PRAVILNIKO BEZBEDNOSTI INFORMACIONO-KOMUNIKACIONOG SISTEMA GRADA NIŠA("Sl. list grada Niša", br. 84/2022) |
Uvodne odredbe
Ovim pravilnikom, utvrđuju se mere zaštite, principi, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti sistema, kao i ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima IKT sistema grada Niša (u daljem tekstu: IKT sistem).
Nepoštovanje odredbi ovog pravilnika povlači disciplinsku odgovornost zaposlenog - korisnika informatičkih resursa Grada Niša.
Za realizaciju i praćenje primene ovog pravilnika zadužuje se uprava nadležna za poslove IKT sistema grada Niša (u daljem tekstu: Uprava za poslove IKT sistema).
Mere propisane ovim pravilnikom se odnose na sve organizacione jedinice Grada Niša (gradske uprave, Kancelarija za lokalni ekonomski razvoj, Prvobranilaštvo Grada Niša i drugi organi ili organizacioni oblici Grada Niša), na sve zaposlene - korisnike informatičkih resursa, kao i na treća lica koja koriste informatičke resurse Grada Niša.
Pojedini termini u smislu ovog pravilnika imaju sledeće značenje:
1) informaciono-komunikacioni sistem (IKT sistem) je tehnološko-organizaciona celina koja obuhvata:
(1) elektronske komunikacione mreže u smislu zakona koji uređuje elektronske komunikacije;
(2) uređaje ili grupe međusobno povezanih uređaja, takvih da se u okviru uređaja, odnosno u okviru barem jednog iz grupe uređaja, vrši automatska obrada podataka korišćenjem računarskog programa;
(3) podatke koji se pohranjuju, obrađuju, pretražuju ili prenose pomoću sredstava iz podtač. (1) i (2) ove tačke, a u svrhu njihovog rada, upotrebe, zaštite ili održavanja;
(4) organizacionu strukturu putem koje se upravlja IKT sistemom;
2) informaciona bezbednost predstavlja skup mera koje omogućavaju da podaci kojima se rukuje putem IKT sistema budu zaštićeni od neovlašćenog pristupa, kao i da se zaštiti integritet, raspoloživost, autentičnost i neporecivost tih podataka, da bi taj sistem funkcionisao kako je predviđeno, kada je predviđeno i pod kontrolom ovlašćenih lica;
3) tajnost je svojstvo koje znači da podatak nije dostupan neovlašćenim licima;
4) integritet znači očuvanost izvornog sadržaja i kompletnosti podatka;
5) raspoloživost je svojstvo koje znači da je podatak dostupan i upotrebljiv na zahtev ovlašćenih lica onda kada im je potreban;
6) autentičnost je svojstvo koje znači da je moguće proveriti i potvrditi da je podatak stvorio ili poslao onaj za koga je deklarisano da je tu radnju izvršio;
7) neporecivost predstavlja sposobnost dokazivanja da se dogodila određena radnja ili da je nastupio određeni događaj, tako da ga naknadno nije moguće poreći;
8) rizik znači mogućnost narušavanja informacione bezbednosti, odnosno mogućnost narušavanja tajnosti, integriteta, raspoloživosti, autentičnosti ili neporecivosti podataka ili narušavanja ispravnog funkcionisanja IKT sistema;
9) upravljanje rizikom je sistematičan skup mera koji uključuje planiranje, organizovanje i usmeravanje aktivnosti kako bi se obezbedilo da rizici ostanu u propisanim i prihvatljivim okvirima;
10) incident je unutrašnja ili spoljna okolnost ili događaj kojim se ugrožava ili narušava informaciona bezbednost;
11) mere zaštite IKT sistema su tehničke i organizacione mere za upravljanje bezbednosnim rizicima IKT sistema;
12) tajni podatak je podatak koji je, u skladu sa propisima o tajnosti podataka, određen i označen određenim stepenom tajnosti;
13) IKT sistem za rad sa tajnim podacima je IKT sistem koji je u skladu sa zakonom određen za rad sa tajnim podacima;
14) kompromitujuće elektromagnetno zračenje (KEMZ) predstavlja nenamerne elektromagnetne emisije prilikom prenosa, obrade ili čuvanja podataka, čijim prijemom i analizom se može otkriti sadržaj tih podataka;
15) kriptobezbednost je komponenta informacione bezbednosti koja obuhvata kriptozaštitu, upravljanje kriptomaterijalima i razvoj metoda kriptozaštite;
16) kriptozaštita je primena metoda, mera i postupaka radi transformisanja podataka u oblik koji ih za određeno vreme ili trajno čini nedostupnim neovlašćenim licima;
17) kriptografski proizvod je softver ili uređaj putem koga se vrši kriptozaštita;
