PRAVILNIKO BEZBEDNOSTI INFORMACIONO-KOMUNIKACIONOG SISTEMA OD POSEBNOG ZNAČAJA GRADA SREMSKA MITROVICA("Sl. list grada Sremska Mitrovica", br. 8-IV/2017, 6/2022 i 7/2022) |
Ovim Pravilnikom, u skladu sa Zakonom o informacionoj bezbednosti i Uredbom o bližem sadržaju Pravilnika o bezbednosti informaciono-komunikacionih sistema od posebnog značaja, način provere informaciono- komunikacionih sistema od posebnog značaja i sadržaj izveštaja o proveri informaciono-komunikacionog sistema od posebnog značaja ("Sl. glasnik RS", br. 94/2016), utvrđuju se mere zaštite, principi, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti sistema, kao i ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima IKT sistema Grada Sremska Mitrovica (u daljem tekstu: IKT sistem).
Mere propisane ovim Pravilnikom se odnose na sve organizacione jedinice Grada Sremska Mitrovica, na sve zaposlene - korisnike informatičkih resursa, kao i na treća lica koja koriste informatičke resurse Grada Sremska Mitrovica.
Nepoštovanje odredbi ovog Pravilnika povlači disciplinsku odgovornost zaposlenog - korisnika informatičkih resursa Grada Sremska Mitrovica.
Za praćenje primene ovog Pravilnika obavezuje se rukovodilac Službe informatičkih poslova u Gradskoj upravi za budžet i lokalni ekonomski razvoj Grada Sremska Mitrovica.
Pojedini termini u smislu ovog Pravilnika imaju sledeće značenje:
1) informaciono-komunikacioni sistem (IKT sistem) je tehnološko-organizaciona celina koja obuhvata:
(1) elektronske komunikacione mreže u smislu zakona koji uređuje elektronske komunikacije;
(2) uređaje ili grupe međusobno povezanih uređaja, takvih da se u okviru uređaja, odnosno u okviru barem jednog iz grupe uređaja, vrši automatska obrada podataka korišćenjem računarskog programa;
(3) podatke koji se pohranjuju, obrađuju, pretražuju ili prenose pomoću sredstava iz podtačke (1) i (2) ove tačke, a u svrhu njihovog rada, upotrebe, zaštite ili održavanja;
(4) organizacionu strukturu putem koje se upravlja IKT sistemom;
2) informaciona bezbednost predstavlja skup mera koje omogućavaju da podaci kojima se rukuje putem IKT sistema budu zaštićeni od neovlašćenog pristupa, kao i da se zaštiti integritet, raspoloživost, autentičnost i neporecivost tih podataka, da bi taj sistem funkcionisao kako je predviđeno, kada je predviđeno i pod kontrolom ovlašćenih lica;
3) tajnost je svojstvo koje znači da podatak nije dostupan neovlašćenim licima;
4) integritet znači očuvanost izvornog sadržaja i kompletnosti podatka;
5) raspoloživost je svojstvo koje znači da je podatak dostupan i upotrebljiv na zahtev ovlašćenih lica onda kada im je potreban;
6) autentičnost je svojstvo koje znači da je moguće proveriti i potvrditi da je podatak stvorio ili poslao onaj za koga je deklarisano da je tu radnju izvršio;
7) neporecivost predstavlja sposobnost dokazivanja da se dogodila određena radnja ili da je nastupio određeni događaj, tako da ga naknadno nije moguće poreći;
8) rizik znači mogućnost narušavanja informacione bezbednosti, odnosno mogućnost narušavanja tajnosti, integriteta, raspoloživosti, autentičnosti ili neporecivosti podataka ili narušavanja ispravnog funkcionisanja IKT sistema;
9) upravljanje rizikom je sistematičan skup mera koji uključuje planiranje, organizovanje i usmeravanje aktivnosti kako bi se obezbedilo da rizici ostanu u propisanim i prihvatljivim okvirima;
10) incident je unutrašnja ili spoljna okolnost ili događaj kojim se ugrožava ili narušava informaciona bezbednost;
11) mere zaštite IKT sistema su tehničke i organizacione mere za upravljanje bezbednosnim rizicima IKT sistema;
12) tajni podatak je podatak koji je, u skladu sa propisima o tajnosti podataka, određen i označen određenim stepenom tajnosti;
13) IKT sistem za rad sa tajnim podacima je IKT sistem koji je u skladu sa zakonom određen za rad sa tajnim podacima;
14) kompromitujuće elektromagnetno zračenje (KEMZ) predstavlja nenamerne elektromagnetne emisije prilikom prenosa, obrade ili čuvanja podataka, čijim prijemom i analizom se može otkriti sadržaj tih podataka;
15) kriptobezbednost je komponenta informacione bezbednosti koja obuhvata kriptozaštitu, upravljanje kriptomaterijalima I razvoj metoda kriptozaštite;
16) kriptozaštita je primena metoda, mera i postupaka radi transformisanja podataka u oblik koji ih za određeno vreme ili trajno čini nedostupnim neovlašćenim licima;
17) kriptografski proizvod je softver ili uređaj putem koga se vrši kriptozaštita;
18) kriptomaterijali su kriptografski proizvodi, podaci, tehnička dokumentacija kriptografskih proizvoda, kao i odgovarajući kriptografski ključevi;
19) bezbednosna zona je prostor ili prostorija u kojoj se, u skladu sa propisima o tajnosti podataka, obrađuju i čuvaju tajni podaci;
20) informaciona dobra obuhvataju podatke u datotekama i bazama podataka, programski kôd, konfiguraciju hardverskih komponenata, tehničku i korisničku dokumentaciju, unutrašnje opšte pravilnike, procedure i slično;
21) VPN (Virtual Private Network) - je "privatna" komunikaciona mreža koja omogućava korisnicima na razdvojenim lokacijama da preko javne mreže jednostavno održavaju zaštićenu komunikaciju;
22) MAC adresa (Media Access Control Address) je jedinstven broj, kojim se vrši identifikacija uređaja na mreži;
23) Backup je rezervna kopija podataka;
24) Download je transfer podataka sa centralnog računara ili web prezentacije na lokalni računar;
25) UPS (Uninterruptible power supply) je uređaj za neprekidno napajanje električnom energijom;
26) Freeware je besplatan softver;
27) Opensource softver otvorenog koda;
28) Firewall je "zaštitni zid" odnosno sistem preko koga se vrši nadzor i kontroliše protok informacija između lokalne mreže i interneta u cilju onemogućavanja zlonamernih aktivnosti;
29) USB ili fleš memorija je spoljašnji medijum za skladištenje podataka;
30) CD-ROM (Compact disk - read only memory) se koristi kao medijum za snimanje podataka;
31) DVD je optički disk visokog kapaciteta koji se koristi kao medijum za skladištenje podataka;
Merama zaštite IKT sistema se obezbeđuje prevencija od nastanka incidenata, odnosno prevencija i minimizacija štete od incidenata koji ugrožavaju vršenje nadležnosti i obavljanje delatnosti, a posebno u okviru pružanja usluga drugim licima.
