struje i dovoljnu autonomiju rada uređaja dok se ne stabilizuje izvor agregatskog napajanja.
Nadležni organ dužan je da preduzme dodatne mere zaštite kako bi se sprečila ili umanjila šteta koja može nastati od požara, poplava, eksplozija ili drugih oblika prirodnih ili ljudskih pretnji po bezbednost na sledeće načine:
1) zapaljivi i opasni materijali se skladište na mestima koja su udaljena od Data centra;
2) protivpožarna oprema je obezbeđena i dostupna ovlašćenim službenim licima;
3) rezervna oprema i bezbednosne kopije medija čuvaju se na rezervnim lokacijama;
4) ovlašćena službena lica upoznata su sa postupkom u slučaju nastanka požara, diverzije i drugih štetnih događaja.
Oprema u Data centru smešta se u ormane, odnosno rekove u boksevima sa ograničenim pravima pristupa.
Rekovi sa opremom nadležnog organa, kada je moguće, fizički su odvojeni od ormana, odnosno rekova sa opremom korisnika usluga.
U Data centru zabranjeno je:
1) neovlašćeno snimanje;
2) unošenje hrane i pića;
3) pušenje;
4) nepotrebno zadržavanje;
5) odlaganje i čuvanje nepotrebne opreme.
Za zabrane iz stava 7. ovog člana obavezno je istaknuti pisano upozorenje na ulaznim vratima.
Fizička bezbednost Data centra se nadgleda i redovno kontroliše u skladu sa propisima.
Izrada rezervnih kopija podataka
Rezervne kopije podataka izrađuju se sa servera na osnovu zahteva organa koji obavezno sadrži opis podataka, odnosno servisa koji se kopiraju.
Zahtev iz stava 1. ovog člana podnosi se nadležnom organu.
U slučaju da je potrebno obezbediti dodatni resurs za izradu i čuvanje rezervnih kopija dodaje se novi server u okviru softverskog rešenja, odnosno Sistema za izradu i čuvanje rezervnih kopija.
Organ i nadležni organ sporazumno određuju frekvenciju i vreme izrade rezervnih kopija podataka prema:
1) poslovnoj potrebi za dostupnošću podataka;
2) vremenu i obimu promene podataka i složenosti oporavka podataka;
3) raspoloživosti infrastrukturnih resursa.
Izrada rezervnih kopija podataka može da bude redovna ili vanredna.
Redovna izrada rezervnih kopija podataka sa servera sprovodi se po unapred definisanom rasporedu koji sadrži sledeće podatke:
1) naziv servera sa podacima za čuvanje;
2) sačuvane podatke sa servera koji se čuvaju;
3) vreme početka izrade rezervnih kopija;
4) frekvenciju izrade rezervnih kopija;
5) tip izrade rezervnih kopija i
6) vreme čuvanja rezervnih kopija.
Vanredna izrada rezervnih kopija podataka sa servera radi se prilikom promena na softverskim rešenjima. Za svaku grupu podataka bira se primarni medijum prema:
1) vremenu akvizicije, odnosno vremenu potrebnom za identifikaciju rezervne kopije i njegovu dostavu sistemu radi realizacije oporavka podataka;
2) vremenu pristupa podacima na medijumu i brzini transfera podataka sa medijuma;
3) kapacitetu skladištenja podataka na medijumu;
4) ceni medijuma.
Svaki medijum sa rezervnom kopijom ima jednoznačnu oznaku.
Organ i nadležni organ sporazumno za svaku grupu podataka određuju broj generacija rezervnih kopija prema:
1) poslovnoj potrebi za dostupnošću i integritetom podataka;
2) obimu podataka i obimu promene podataka.
Nadležni organ dužan je da vodi ažurnu evidenciju o izradi rezervnih kopija koja obuhvata:
1) datum izrade rezervnih kopija;
2) strukturu rezervnih kopija;
3) podatke o medijumima na kojima se nalaze rezervne kopije;
4) podatke o hardveru i softveru pomoću kojih se realizovala izrada rezervnih kopija.
Nadležni organ dužan je da testira ispravnost rezervnih kopija za nove tehnologije prilikom početka njihovog korišćenja i da o tome obavesti organ.
Čuvanje rezervnih kopija podataka
Rezervne kopije se čuvaju u zaštićenoj prostoriji u:
1) dodatnom bunkeru na istoj lokaciji, ili
2) dodatnom sefu na drugoj lokaciji, ili
3) dodatnim IKT resursima na drugoj lokaciji.
O rezervnim kopijama podataka vodi se ažurna evidencija po lokacijama.
Pristup rezervnim kopijama podataka odobrava nadležni organ.
Nakon isteka vremena, propisanog za čuvanje podataka, podaci se brišu.
Korišćenje rezervnih kopija za oporavak podataka
Nadležni organ dužan je da, na zahtev organa, omogući oporavak podataka sa servera korišćenjem rezervnih kopija.
Nadležni organ nije odgovoran za eventualnu štetu koju organ koji koristi Data centar pretrpi usled smanjenog kvaliteta usluga nadležnog organa uzrokovanog interferencijom, atmosferskim prilikama, fizičkim preprekama ili drugim razlozima na koje nadležni organ nema uticaj, nepokrivenosti područja, smanjenog protoka u bežičnom prenosu podataka i dejstva više sile.
Organi koji su do dana stupanja na snagu ove uredbe bili korisnici Data centra imaju pravo pristupa resursima bez podnošenja zahteva iz člana 3. stav 1. ove uredbe.
Stupanje na snagu i početak primene
Ova uredba stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije", osim odredaba čl. 8-10, koje se primenjuju od 1. januara 2023. godine.