18) kriptomaterijali su kriptografski proizvodi, podaci, tehnička dokumentacija kriptografskih proizvoda, kao i odgovarajući kriptografski ključevi;
19) bezbednosna zona je prostor ili prostorija u kojoj se, u skladu sa propisima o tajnosti podataka, obrađuju i čuvaju tajni podaci;
20) informaciona dobra obuhvataju podatke u datotekama i bazama podataka, programski kôd, konfiguraciju hardverskih komponenata, tehničku i korisničku dokumentaciju, unutrašnje opšte pravilnike, procedure i slično;
21) VPN (Virtual Private Network)-je "privatna" komunikaciona mreža koja omogućava korisnicima na razdvojenim lokacijama da preko javne mreže jednostavno održavaju zaštićenu komunikaciju;
22) MAC adresa (Media Access Control Address) je jedinstven broj, kojim se vrši identifikacija uređaja na mreži;
23) Backup je rezervna kopija podataka;
24) Download je transfer podataka sa centralnog računara ili web prezentacije na lokalni računar;
25) UPS (Uninterruptible power supply) je uređaj za neprekidno napajanje električnom energijom;
26) Freeware je besplatan softver;
27) Opensource softver otvorenog koda;
28) Firewall je "zaštitni zid" odnosno sistem preko koga se vrši nadzor i kontroliše protok informacija između lokalne mreže i interneta u cilju onemogućavanja zlonamernih aktivnosti;
29) USB ili fleš memorija je spoljašnji medijum za skladištenje podataka;
30) CD-ROM (Compact disk - read only memory) se koristi kao medijum za snimanje podataka;
31) DVD je optički disk visokog kapaciteta koji se koristi kao medijum za skladištenje podataka.
Merama zaštite IKT sistema se obezbeđuje prevencija od nastanka incidenata, odnosno prevencija i minimizacija štete od incidenata koji ugrožavaju vršenje nadležnosti i obavljanje delatnosti, a posebno u okviru pružanja usluga drugim licima.
1. Organizaciona struktura, sa utvrđenim poslovima i odgovornostima zaposlenih, kojom se ostvaruje upravljanje informacionom bezbednošću u okviru Grada Niša
Svaki zaposleni-korisnik resursa IKT sistema je odgovoran za bezbednost resursa IKT sistema koje koristi radi obavljanja poslova iz svoje nadležnosti.
Kontrolu i nadzor nad obavljanjem poslova zaposlenih-korisnika, u cilju zaštite i bezbednosti IKT sistema, kao i za obavljanje poslova iz oblasti bezbednosti celokupnog IKT sistema grada Niša vrši Uprava za poslove IKT sistema.
Pod poslovima iz oblasti bezbednosti utvrđuju se:
• poslovi zaštite informacionih dobara, odnosno sredstava imovine za nadzor nad poslovnim procesima od značaja za informacionu bezbednost
• poslovi upravljanje rizicima u oblasti informacione bezbednosti, kao i poslovi predviđeni procedurama u oblasti informacione bezbednosti
• poslovi onemogućavanja, odnosno sprečavanja neovlašćene ili nenamerne izmene, oštećenja ili zloupotrebe sredstava, odnosno informacionih dobara IKT sistema grada Niša, kao i pristup, izmene ili korišćenje sredstava bez ovlašćenja i bez evidencije o tome
• praćenje aktivnosti, revizije i nadzora u okviru upravljanja informacionom bezbednošću
• obaveštavanje nadležnih organa o incidentima u IKT sistemu, u skladu sa propisima.
U slučaju incidenta rukovodilac unutrašnje organizacione jedinice nadležne za poslove IKT sistema obaveštava svog načelnika uprave koji, u skladu sa važećim propisima, obaveštava nadležne organe u cilju rešavanja nastalog bezbedonosnog incidenta.
2. Bezbednost rada na daljinu i upotreba mobilnih uređaja
Zaposleni-korisnici resursa IKT sistema, mogu putem mobilnih uređaja, koji su u vlasništvu grada Niša, i koji su podešeni od strane Resorne OJ, da pristupaju samo onim delovima IKT sistema koji im omogućavaju obavljanje radnih zadataka u okviru njihove nadležnosti (primera radi elektronska pošta), a na osnovu zahteva korisnika i saglasnosti rukovodioca Službe za IKT.
Mobilni uređaji moraju biti podešeni tako da omoguće siguran i bezbedan pristup, korišćenjem VPN mreže IKT, uz aktivan odgovarajući softver za zaštitu od virusa i drugog zlonamernog softvera.
Pristup resursima IKT sistema grada Niša sa udaljenih lokacija, od strane zaposlenih - korisnika, u cilju obavljanja radnih zadataka, omogućen je putem zaštićene VPN/internet konekcije.