______________
1 Čl. 4. Uredba o bližem sadržaju akta o
bezbednosti informaciono-komunikacionih sistema od posebnog značaja, načinu
provere i sadržaju izveštaja o proveri bezbednosti informaciono-komunikacionih
sistema od posebnog značaja
1. Organizaciona struktura, sa utvrđenim poslovima i Odgovornostima zaposlenih, kojom se ostvaruje upravljanje informacionom bezbednošću u okviru Grada Sremska Mitrovica
Svaki zaposleni-korisnik resursa IKT sistema je odgovoran za bezbednost resursa IKT sistema koje koristi radi obavljanja poslova iz svoje nadležnosti.
Za kontrolu i nadzor nad obavljanjem poslova zaposlenih-korisnika, u cilju zaštite i bezbednosti IKT sistema, kao i za obavljanje poslova iz oblasti bezbednosti celokupnog IKT sistema Grada Sremska Mitrovica nadležan je rukovodilac Službe informatičkih poslova u Gradskoj upravi za budžet i lokalni ekonomski razvoj Grada Sremska Mitrovica u skladu sa Pravilnikom o organizaciji i sistematizaciji radnih mesta u gradskim upravama, Stručnoj službi Skupštine grada i Gradskom pravobranilaštvu Grada Sremska Mitrovica ("Službeni list Grada Sremska Mitrovica" br. 19/2016 i 20/2016).
Pod poslovima iz oblasti bezbednosti utvrđuju se:
• poslovi zaštite informacionih dobara, odnosno sredstava imovine za nadzor nad poslovnim procesima od značaja za informacionu bezbednost;
• definisanje rola korisnika IKT sistema;
• poslovi upravljanje rizicima u oblasti informacione bezbednosti, kao i poslovi predviđeni procedurama u oblasti informacione bezbednosti;
• poslovi onemogućavanja, odnosno sprečavanja neovlašćene ili nenamerne izmene, oštećenja ili zloupotrebe sredstava, odnosno informacionih dobara IKT sistema Grada Sremska Mitrovica, kao i pristup, izmene ili korišćenje sredstava bez ovlašćenja i bez evidencije o tome;
• praćenje aktivnosti, revizije i nadzora u okviru upravljanja informacionom bezbednošću;
• obaveštavanje nadležnih organa o incidentima u IKT sistemu, u skladu sa propisima.
U slučaju incidenta rukovodilac Službe informatičkih poslova, obaveštava načelnika Gradske uprave za budžet i lokalni ekonomski razvoj, koji u skladu sa propisima obaveštava nadležne organe u cilju rešavanja nastalog bezbedonosnog incidenta.
2. Bezbednost rada na daljinu i upotreba mobilnih uređaja
Zaposleni-korisnici resursa IKT sistema, mogu putem mobilnih uređaja, koji su u vlasništvu Grada Sremska Mitrovica, i koji su podešeni od strane Službe informatičkih poslova, da pristupaju samo onim delovima IKT sistema koji im omogućavaju obavljanje radnih zadataka u okviru njihove nadležnosti (Centralni sistem za vođenje drugog primerka matičnih knjiga, elektronska pošta), a na osnovu pisane saglasnosti načelnika gradskih uprava.
Mobilni uređaji moraju biti podešeni tako da omoguće siguran i bezbedan pristup, korišćenjem VPN mreže IKT sistema i liste MAC adresa uređaja putem kojih je dozvoljen pristup, uz aktivan odgovarajući softver za zaštitu od virusa i drugog zlonamernog softvera.
Pristup resursima IKT sistema Grada Sremska Mitrovica sa udaljenih lokacija, od strane zaposlenih-korisnika, u cilju obavljanja radnih zadataka, omogućen je putem zaštićene VPN/internet konekcije.
Zaposlenom-korisniku, zabranjena je samostalna instalacija softvera i podešavanje mobilnog uređaja, kao i davanje uređaja drugim neovlašćenim licima (na uslugu, servisiranje i sl.).
IT administrator/serviser, svakodnevno kontroliše pristup resursima IKT sistema i proverava da li ima pristupa sa nepoznatih uređaja (sa nepoznatih MAC adresa). Ukoliko se ustanovi neovlašćen pristup o tome se putem elektronske pošte odmah, a najkasnije sutradan obaveštava načelnik Gradske uprave za budžet i lokalni ekonomski razvoj, a ta MAC adresa se unosi u "block" listu softvera koji se koristi za kontrolu pristupa.
Pristup resursima IKT sistema, sa privatnog uređaja, nije dozvoljen, osim ako je uređaj u vlasništvu Grada Sremska Mitrovica, oštećen i nije obezbeđena zamena.
Evidenciju privatnih uređaja sa kojih će biti omogućen pristup vodi rukovodilac Službe informatičkih poslova, a po odobrenju načelnika Gradske uprave za budžet i lokalni ekonomski razvoj.
Privatni uređaji sa kojih će se pristupati resursima IKT sistema moraju biti podešeni od strane Službe informatičkih poslova, mogu se koristiti samo za obavljanje poslova u nadležnosti korisnika-zaposlenog i to samo u periodu kada nije moguće koristiti uređaj u vlasništvu Grada Sremska Mitrovica.
Služba informatičkih poslova, je dužna da pre predaje uređaja ovlašćenom servisu, ukoliko kvar nije takve vrste da to onemogućava, uradi backup podataka koji se nalaze u mobilnom uređaju, a potom ih obriše iz uređaja, i po povratku iz servisa ponovo vrati podatke u mobilni uređaj.