Zabranjeno je davanje mobilnih uređaja drugim neovlašćenim licima (na uslugu, servisiranje i sl.). Zaposlenom - korisniku, zabranjena je samostalna instalacija softvera i podešavanje prenosnog računara. Zaposleni - korisnik se obavezuje da će telefon, odnosno tablet koristiti savesno, i da shodno tome odlučuje o vrsti i nameni aplikacija koje će instalirati, kao i da je svestan odgovornosti svojih postupaka.
Pristup resursima IKT sistema, sa privatnog uređaja, nije dozvoljen, osim ako je uređaj u vlasništvu grada Niša, oštećen i nije obezbeđena zamena.
Uprava za poslove IKT sistema je dužna da pre predaje uređaja ovlašćenom servisu, ukoliko kvar nije takve vrste da to onemogućava, uradi backup podataka koji se nalaze u mobilnom uređaju, a potom ih obriše iz uređaja, i po povratku iz servisa ponovo vrati podatke u mobilni uređaj.
3. Obezbeđivanje da lica koja koriste IKT sistem odnosno upravljaju IKT sistemom budu osposobljena za posao koji rade i razumeju svoju odgovornost
Svi zaposleni i radno angažovani pojedinci po drugom osnovu, kojima je dodeljen pristup poverljivim informacijama, moraju potpisati sporazum o poverljivosti i zaštiti podataka i informacija od trećih lica, pre nego što im se dozvoli pristup opremi za obradu informacija.
Zaposleni i druga radno - angažovana lica dužni se da primenjuju mere zaštite bezbednosti, u skladu sa ovim aktom i važećim procedurama.
U cilju razvoja, implementacije i održavanja sistema zaštite i bezbednosti podataka, Grad Niš preko Uprave za poslove IKT sistema obezbeđuje uslove za integraciju kontrolnih mehanizama tako što:
• Obezbeđuje da se postupci zaštite sprovode na organizovan način i u skladu sa procedurama i i u kontinuitetu;
• Štiti informacije i podatke sa sličnim profilom osetljivosti i karakteristika na jednak način u svim organizacionim jedinicama;
• Sprovodi programe zaštite na konzistentan i ujednačen način u svim organizacionim jedinicama;
• Koordinira bezbednost i zaštitu podataka u informacionom sistemu sa fizičkom zaštitom istih.
Svi korisnici IKT sistema Grada Niša su u obavezi da prođu odgovarajuću obuku i redovno stiču nova i obnavljaju postojeća znanja o procedurama koje uređuju bezbednost informacija, na način koji odgovara njihovom poslovnom angažovanju na radnom mestu.
4. Zaštita od rizika koji nastaju pri promenama poslova ili prestanka radnog angažovanja lica zaposlenih kod operatora IKT sistema
Zaposleni i po drugom osnovu angažovana lica, dužni su da čuvaju poverljive i druge informacije koje su od značaja za informacionu bezbednost IKT sistema, nakon prestanka ili promene radnog angažovanja.
Dužnosti i obaveze koje ostaju važeće i posle prestanka zaposlenja treba da budu sadržane u tekstu rešenja o zasnivanju radnog odnosa za službenike odnosno u ugovoru o radu za nametnike.
Za postupanja prilikom prestanka zaposlenja ili angažovanja zadužena je Uprava za poslove IKT sistema.
Unutrašnja organizaciona jedinica nadležna za poslove radnih odnosa dužna je da obavesti unutrašnju organizacionu jedinicu nadležnu za poslove IKT sistema o prestanku radnog odnosa ili prestanku angažovanja po drugom osnovu nekog lica u roku od jednog dana kako bi uprava iz stava 1. ovog člana preduzela sledeće aktivnosti:
• proverava ispunjenost svih uslova u pogledu čuvanja i iznošenja podataka u elektronskom obliku,
• pregleda sve naloge i pristupe sistemu koji su bili dostupni zaposlenom,
• preuzima od zaposlenog elektronske i druge mobilne uređaje,
• utvrdila način kontakta sa bivšim zaposlenim nakon odlaska,
• proverava vraćene mobilne uređaje i uređaje za prenošenje podataka,
• izdala nalog za ukidanje naloga elektronske pošte i svih drugih prava pristupa sistemu Grada Niša na dan prestanka radnog odnosa ili drugog osnova angažovanja bivšeg zaposlenog,
• pregled svih naloga za pristup odlazećeg zaposlenog i prikupljanje pristupne šifre i kodove sa ciljem ukidanja/promene istih na dan odlaska,
• preuzela kartice ili druge uređaje kojima se omogućava pristup poslovnim prostorijama i opremi Grada Niša.
5. Identifikovanje informacionih dobara i određivanje odgovornosti za njihovu zaštitu
Informaciona dobra Grada Niša su svi resursi koji sadrže poslovne informacije Grada Niša, odnosno, putem kojih se vrši izrada, obrada, čuvanje, prenos, brisanje i uništavanje podataka u IKT sistemu, uključujući sve elektronske zapise, računarsku opremu, mobilne uređaje, baze podataka, poslovne aplikacije, konfiguraciju hardverskih komponenata i sl.
Za identifikaciju opreme i određivanje lica odgovornog za navedenu opremu koristi se aplikacija za evidenciju opreme.
Evidenciju o informacionim dobrima vodi službenik zadužen za poslove evidencije opreme i softvera, u papirnoj ili elektronskoj formi.
Pojedinci kojima je data odgovornost za kontrolisanje životnog ciklusa imovine dužni su da pravilno upravljaju imovinom tokom celog životnog ciklusa.
Uprava za poslove IKT sistema u okviru dokumenta pod nazivom revers uređuje pravila za prihvatljivo korišćenje imovine povezane sa informacijama i opremom za obradu informacija.
Tokom otkaznog roka zaposlenih, nakon dobijenih informacija iz oblasti radnih odnosa, unutrašnja organizaciona jedinica nadležna za poslove IKT sistema nadležne uprave kontroliše njihovo neovlašćeno kopiranje, umnožavanje ili preuzimanje relevantnih zaštićenih informacija.
Zaposleni i eksterni korisnici su obavezni da vrate svu opremu Upravi za poslove IKT sistema koju poseduju nakon prestanka njihovog zaposlenja, isteka ugovora ili drugog pravnog osnova po kome su bili angažovani za obavljanje određenih poslova i zadataka.
Razduženje opreme se vrši potpisivanjem reversa koji izdaje Uprava za poslove IKT sistema.
6. Klasifikovanje podataka tako da nivo njihove zaštite odgovara značaju podataka u skladu sa načelom upravljanja rizikom iz Zakona o informacionoj bezbednosti
Klasifikovanje podatka je postupak utvrđivanja i pojedinačnog dodeljivanja nivoa tajnosti podatka, u skladu sa njihovim značajem za Grada Niša.
Svaka organizaciona jedinica u okviru Grada Niša označava tipove i lokacije podataka kao javne, interne, poverljive i strogo poverljive.
Klasifikaciona šema poverljivosti informacija bazira se na četiri nivoa:
Javni podaci (Informacije koje mogu da se distribuiraju bez štete za njene zaposlene i zainteresovane strane). Ovi dokumenti mogu biti otkriveni ili prosleđeni osobama izvan organizacije.
Interni podaci (Informacije čije neovlašćeno obelodanjivanje bi bilo neprimereno i neugodno). Obelodanjivanje van organa i organizacionih jedinica Grada Niša zahteva odobrenje rukovodioca organa, odnosno organizacione jedinice Grada Niša.
Poverljivi podaci (Visoko osetljive ili vredne informacije). Ne smeju se objavljivati izvan organa, odnosno organizacione jedinice Grada Niša bez izričite dozvole Gradonačelnika.
Strogo poverljivi podaci (Informacije čije otkrivanje ima ozbiljan uticaj na dugoročne strateške ciljeve ili ugrožava opstanak).
Grad Niša vrši klasifikaciju radi:
• Jačanja korisničke odgovornosti, kako bi korisnici mogli da uoče i prepoznaju poslovnu vrednost podatka prilikom čuvanja ili slanja i budu svesni odgovornosti za neovlašćeno korišćenje ili prenošenje;
• Podizanja svesti o vrednosti informacije ili dokumenta;
Uprava za poslove IKT sistema će uspostaviti organizaciju pristupa i rada sa podacima, posebno onima koji budu označeni stepenom službenosti ili tajnosti u skladu sa Zakonom o tajnosti podataka, tako da:
• podaci i dokumenti mogu da se snime (arhiviraju, zapišu) na serveru na kome se snimaju podaci, u folderu nad kojim će pravo pristupa imati samo zaposleni-korisnici kojima je to pravo obezbeđeno shodno radnom mestu i vrsti posla kojim se zaposleni bavi. Pravo pristupa dodeljuje administrator.
• podaci i dokumenti (posebno oni sa oznakom tajnosti) mogu da se snime na druge nosače (eksterni hard disk, USB, CD, DVD) samo od strane ovlašćenih zaposlenih - korisnika, na radnom mestu administratora.
Snimanje i evidencija tonskih zapisa vrši se po određenoj proceduri, mediji moraju biti propisno obeleženi i odloženi na mesto na kome će biti zaštićeni od neovlašćenog pristupa.
U slučaju transporta medija sa podacima, načelnici uprava i rukovodioci drugih organizacionih jedinica će odrediti odgovornu osobu i način transporta.
U slučaju isteka rokova čuvanja podataka koji se nalaze na medijima, podaci moraju biti nepovratno obrisani, a ako to nije moguće, takvi mediji moraju biti fizički oštećeni, odnosno uništeni.