3. Obezbeđivanje da lica koja koriste IKT sistem odnosno upravljaju IKT sistemom budu osposobljena za posao koji rade i razumeju svoju odgovornost
IKT sistemom upravljaju zaposleni u skladu sa važećom sistematizacijom radnih mesta.
IT administrator/serviser, je dužan/na da svakog novozaposlenog-korisnika IKT resursa upozna sa odgovornostima i pravilima korišćenja IKT resursa Grada Sremska Mitrovica, da ga upozna sa pravilima korišćenja resursa IKT sistema, kao i da vodi evidenciju o izjavama novozaposlenih - korisnika da su upoznati sa pravilima korišćenja IKT resursa.
Svako korišćenje IKT resursa Grada Sremska Mitrovica od strane zaposlenog- korisnika, van dodeljenih ovlašćenje, podleže disciplinskoj odgovornosti zaposlenog kojom se definiše odgovornost za neovlašćeno korišćenje imovine.
4. Zaštita od rizika koji nastaju pri promenama poslova ili prestanka radnog angažovanja lica zaposlenih kod operatora IKT sistema
U slučaju promene poslova, odnosno nadležnosti korisnika-zaposlenog, Služba informatičkih poslova će izvršiti promenu privilegija koje je korisnik-zaposleni imao u skladu sa opisom radnih zadataka, a na osnovu zahteva pretpostavljenog rukovodioca.
U slučaju prestanka radnog angažovanja korisnika-zaposlenog, korisnički nalog se ukida.
O prestanku radnog odnosa ili radnog angažovanja, kao i promeni radnog mesta, Kadrovska služba Gradske uprave za opšte i zajedničke poslove u saradnji sa neposrednim rukovodiocem, je dužna da obavesti rukovodioca Službe informatičkih poslova, radi ukidanja, odnosno izmenu pristupnih privilegija tog zaposlenog-korisnika.
Korisnik IKT resursa, nakon prestanka radnog angažovanja u gradskoj upravi, ne sme da otkriva podatke koji su od značaja za informacionu bezbednost IKT sistema.
5. Identifikovanje informacionih dobara i određivanje odgovornosti za njihovu zaštitu
Informaciona dobra Grada Sremska Mitrovica su svi resursi koji sadrže poslovne informacije grada Sremska Mitrovica, odnosno, putem kojih se vrši izrada, obrada, čuvanje, prenos, brisanje i uništavanje podataka u IKT sistemu, uključujući sve elektronske zapise, računarsku opremu, mobilne uređaje, baze podataka, poslovne aplikacije, konfiguraciju hardverskih komponenata, tehničku i korisničku dokumentaciju, unutrašnje pravilnike koji se odnose na IKT sistem i sl.)
Evidenciju o informacionim dobrima vodi Služba informatičkih poslova, u papirnoj ili elektronskoj formi.
Predmet zaštite su:
• hardverske i softverske komponente IKT sistema,
• podaci koji se obrađuju ili čuvaju na komponentama IKT sistema,
• korisnički nalozi i drugi podaci o korisnicima informatičkih resursa IKT sistema.
6. Klasifikovanje podataka tako da nivo njihove zaštite odgovara značaju podataka u skladu sa načelom upravljanja rizikom iz Zakona o informacionoj bezbednosti
Podaci koji se nalaze u IKT sistemu predstavljaju tajnu, ako su tako definisani odredbama posebnim propisima2.
Podaci koji se označe kao tajni, moraju biti zaštićeni u skladu sa odredbama Uredbe o posebnim merama zaštite tajnih podataka u informaciono-telekomunikacionim sistemima ("Sl. glasnik RS", br. 53/2011).
Detaljan opis informacija, nosačima informacija i dostupnosti podataka nalazi se u Informatoru o radu organa i službi Grada Sremska Mitrovica (www.sremskamitrovica.rs)
_____________
2 Zakon o slobodnom pristupu informacijama
od javnog značaja ("Sl. glasnik RS", br.120/04, 54/07, 104/09 i 36/10),
Zakon o zaštiti podataka o ličnosti ("Sl. glasnik RS", br. 97/08,
104/09 - dr. Zakon 68/12, - odluka US i 107/2012), Zakon o tajnosti podataka
("Sl.
glasnik RS", 104/2009), kao i Uredba o načinu i postupku označavanja tajnosti
podataka, odnosno dokumenata ("Sl. glasnik RS", br. 8/2011)
Služba informatičkih poslova, će uspostaviti organizaciju pristupa i rada sa podacima, posebno onima koji budu označeni stepenom službenosti ili tajnosti u skladu sa Zakonom o tajnosti podataka, tako da:
• podaci i dokumenti (posebno oni sa oznakom tajnosti) mogu da se snime (arhiviraju, zapišu) na serveru na kome se snimaju podaci, u folderu nad kojim će pravo pristupa imati samo zaposleni-korisnici kojima je to pravo obezbeđeno odlukom načelnika;
• podaci i dokumenti (posebno oni sa oznakom tajnosti) mogu da se snime na druge nosače (eksterni hard disk, USB, CD, DVD) samo od strane ovlašćenih zaposlenih - korisnika, Službe informatičkih poslova.
Evidenciju nosača na kojima su snimljeni podaci, vodi rukovodilac Službe informatičkih poslova i ti mediji moraju biti propisno obeleženi i odloženi na mesto na kome će biti zaštićeni od neovlašćenog pristupa.
U slučaju transporta medija sa podacima, načelnik Gradske uprave za budžet i lokalni ekonomski razvoj će odrediti odgovornu osobu i način transporta.
U slučaju isteka rokova čuvanja podataka koji se nalaze na medijima, podaci moraju biti nepovratno obrisani, a ako to nije moguće, takvi mediji moraju biti fizički oštećeni, odnosno uništeni.
8. Ograničenje pristupa podacima i sredstvima za obradu podataka
Pristup resursima IKT sistema određen je vrstom naloga, odnosno dodeljenom ulogom koju zaposleni-korisnik ima.
Zaposleni koji ima administratorski nalog, ima prava pristupa svim resursima IKT sistema (softverskim i hardverskim, mreži i mrežnim resursima) u cilju instalacije, održavanja, podešavanja i upravljanja resursima IKT sistema.
Zaposleni - korisnik može da koristi samo svoj korisnički nalog koji je dobio od administratora i ne sme da omogući drugom licu korišćenje njegovog korisničkog naloga, sem administratoru za podešavanje korisničkog profila i radne stanice.
Zaposleni-korisnik koji na bilo koji način zloupotrebi prava, odnosno resurse IKT sistema, podleže krivičnoj i disciplinskoj odgovornosti.
Zaposleni-korisnik dužan je da poštuje i sledeća pravila bezbednog i primerenog korišćenja resursa IKT sistema, i to da:
1) koristi informatičke resurse isključivo u poslovne svrhe;
2) prihvati da su svi podaci koji se skladište, prenose ili procesiraju u okviru informatičkih resursa vlasništvo Grada Sremska Mitrovica i da mogu biti predmet nadgledanja i pregledanja;
3) postupa sa poverljivim podacima u skladu sa propisima, a posebno prilikom kopiranja i prenosa podataka;
4) bezbedno čuva svoje lozinke, odnosno da ih ne odaje drugim licima;
5) menja lozinke saglasno utvrđenim pravilima;
6) pre svakog udaljavanja od radne stanice, odjavi se sa sistema, odnosno zaključa radnu stanicu;
7) zahtev za instalaciju softvera ili hardvera podnosi u pisanoj formi, odobren od strane neposrednog rukovodioca;
8) obezbedi sigurnost podataka u skladu sa važećim propisima;
9) pristupa informatičkim resursima samo na osnovu eksplicitno dodeljenih korisničkih prava;
10) ne sme da zaustavlja rad ili briše antivirusni program, menja njegove podešene opcije, niti da neovlašćeno instalira drugi antivirusni program;
11) na radnoj stanici ne sme da skladišti sadržaj koji ne služi u poslovne svrhe;
12) izrađuje zaštitne kopije (backup) podataka u skladu sa propisanim procedurama;
13) koristi internet i elektronsku poštu Grada Sremska Mitrovica u skladu sa propisanim procedurama;
14) prihvati da se određene vrste informatičkih intervencija (izrada zaštitnih kopija, ažuriranje programa, pokretanje antivirusnog programa i sl.) obavljaju u utvrđeno vreme;
15) prihvati da svi pristupi informatičkim resursima i informacijama treba da budu zasnovani na principu minimalne neophodnosti;
16) prihvati da tehnike sigurnosti (anti virus programi, firewall, sistemi za detekciju upada, sredstva za šifriranje, sredstva za proveru integriteta i dr.) sprečavaju potencijalne pretnje IKT sistemu;
17) ne sme da instalira, modifikuje, isključuje iz rada ili briše zaštitni, sistemski ili aplikativni softver.
9. Odobravanje ovlašćenog pristupa i sprečavanje neovlašćenog pristupa IKT sistemu i uslugama koje IKT sistem pruža
Pravo pristupa imaju samo zaposleni/korisnici koji imaju administratorske ili korisničke naloge.
Administratorski nalog je jedinstveni nalog kojim je omogućen pristup i administracija svih resursa IKT sistema, kao i otvaranje novih i izmena postojećih naloga.
Administratorski nalog mogu da koriste samo zaposleni na poslovima u Službi informatičkih poslova.
Korisnički nalog se sastoji od korisničkog imena i lozinke, koji se mogu ukucavati ili čitati sa medija na kome postoji elektronski sertifikat, na osnovu koga/jih se vrši autentifikacija - provera identiteta i autorizacija - provera prava pristupa, odnosno prava korišćenja resursa IKT sistema od strane zaposlenog-korisnika.
Korisnički nalog dodeljuje administrator, na osnovu zahteva zaposlenog zaduženog za upravljanje ljudskim resursima u saradnji sa neposrednim rukovodiocem i to tek nakon unosa podataka o zaposlenom u softver za upravljanje ljudskim resursima, a u skladu sa potrebama obavljanja poslovnih zadataka od strane zaposlenog-korisnika.
Administrator vodi evidenciju o korisničkim nalozima, proverava njihovo korišćenje, menja prava pristupa i ukida korisničke naloge na osnovu zahteva zaposlenog na poslovima upravljanja ljudskim resursima, odnosno nadležnog rukovodioca.
10. Utvrđivanje odgovornosti korisnika za zaštitu sopstvenih sredstava za autentikaciju
Korisnički nalog se sastoji od korisničkog imena i lozinke.
(Primer: Korisničko ime se kreira po matrici ime, prezime, latiničnim pismom bez upotrebe slova đ, ž, lj, nj, ć, č, dž, š. Preporuka: umesto ovih slova koristiti slova iz sledeće tabele)
Ćirilična slova |
Latinična slova |
Ђ |
dj |
Ж |
z |
Љ |
lj |
Њ |
nj |
ћ, ч |
c |
Ш |
s |
Џ |
dz |
Lozinka mora da sadrži minimum osam karaktera kombinovanih od malih i velikih slova, cifara i specijalnih znakova.
Lozinka ne sme da sadrži ime, prezime, datum rođenja, broj telefona i druge prepoznatljive podatke.
Ako zaposleni-korisnik posumnja da je drugo lice otkrilo njegovu lozinku dužan je da istu odmah izmeni. Takođe, zaposleni-korisnik dužan je da menja lozinku najmanje jednom u tri meseca.
Ista lozinka se ne sme ponavljati u vremenskom periodu od godinu dana.
Korisnički nalog može da se se kreira i na osnovu podataka koji se nalaze na mediju sa kvalifikovanim elektronskim sertifikatom (npr. lična karta sa čipom i upisanim sertifikatom).
Prijavljivanje u IKT sistem Grada Sremska Mitrovica se vrši ubacivanjem medija sa elektronskim sertifikatom u čitač kartica.
Neovlašćeno ustupanje korisničkog naloga drugom licu, podleže disciplinskoj odgovornosti.
11. Predviđanje odgovarajuće upotrebe kriptozaštite radi zaštite tajnosti, autentičnosti odnosno integriteta podataka
Pristup resursima IKT sistema Grada Sremska Mitrovica ne zahteva posebnu kriptozaštitu.
Zaposleni-korisnici koriste kvalifikovane elektronske sertifikate za elektronsko potpisivanje dokumenata kao i autentifikaciju i autorizaciju pristupa pojedinim aplikacijama.
Zaposleni na poslovima IKT su zaduženi za instalaciju potrebnog softvera i hardvera za korišćenje sertifikata.
Zaposleni-korisnici su dužni da čuvaju svoje kvalifikovane elektronske sertifikate kako ne bi došli u posed drugih lica.