8. Ograničenje pristupa podacima i sredstvima za obradu podataka
Pristup resursima IKT sistema određen je vrstom naloga, odnosno dodeljenom ulogom koju zaposleni-korisnik ima.
Administratorska prava razvrstana su na određene nivoe i nose različite privilegije shodno svojoj nameni.
Zaposleni koji ima administratorski nalog određene vrste, ima prava pristupa na svim ili samo određenim resursima IKT sistema (softverskim i hardverskim, mreži i mrežnim resursima) u cilju instalacije, održavanja, podešavanja i upravljanja resursima IKT sistema.
Zaposleni - korisnik može da koristi samo svoj korisnički nalog koji je dobio od administratora i ne sme da omogući drugom licu korišćenje njegovog korisničkog naloga, sem administratoru za podešavanje korisničkog profila i radne stanice.
Zaposleni-korisnik koji na bilo koji način zloupotrebi prava, odnosno resurse IKT sistema, podleže krivičnoj i disciplinskoj odgovornosti.
Zaposleni-korisnik dužan je da poštuje i sledeća pravila bezbednog i primerenog korišćenja resursa IKT sistema, i to da:
1) koristi informatičke resurse isključivo u poslovne svrhe;
2) prihvati da su svi podaci koji se skladište, prenose ili procesiraju u okviru informatičkih resursa vlasništvo grada Niša i da mogu biti predmet nadgledanja i pregledanja;
3) postupa sa poverljivim podacima u skladu sa propisima, a posebno prilikom kopiranja i prenosa podataka;
4) bezbedno čuva svoje lozinke, odnosno da ih ne odaje drugim licima;
5) menja lozinke saglasno utvrđenim pravilima pravilnika
6) pre svakog udaljavanja od radne stanice, odjavi se sa sistema, odnosno zaključa radnu stanicu;
7) zahtev za instalaciju softvera ili hardvera podnosi u pisanoj formi, odobren od strane neposrednog rukovodioca;
8) obezbedi sigurnost podataka u skladu sa važećim propisima;
9) pristupa informatičkim resursima samo na osnovu eksplicitno dodeljenih korisničkih prava;
10) ne sme da zaustavlja rad ili briše antivirusni program, menja njegove podešene opcije, niti da neovlašćeno instalira drugi antivirusni program;
11) na radnoj stanici ne sme da skladišti sadržaj koji ne služi u poslovne svrhe;
12) izrađuje zaštitne kopije (backup) podataka u skladu sa propisanim procedurama;
13) koristi internet i elektronsku poštu Grada Niša u skladu sa propisanim procedurama;
14) prihvati da se određene vrste informatičkih intervencija (izrada zaštitnih kopija, ažuriranje programa, pokretanje antivirusnog programa i sl.) obavljaju u utvrđeno vreme;
15) prihvati da svi pristupi informatičkim resursima i informacijama treba da budu zasnovani na principu minimalne neophodnosti;
16) prihvati da tehnike sigurnosti (antivirus programi, firewall, sistemi za detekciju upada, sredstva za šifriranje, sredstva za proveru integriteta i dr.) sprečavaju potencijalne pretnje IKT sistemu;
17) ne sme da instalira, modifikuje, isključuje iz rada ili briše zaštitni, sistemski ili aplikativni softver.
9. Odobravanje ovlašćenog pristupa i sprečavanje neovlašćenog pristupa IKT sistemu i uslugama koje IKT sistem pruža
Pravo pristupa IKT sistemu Grada Niša imaju samo zaposleni/korisnici koji imaju administratorske ili korisničke naloge.
Administratorski nalog je jedinstveni nalog kojim je omogućen pristup i administracija svih resursa IKT sistema, kao i otvaranje novih i izmena postojećih naloga.
Administratorski nalog za upravljanje domenom može/mogu da koriste samo zaposleni na poslovima sistem inženjera.
Administratorski nalog za upravljanje bazom podataka može/mogu da koriste samo zaposleni na poslovima upravljanja bazama podataka i sistem inženjera.
Korisnički nalog se sastoji od korisničkog imena i lozinke, koji se mogu ukucavati ili čitati sa medija na kome postoji elektronski sertifikat, na osnovu koga/jih se vrši autentifikacija - provera identiteta i autorizacija - provera prava pristupa, odnosno prava korišćenja resursa IKT sistema od strane zaposlenog-korisnika.
Korisnički nalog dodeljuje administrator, na osnovu zahteva neposrednog rukovodioca zaposlenog, koji upućuje Uprava za poslove IKT sistema, a u skladu sa potrebama obavljanja poslovnih zadataka od strane zaposlenog-korisnika.
Administrator vodi evidenciju o korisničkim nalozima, proverava njihovo korišćenje, menja prava pristupa i ukida korisničke naloge na osnovu zahteva, nadležnog rukovodioca u okviru čije organizacione jedinice je zaposleni-korisnik.