12. Fizička zaštita objekata, prostora, prostorija odnosno zona u kojima se nalaze sredstva i dokumenti IKT sistema i obrađuju podaci u IKT sistemu
Prostor u kome se nalaze serveri, mrežna ili komunikaciona oprema IKT sistema, organizuje sa kao administrativna zona. Administrativna zona se uspostavlja za fizički pristup resursima IKT sistema u kontrolisanom, vidljivo označenom prostoru, koji je obezbeđen mehaničkom bravom.
Prostor mora da bude obezbeđen od kompromitujućeg elektromagnetnog zračenja (KEMZ), požara i drugih elementarnih nepogoda, i u njemu treba da bude odgovarajuća temperatura (klimatizovan prostor) - profesionalna klimatizacija i alarm za ekstremno visoke temperature.
Evidenciju o ulasku u. Evidencija ulaska u server salu nakon isteka radnog vremena vodi se pomoću magnetnih kartica. ovu zonu, u toku radnog vremena, vodi rukovodilac Službe informatičkih poslova.
Prostor sale Data centra (Cloud) je organizovan kao poseban protivpožarni sektor. Pristup ovlašćenom osoblju omogućen je 24x7 kartičnim sistemom za ulazak i postavljeno je fizičko obezbeđenje 24x7. Na ulaznim vratima je postavljen alarmni sistem.
Evidencija ulazaka u Data centar vodi se preko video nadzora i evidencije ulazaka. Vodi se arhiva snimaka sa sistema video nadzora i evidencije ulazaka.
13. Zaštita od gubitka, oštećenja, krađe ili drugog oblika ugrožavanja bezbednosti sredstava koja čine IKT sistem
Ulaz u prostoriju u kojoj se nalazi IKT oprema, dozvoljen je samo administratoru IKT sistema / zaposlenima na poslovima IKT.
Osim administratora sistema, pristup administrativnoj zoni mogu imati i treća lica u cilju instalacije i servisiranja određenih resursa IKT sistema, a po prethodnom odobrenju načelnika Gradske uprave za budžet i lokalni ekonomski razvoj, i uz prisustvo rukovodioca Službe informatičkih poslova.
Pristup administrativnoj zoni može imati i zaposleni/a na poslovima održavanja higijene.
Prostorija mora biti vidljivo obeležena i u njoj se mora nalaziti protivpožarna oprema, koja se može koristiti samo u slučaju požara u prostoriji u kojoj se nalazi IKT oprema i mediji sa podacima.
Prozori i vrata na ovoj prostoriji moraju uvek biti zatvoreni.
Serveri i aktivna mrežna oprema (switch, modem, router, firewall), moraju stalno biti priključeni na uređaje za neprekidno napajanje - UPS. U slučaju nestanka električne energije, u periodu dužem od kapaciteta UPS-a, ovlašćeno lice je dužno da isključi opremu u skladu sa procedurama proizvođača opreme.
IKT oprema iz prostorije se u slučaju opasnosti (požar, vremenske nepogode i sl.) može izneti i bez odobrenja načelnika. U slučaju iznošenja opreme radi selidbe ili servisiranja, neophodno je odobrenje načelnika koji će odrediti uslove, način i mesto iznošenja opreme.
Ako se oprema iznosi radi servisiranja, rukovodilac Službe informatičkih poslova vrši evidenciju u kojoj se navodi naziv i tip opreme, serijski broj, naziv servisera, ime i prezime ovlašćenog lica servisera.
Ugovorom sa serviserom mora biti definisana obaveza zaštite podataka koji se nalaze na medijima koji su deo IKT resursa Grada Sremska Mitrovica.
14. Obezbeđivanje ispravnog i bezbednog funkcionisanja sredstava za obradu podataka
Zaposleni na poslovima IKT kontinuirano nadziru i proveravaju funkcionisanje sredstava za obradu podataka i upravljaju rizicima koji mogu uticati na bezbednost IKT sistema i u skladu sa tim, planiraju, odnosno predlažu načelniku Gradske uprave za budžet i lokalni ekonomski razvoj odgovarajuće mere.
Pre uvođenja u rad novog softvera neophodno je napraviti kopiju-arhivu postojećih podataka, u cilju pripreme za proceduru vraćanja na prethodnu stabilnu verziju.
Instaliranje novog softvera kao i ažuriranje postojećeg, odnosno instalacija nove verzije, može se vršiti na način koji ne ometa operativni rad zaposlenih-korisnika.
U slučaju da se na novoj verziji softvera koji je uveden u operativni rad primete bitni nedostaci koji mogu uticati na rad, potrebno je primeniti proceduru za vraćanje na prethodnu stabilnu verziju softvera.
Za razvoj i testiranje softvera pre uvođenja u rad u IKT sistem moraju se koristiti serveri i podaci koji su namenjeni testiranju i razvoju.
Pri testiranju softvera je potrebno obezbediti neometano funkcionisanje IKT sistema. Zabranjeno je korišćenje servera koji se koriste u operativnom radu za testiranje softvera, na način koji može da zaustavi normalno funkcionisanje IKT sistema.
15. Zaštita podataka i sredstva za obradu podataka od zlonamernog softvera
Zaštita od zlonamernog softvera na mreži sprovodi se u cilju zaštite od virusa i druge vrste zlonamernog koda koji u računarsku mrežu mogu dospeti internet konekcijom, imejlom, zaraženim prenosnim medijima (USB memorija, CD itd.), instalacijom nelicenciranog softvera i sl.
Za uspešnu zaštitu od virusa na svakom računaru je instaliran antivirusni program. Svakodnevno se automatski u poslepodnevnim satima vrši dopuna antivirusnih definicija.
Svakog pretposlednjeg radnog dana u nedelji je potrebno ostaviti uključene i zaključane računare radi skeniranja na viruse.
Zabranjeno je zaustavljanje i isključivanje antivirusnog softvera tokom skeniranja prenosnih medija.
Prenosivi mediji, pre korišćenja, moraju biti provereni na prisustvo virusa. Ako se utvrdi da prenosivi medij sadrži viruse, ukoliko je to moguće, vrši se čišćenje medija antivirusnim softverom.
Rizik od eventualnog gubitka podataka prilikom čišćenja medija od virusa snosi donosilac medija.
U cilju zaštite, odnosno upada u IKT sistem Grada Sremska Mitrovica sa interneta, IT administrator/serviser je dužan da održava sistem za sprečavanje upada.
Načelnici gradskih uprava određuju koji zaposleni imaju pravo pristupa internetu radi prikupljanja podataka i ostalih informacija vezanih za obavljanje poslova u njihovoj nadležnosti.
Korisnicima koji su priključeni na IKT sistem je zabranjeno samostalno priključivanje na internet (priključivanje preko sopstvenog modema), pri čemu rukovodilac Službe informatičkih poslova, može ukinuti pristup internetu u slučaju dokazane zloupotrebe istog.
Korisnici IKT sistema koji koriste internet moraju da se pridržavaju mera zaštite od virusa i upada sa interneta u IKT sistem, a svaki računar čiji se zaposleni-korisnik priključuje na internet mora biti odgovarajuće podešen i zaštićen, pri čemu podešavanje vrši IT administrator/serviser.
Prilikom korišćenja interneta treba izbegavati sumnjive WEB stranice, s obzirom da to može prouzrokovati probleme - neprimetno instaliranje špijunskih programa i slično.
U slučaju da korisnik primeti neobično ponašanje računara, zapažanje treba bez odlaganja da prijavi rukovodiocu Službe informatičkih poslova.
Strogo je zabranjeno gledanje zabavnih sadržaja na računarima i "krstarenje" WEB stranicama koje sadrže nedoličan sadržaj, kao i samovoljno preuzimanje istih sa interneta.
Nedozvoljena upotreba interneta obuhvata:
• instaliranje, distribuciju, oglašavanje, prenos ili na drugi način činjenje dostupnim "piratskih" ili drugih softverskih proizvoda koji nisu licencirani na odgovarajući način;
• narušavanje sigurnosti mreže ili na drugi način onemogućavanje poslovne internet komunikacije;
• namerno širenje destruktivnih i opstruktivnih programa na internetu (internet virusi, internet trojanski konji, internet crvi i druge vrste malicioznih softvera);
• nedozvoljeno korišćenje društvenih mreža i drugih internet sadržaja koje je ograničeno;
• preuzimanje (download) podataka velike "težine" koje prouzrokuje "zagušenje" na mreži;
• preuzimanje (download) materijala zaštićenih autorskim pravima;
• korišćenje linkova koji nisu u vezi sa poslom (gledanje filmova, audio i videostreaming i sl.);
• nedozvoljeni pristup sadržaju, promena sadržaja, brisanje ili prerada sadržaja preko interneta.
Korisnicima koji neadekvatnim korišćenjem interneta uzrokuju zagušenje, prekid u radu ili narušavaju bezbednost mreže može se oduzeti pravo pristupa.
Data centar (Cloud) ima naprednu antimalver zaštitu podataka pomoću antimalver modula koji štiti Windowsi Linux mašine od malicioznog softvera, kao što su malware, spyware i trojanci. Antimalver modul veoma brzo i efikasno vrši identifikaciju u uklanjanje malvera.
16. Zaštita od gubitka podataka
Baze podataka obavezno se arhiviraju na prenosive medije (CDROM, DVD, USB, "strimer" traka, eksterni hard disk), najmanje jednom dnevno, nedeljno, mesečno i godišnje, za potrebe obnove baze podataka.
Ostali fajlovi-dokumenti se arhiviraju najmanje jednom nedeljno, mesečno i godišnje.
Podaci o zaposlenima-korisnicima, arhiviraju se najmanje jednom mesečno.
Dnevno kopiranje-arhiviranje vrši se za svaki radni dan u sedmici, od 14 časova svakog radnog dana.
Mesečno kopiranje-arhiviranje vrši se poslednjeg radnog dana u mesecu, od 14 časova.
Godišnje kopiranje-arhiviranje vrši se poslednjeg radnog dana u godini.
Svaki primerak godišnje kopije-arhive čuva se u roku koji je definisan Uputstvom o kancelarijskom poslovanju organa državne uprave ("Sl. Glasnik RS", br 10/93, 14/93 i 67/2016).
Svaki primerak prenosnog informatičkog medija sa kopijama-arhivama, mora biti označen brojem, vrstom (dnevna, nedeljna, mesečna, godišnja), datumom izrade kopije-arhive, kao i imenom zaposlenog-korisnika koji je izvršio kopiranje-arhiviranje.
Dnevne, nedeljne i mesečne kopije-arhive se čuvaju u prostoriji koja je fizički i u skladu sa merama zaštite od požara obezbeđena.
Godišnje kopije-arhive se izrađuju u dva primerka, od kojih se jedan čuva u prostoriji u kojoj se čuvaju dnevne, nedeljne i mesečne kopije-arhive, a drugi primerak u zgradi Ministarstva unutrašnjih poslova Republike Srbije - Policijske uprave Sremska Mitrovica.
Ispravnost kopija-arhiva proverava se najmanje na šest meseci.
U Data centru je izdvojen replikacioni server na kojom se u realnom vremenu vrši replikacija (bekap) podataka.
17. Čuvanje podataka o događajima koji mogu biti od značaja za bezbednost IKT sistema
O aktivnostima administratora i zaposlenih-korisnika vode se dnevnici aktivnosti (activitylog, history, securitylog, transactionlog i dr).
Svakog poslednjeg radnog dana u nedelji datoteke u kojima se nalazi dnevnik aktivnosti se arhiviraju po proceduri za izradu kopija-arhiva ostalih podataka u IKT sistemu, u skladu sa članu 20. ovog Pravilnika.
18. Obezbeđivanje integriteta softvera i operativnih sistema
U IKT sistemu može da se instalira samo softver za koji postoji važeća licenca u vlasništvu Grada Sremska Mitrovica, odnosno Freeware i Opensource verzije.
Instalaciju i podešavanje softvera može da vrši samo Služba informatičkih poslova, odnosno zaposleni-korisnik koji ima ovlašćenje za to.
Instalaciju i podešavanje softvera može da izvrši i treće lice, u skladu sa Ugovorom o nabavci, odnosno održavanju softvera.
Pre svake instalacije nove verzije softvera, odnosno podešavanja, neophodno je napraviti kopiju postojećeg, kako bi se obezbedila mogućnost povratka na prethodno stanje u slučaju neočekivanih situacija.