Svakom korisniku se dodeljuje pravo pristupa IKT sistemu u skladu sa radnim zadacima koje obavlja.
Korisniku se dodeljuju jedinstveni podaci za logovanje i jedinstvena šifra za logovanje, koji se ne smeju deliti sa drugim korisnicima.
Dodeljivanje privilegovanih (administratorskih) prava na pristup vrši načelnik Uprave za poslove IKT sistema.
Kompetencije korisnika sa privilegovanim pravima na pristup se redovno preispituju radi provere da li su u skladu sa njihovim obavezama.
Zabranjeno je neovlašćeno korišćenje opštih korisničkih identifikatora administratora.
Šifre za pristup opštim korisničkim identifikatorima administratora menjaju se promenom korisnika.
Jednom godišnje vrši preispitivanje prava korisnika na pristup, kao i nakon svake promene (unapređenje, razrešenje i kraj zaposlenja).
Zaposlenim licima i eksternim korisnicima informacija i opreme za obradu informacija po prestanku zaposlenja ili isteku ugovora ukida se pravo na pristup.
10. Utvrđivanje odgovornosti korisnika za zaštitu sopstvenih sredstava za autentikaciju
Korisnički nalog se sastoji od korisničkog imena i lozinke.
(Primer: Korisničko ime se kreira po matrici ime.prezime, latiničnim pismom bez upotrebe slova đ, ž, lj, nj, ć, č, dž, š).
(Preporuka: Umesto ovih slova koristiti slova iz tabele.)
Ćirilična slova |
Latinična slova |
Ђ |
Dj |
Ж |
Z |
Љ |
Lj |
Њ |
Nj |
ћ, ч |
C |
Ш |
S |
Џ |
Dz |
Lozinka mora da sadrži minimum osam karaktera kombinovanih od malih i velikih slova, cifara i specijalnih znakova.
Ako zaposleni-korisnik posumnja da je drugo lice otkrilo njegovu lozinku dužan je da istu odmah izmeni.
Zaposleni-korisnik dužan je da menja lozinku najmanje jednom 6 meseci.
Ista lozinka se ne sme ponavljati u vremenskom periodu od godinu dana.
Korisnički nalog može da se kreira i na osnovu podataka koji se nalaze na mediju sa kvalifikovanim elektronskim sertifikatom (npr. lična karta sa čipom i upisanim sertifikatom).
U tom slučaju, prijavljivanje u IKT sistem grada Niša se može vršiti i ubacivanjem medija sa elektronskim sertifikatom u čitač kartica.
Neovlašćeno ustupanje korisničkog naloga drugom licu, podleže disciplinskoj odgovornosti.
11. Predviđanje odgovarajuće upotrebe kriptozaštite radi zaštite tajnosti, autentičnosti odnosno integriteta podataka
Zaposleni-korisnici koriste kvalifikovane elektronske sertifikate za elektronsko potpisivanje dokumenata kao i autentifikaciju i autorizaciju pristupa pojedinim aplikacijama, kao i za pristup eksternim nacionalnim portalima E-uprave.
Elektronski sertifikati koji se koriste mogu biti izdati od ovlašćenog nacionalnog sertifikacionog tela, ili implementirani u lična dokumenta izdata od MUP-a Republike Srbije.
Zaposleni na poslovima IKT su zaduženi za instalaciju potrebnog softvera i hardvera za korišćenje sertifikata.
Zaposleni-korisnici su dužni da čuvaju svoje kvalifikovane elektronske sertifikate kako ne bi došli u posed drugih lica. Zabranjeno je davanje i prijavljivanje na portale i servise tuđim elektronskim sertifikatom, kao i davanje svojih elektronskih sertifikata drugim licima.
12. Fizička zaštita objekata, prostora, prostorija odnosno zona u kojima se nalaze sredstva i dokumenti IKT sistema i obrađuju podaci u IKT sistemu
Prostor u kome se nalaze serveri, mrežna ili komunikaciona oprema IKT sistema, organizuje sa kao administrativna zona.
Administrativna zona se uspostavlja za fizički pristup resursima IKT sistema u kontrolisanom, vidljivo označenom prostoru, koji je obezbeđen mehaničkom bravom.
Prostor mora da bude obezbeđen od požara i drugih elementarnih nepogoda, i u njemu treba da bude odgovarajuća temperatura (klimatizovan prostor).
Pravo ulaza u ovu administrativnu zonu imaju lica koja se nalaze na Listi ovlašćenih lica za ulaz u server salu, kao i treća lica angažovana u cilju instalacije i servisiranja određenih resursa IKT sistema, rashladnog i sistema napajanja, uz obavezno prisustvo ovlašćenog lica Uprave za poslove IKT sistema.
Listu ovlašćenih lica za ulaz u server salu određuje načelnik Uprava za poslove IKT sistema. Revizija navedene liste vrši se jednom godišnje.
Definisana je lista izdvojenih lokacija u okviru Grada Niša na kojima se nalaze rack ormari u kojima je smeštena komunikaciona oprema (aktivna i pasivna). Svaki rack ormar je zaključan i ključ se nalazi kod ovlašćenog lica.
Grad Niš projektuje i primenjuje instrumente za obezbeđivanje fizičke bezbednosti kancelarija, prostorija i sredstava, tako što se onemogućava javni pristup ključnoj opremi, u cilju sprečavanja vidljivosti poverljivih informacija i aktivnosti spolja.
Fizička zaštita se mora planirati i za slučajeve prirodnih katastrofa, neprijateljskih napada ili nesreća.
13. Zaštita od gubitka, oštećenja, krađe ili drugog oblika ugrožavanja bezbednosti sredstava koja čine IKT sistem
Ulaz u prostoriju u kojoj se nalazi IKT oprema, dozvoljen je samo ovlašćenim licima na poslovima IKT.
Osim ovlašćenih lica, pristup administrativnoj zoni mogu imati i treća lica u cilju instalacije i servisiranja određenih resursa IKT sistema, a po prethodnom odobrenju rukovodioca unutrašnje organizacione jedinice nadležne za poslove IKT sistema nadležne uprave, uz prisustvo ovlašćenog lica.
Pristup administrativnoj zoni može imati i zaposleni/a na poslovima održavanja higijene uz prisustvo ovlašćenog lica koje se nalazi na listi ovlašćenih lica za ulaz u server salu.
Prostorija mora biti vidljivo obeležena i u njoj se mora nalaziti protivpožarna oprema, koja se može koristiti samo u slučaju požara u prostoriji u kojoj se nalazi IKT oprema i mediji sa podacima.
Prozori i vrata na ovoj prostoriji moraju uvek biti zatvoreni.
Serveri i aktivna mrežna oprema (switch, modem, router, firewall), moraju stalno biti priključeni na uređaje za neprekidno napajanje - UPS.
U slučaju nestanka električne energije, u periodu dužem od kapaciteta UPS-a, ovlašćeno lice je dužno da isključi opremu u skladu sa procedurama proizvođača opreme.
IKT oprema iz prostorije se u slučaju opasnosti (požar, vremenske nepogode i sl.) može izneti i bez odobrenja rukovodioca unutrašnje organizacione jedinice za poslove informaciono- komunikacione tehnologije.
U slučaju iznošenja opreme radi selidbe, ili servisiranja, neophodno je odobrenje rukovodioca unutrašnje organizacione jedinice nadležne za poslove IKT sistema nadležne uprave, koji će odrediti uslove, način i mesto iznošenja opreme.
Ako se oprema iznosi radi servisiranja, pored odobrenja rukovodioca unutrašnje organizacione jedinice nadležne za poslove IKT sistema nadležne uprave, potrebno je sačiniti zapisnik u kome se navodi naziv i tip opreme, serijski broj, naziv servisera, ime i prezime ovlašćenog lica servisera.
Ugovorom sa serviserom mora biti definisana obaveza zaštite podataka koji se nalaze na medijima koji su deo IKT resursa grada Niša.
14. Obezbeđivanje ispravnog i bezbednog funkcionisanja sredstava za obradu podataka
Zaposleni na poslovima IKT kontinuirano nadziru i proveravaju funkcionisanje sredstava za obradu podataka i upravljaju rizicima koji mogu uticati na bezbednost IKT sistema i, u skladu sa tim, planiraju, odnosno predlažu rukovodiocu Resorne OJ odgovarajuće mere.
Instaliranje novog softvera kao i ažuriranje postojećeg, odnosno instalacija nove verzije, može se vršiti na način koji ne ometa operativni rad zaposlenih-korisnika.
U slučaju da se na novoj verziji softvera koji je uveden u operativni rad primete bitni nedostaci koji mogu uticati na rad, potrebno je primeniti proceduru za vraćanje na prethodnu stabilnu verziju softvera.
Za razvoj i testiranje softvera pre uvođenja u rad u IKT sistem moraju se koristiti serveri i podaci koji su namenjeni testiranju i razvoju.
Pri testiranju softvera je potrebno obezbediti neometano funkcionisanje IKT sistema. Zabranjeno je korišćenje servera koji se koriste u operativnom radu za testiranje softvera, na način koji može da zaustavi normalno funkcionisanje IKT sistema.
15. Zaštita podataka i sredstva za obradu podataka od zlonamernog softvera
Zaštita od zlonamernog softvera na mreži sprovodi se u cilju zaštite od virusa i druge vrste zlonamernog koda koji u računarsku mrežu mogu dospeti internet konekcijom, imejlom, zaraženim prenosnim medijima (USB memorija, CD itd.), instalacijom nelicenciranog softvera i sl.