19. Zaštita od zloupotrebe tehničkih bezbednosnih slabosti IKT sistema
Služba informatičkih poslova najmanje jednom mesečno a po potrebi i češće vrši analizu dnevnika aktivnosti (activitylog, history, securitylog, transactionlog i dr.) u cilju identifikacije potencijalnih slabosti IKT sistema.
Ukoliko se identifikuju slabosti koje mogu da ugroze bezbednost IKT sistema, rukovodilac Službe informatičkih poslova je dužan da odmah izvrši podešavanja, odnosno instalira softver koji će otkloniti uočene slabosti.
Služba informatičkih poslova treba da podešavanjem korisničkih polisa, onemogući neovlašćeno instaliranje softvera koji može dovesti do ugrožavanja bezbednosti IKT sistema.
20. Obezbeđivanje da aktivnosti na reviziji IKT sistema imaju što manji uticaj na funkcionisanje sistema
Revizija IKT sistema se mora vršiti tako da ima što manji uticaj na poslovne procese korisnika-zaposlenih. Ukoliko to nije moguće u radno vreme, onda se vrši nakon završetka radnog vremena korisnika-zaposlenih, čiji bi poslovni proces bio ometan, uz prethodnu saglasnost načelnika Gradske uprave za budžet i lokalni ekonomski razvoj.
21. Zaštita podataka u komunikacionim mrežama uključujući uređaje i vodove
Komunikacioni kablovi i kablovi za napajanje moraju biti postavljeni u zidu ili kanalicama, tako da se onemogući neovlašćen pristup, odnosno da se izvrši izolacija od mogućeg oštećenja.
Mrežna oprema (switch, router, firewall) se mora nalaziti u zaključanom rack ormanu. IT administrator/serviser, je dužan da stalno vrši kontrolni pregled mrežne opreme i blagovremeno preduzima mere u cilju otklanjanja eventualnih nepravilnosti.
Bežična mreža koju mogu da koriste posetioci objekata u nadležnosti grada, mora biti odvojena od interne mreže koju koriste korisnici zaposleni u gradskim upravama i kroz koju se vrši razmena službenih podataka.
Ta mreža treba da bude označena (SSID) po modelu ime grada.
Usluga L3VPN omogućava povezivanje sa Data centrom i to tako da je rutiranje i adresni prostor nezavisan od ostalih mreža. Komunikacioni saobraćaj u L3VPN-u je odvojen od ostalog komunikacionog saobraćaja.
Za povezivanje lokacija nije dozvoljeno korišćenje Interneta, niti tunela preko Interneta, već isključivo IP/MPLS (VPN) mreža koja je odvojena od Interneta.
21a. Bezbednost podataka koji se prenose unutar operatora IKT sistema, kao i između operatora IKT sistema i lica van operatora IKT sistema
Zaštita podataka koji se prenose komunikacionim sredstvima unutar Grada Sremska Mitrovica, između operatora IKT sistema i lica van operatora IKT sistema, obezbeđuje se utvrđivanjem odgovarajućih pravila, potpisivanjem ugovora i sporazuma kao i primenom adekvatnih kontrola, čime se predviđa zaštita od prisluškivanja, modifikovanja, pogrešnog usmeravanja i uništenja podataka, otkrivanje i zaštita od zlonamernog softvera.
Upotreba elektronske pošte mora biti u skladu sa pravilima postupka, sigurna i u skladu sa poslovnom praksom. Elektronska pošta se može koristiti isključivo za poslovne potrebe, svi podaci sadržani u porukama ili njihovim prilozima moraju biti u skladu sa standardima zaštite podataka.
Kada se prenos podataka vrši između IKT sistema Grada Sremska Mitrovica i lica van operatora IKT sistema, mora da se poštuje sporazum o prenosu podataka, poverljivosti i neotkrivanju koji sadrže odredbe o bezbednosti prenosa podataka. Sporazumom o poverljivosti i neotkrivanju informacija obavezuje potpisnike da ih štite i koriste na odgovoran i autorizovan način.
22. Pitanja informacione bezbednosti u okviru upravljanja svim fazama životnog ciklusa IKT sistema odnosno delova sistema
Način instaliranja novih, zamena i održavanje postojećih resursa IKT sistema od strane trećih lica koja nisu zaposlena u gradskim upravama, biće definisan ugovorom koji će biti sklopljen sa tim licima.
Rukovodilac Službe informatičkih poslova je zadužen za tehnički nadzor nad realizacijom ugovorenih obaveza od strane trećih lica.
O uspostavljanju novog IKT sistema, odnosno uvođenju novih delova i izmenama postojećih delova IKT sistema Služba za javne nabavke Gradske uprave za opšte i zajedničke poslove vodi dokumentaciju i oni su sastavni deo ugovora o nabavci i održavanju sistema.
Dokumentacija iz prethodnog stava mora da sadrži opise svih procedura, a posebno procedura koje se odnose na bezbednost IKT sistema.
Informacije obuhvaćene aplikativnim uslugama koje prolaze kroz javne mreže treba zaštiti od malverzacija, neovlašćenog otkrivanja podataka i modifikovanja. Informacije uključene u transakcije aplikativnih usluga se štite da bi se sprečilo nepotpuni prenos, pogrešno usmeravanje, neovlašćeno menjanje podataka, neovlašćeno razotkrivanje, neovlašćeno kopiranje ili ponovno emitovanje.
Neophodno je proveriti identitet korisnika i izvršiti podelu ovlašćenja i odgovornosti za postavljanje sadržaja, elektronskog potpisivanja ili obavljanja transakcija.
23. Zaštita podataka koji se koriste za potrebe testiranja IKT sistema odnosno delova sistema
Za potrebe testiranja IKT sistema odnosno delova sistema Službe informatičkih poslova može da koristi podatke koji nisu osetljivi, koje štiti, čuva i kontroliše na odgovarajući način.
24. Zaštita sredstava operatora IKT sistema koja su dostupna pružaocima usluga
Treća lica-pružaoci usluga izrade i održavanja softvera mogu pristupiti samo onim podacima koji se nalaze u bazama podataka koje su deo softvera koji su oni izradili, odnosno za koje postoji ugovorom definisan pristup.
Rukovodilac Službe informatičkih poslova je odgovoran za kontrolu pristupa i nadzor nad izvršenjem ugovorenih obaveza, kao i za poštovanje odredbi ovog Pravilnika kojima su takve aktivnosti definisane.
25. Održavanje ugovorenog nivoa informacione bezbednosti i pruženih usluga u skladu sa uslovima koji su ugovoreni sa pružaocem usluga
Rukovodilac Službe informatičkih poslova je odgovoran za nadzor nad poštovanjem ugovorenih obaveza od strane trećih lica- pružaoca usluga, posebno u oblasti poštovanja odredbi kojima je definisana bezbednost resursa IKT sistema. U slučaju nepoštovanja ugovorenih obaveza rukovodilac Službe informatičkih poslova je dužan da odmah obavesti načelnika, kako bi on mogao da preduzme mere u cilju otklanjanja nepravilnosti.
26. Prevencija i reagovanje na bezbednosne incidente, što podrazumeva adekvatnu razmenu informacija o bezbednosnim slabostima IKT sistema, incidentima i pretnjama
U slučaju bilo kakvog incidenta koji može da ugrozi bezbednost resursa IKT sistema, zaposleni-korisnik je dužan da odmah obavesti rukovodioca Službe informatičkih poslova, a po prijemu prijave rukovodilac Službe informatičkih poslova, takođe je dužan da odmah obavesti načelnika Gradske uprave za budžet i lokalni ekonomski razvoj i preduzme mere u cilju zaštite resursa IKT sistema.
Ukoliko se radi o incidentu koji je definisan u skladu sa Uredbom o postupku dostavljanja podataka, listi, vrstama i značaju incidenata i postupku obaveštavanja o incidentima u informaciono-komunikacionim sistemima od posebnog značaja, "Sl. glasnik RS", br, 94/2016), rukovodilac Službe informatičkih poslova, je dužan da pored načelnika obavesti i nadležni organ definisan Uredbom.
Rukovodilac Službe informatičkih poslova vodi evidenciju o svim incidentima, kao i prijavama incidenata, u skladu sa uredbom, na osnovu koje, protiv odgovornog lica, mogu da se vode disciplinski, prekršajni ili krivični postupci.
27. Mere koje obezbeđuju kontinuitet obavljanja posla u vanrednim okolnostima
U slučaju vanrednih okolnosti, koje mogu da dovedu do izmeštanja IKT sistema iz zgrade gradskih uprava Grada Sremska Mitrovica, rukovodilac Službe informatičkih poslova je dužan da u najkraćem roku obezbedi prenos delova IKT sistema (ili obezbedi funkcionisanje redudantnih komponenti na rezervnoj lokaciji ukoliko postoje) neophodne za funkcionisanje u vanrednoj situaciji na rezervnu lokaciju, u skladu sa planom reagovanja u vanrednim i kriznim situacijama.
Specifikaciju delova IKT sistema koji su neophodni za funkcionisanje u vanrednim situacijama izrađuje rukovodilac Službe informatičkih poslova, i to u tri primerka, od kojih se jedan nalazi kod njega/e, drugi kod zaposlenog nadležnog za poslove odbrane i vanredne situacije a treći primerak kod načelnika Gradske uprave za budžet i lokalni ekonomski razvoj.
Delove IKT sistema koji nisu neophodni za funkcionisanje u vanrednim situacijama, skladište se na rezervnu lokaciju, koju odredi načelnik Gradske uprave za budžet i lokalni ekonomski razvoj. Skladištenje delova IKT sistema koji nisu neophodni, se vrši tako da oprema bude bezbedna i obeležena, u skladu sa evidencijom koja se o njoj vodi.
III IZMENA PRAVILNIKA O BEZBEDNOSTI
U slučaju nastanka promena koje mogu nastupiti usled tehničko-tehnoloških, kadrovskih, organizacionih promena u IKT sistemu i događaja na globalnom i nacionalnom nivou koji mogu narušiti informacionu bezbednost, rukovodilac Službe informatičkih poslova je dužan/a da obavesti načelnika Gradske uprave za budžet i lokalni ekonomski razvoj, kako bi on mogao da pristupi izmeni ovog pravilnika, u cilju unapređenje mera zaštite, načina i procedura postizanja i održavanja adekvatnog nivoa bezbednosti IKT sistema, kao i preispitivanje ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima IKT sistema.
Proveru IKT sistema vrši rukovodilac Službe informatičkih poslova i IT administrator/serviser.
Provera se vrši tako što se:
1) proverava usklađenost Pravilnika o bezbednosti IKT sistema, uzimajući u obzir i pravilnike na koja se vrši upućivanje, sa propisanim uslovima, odnosno proverava da li su pravilnikom adekvatno predviđene mere zaštite, procedure, ovlašćenja i odgovornosti u IKT sistemu;
2) proverava da li se u operativnom radu adekvatno primenjuju predviđene mere zaštite i procedure u skladu sa utvrđenim ovlašćenjima i odgovornostima, metodama intervjua, simulacije, posmatranja, uvida u predviđene evidencije i drugu dokumentaciju;
3) vrši provera bezbednosnih slabosti na nivou tehničkih karakteristika komponenti IKT sistema metodom uvida u izabrane proizvode, arhitekture rešenja, tehničke konfiguracije, tehničke podatke o statusima, zapise o događajima (logove) kao i metodom testiranja postojanja poznatih bezbednosnih slabosti u sličnim okruženjima.
O izvršenoj proveri sačinjava se izveštaj, koji se dostavlja načelniku Gradske uprave za budžet i lokalni ekonomski razvoj.
V SADRŽAJ IZVEŠTAJA O PROVERI IKT SISTEMA
Izveštaj o proveri IKT sistema sadrži:
1) naziv operatora IKT sistema koji se proverava;
2) vreme provere;
3) podaci o licima koja su vršila proveru;
4) izveštaj o sprovedenim radnjama provere;
5) zaključke po pitanju usklađenosti Pravilnika o bezbednosti IKT sistema sa propisanim uslovima;
6) zaključke po pitanju adekvatne primene predviđenih mera zaštite u operativnom radu;
7) zaključke po pitanju eventualnih bezbednosnih slabosti na nivou tehničkih karakteristika komponenti IKT sistema;
8) ocena ukupnog nivoa informacione bezbednosti;
9) predlog eventualnih korektivnih mera;
10) potpis odgovornog lica koje je sprovelo proveru IKT sistema.
Ovaj Pravilnik stupa na snagu danom objavljivanja u "Službenom listu Grada Sremska Mitrovica".