Za uspešnu zaštitu od virusa na svakom računaru je instaliran antivirusni program. Svakodnevno se automatski vrši dopuna antivirusnih definicija.
Zabranjeno je zaustavljanje i isključivanje antivirusnog softvera tokom skeniranja prenosnih medija.
Prenosivi mediji, pre korišćenja, moraju biti provereni na prisustvo virusa. Ako se utvrdi da prenosivi medij sadrži viruse, ukoliko je to moguće, vrši se čišćenje medija antivirusnim softverom.
Rizik od eventualnog gubitka podataka prilikom čišćenja medija od virusa snosi donosilac medija.
Korisnicima koji su priključeni na IKT sistem je zabranjeno samostalno priključivanje na internet (priključivanje preko sopstvenog modema), pri čemu rukovodilac unutrašnje organizacione jedinice nadležne za poslove IKT sistema nadležne uprave može ukinuti pristup internetu u slučaju dokazane zloupotrebe istog.
Korisnici IKT sistema koji koriste internet moraju da se pridržavaju mera zaštite od virusa i upada sa interneta u IKT sistem, a svaki računar čiji se zaposleni-korisnik priključuje na Internet mora biti odgovarajuće podešen i zaštićen, pri čemu podešavanje vrši službenik nadležne uprave.
U slučaju da korisnik primeti neobično ponašanje računara, zapažanje treba bez odlaganja da prijavi službeniku nadležne uprave na mail adresu Korisnicka.Podrska@gu.ni.rs.
Strogo je zabranjeno gledanje filmova i igranje igrica na računarima i "krstarenje" WEB stranicama koje sadrže nedoličan sadržaj, kao i samovoljno preuzimanje istih sa interneta.
Nedozvoljena upotreba interneta obuhvata:
• instaliranje, distribuciju, oglašavanje, prenos ili na drugi način činjenje dostupnim "piratskih" ili drugih softverskih proizvoda koji nisu licencirani na odgovarajući način;
• narušavanje sigurnosti mreže ili na drugi način onemogućavanje poslovne internet komunikacije;
• namerno širenje destruktivnih i opstruktivnih programa na internetu (internet virusi, internet trojanski konji, internet crvi i druge vrste malicioznih softvera);
• nedozvoljeno korišćenje društvenih mreža i drugih internet sadržaja koje je ograničeno;
• preuzimanje (download) podataka velike "težine" koje prouzrokuje "zagušenje" na mreži;
• preuzimanje (download) materijala zaštićenih autorskim pravima;
• korišćenje linkova koji nisu u vezi sa poslom (gledanje filmova, audio i videostreaming i sl.);
• nedozvoljeni pristup sadržaju, promena sadržaja, brisanje ili prerada sadržaja preko interneta.
Korisnicima koji neadekvatnim korišćenjem interneta uzrokuju zagušenje, prekid u radu ili narušavaju bezbednost mreže može se oduzeti pravo pristupa.
16. Zaštita od gubitka podataka
Izrada rezervnih kopija baze podataka obavezno se vrši centralizovano i automatizovano najmanje jednom dnevno, za potrebe obnove u slučaju gubitka bilo kog podataka na dnevnom nivou sa definisanim brojem tačaka oporavka od sedam dnevnih kopija.
Rezervna kopija bekapovanih podataka čuva se na bar dve lokacije. Na sekundarnoj lokaciji čuva se dodatno i rezervna kopija za prethodnu sedmicu. Posebno važni i osetljivi delovi IT sistema čuvaju se dodatno na trećoj offsite lokaciji.
Na određenom mestu, tj izdvojenoj lokaciji organizacione jedinice grada, gde automatizovan bekap nije moguć zbog nestandardnog i specifičnog operativnog sistema, obučeno i ovlašćeno lice vršiće bekap podataka na prenosne medije po uputstvu rukovodioca unutrašnje organizacione jedinice nadležne za poslove IKT sistema nadležne uprave i staraće se za čuvanje istog.
Izrada rezervnih kopije o zaposlenima-korisnicima, vrši se nakon svake promene nad bazom kadrovske evidencije.
Konzistentnost bekapovanih podataka vrši se automatski tokom procesa bekapovanja.
17. Čuvanje podataka o događajima koji mogu biti od značaja za bezbednost IKT sistema
Sistem za kontrolu i dojavu o greškama obaveštava ovlašćena lica Uprave za poslove IKT sistema o incidentima vezanim za povećanje temperature u server sali kao i vraćanje u zadate vrednosti, prestanak napajanja električnom energijom sa informacijom o preostalom kapacitetu sistema za neprekidno napajanje, kao i uspostavljanja normalnog stanja, neuspešnog ili delimičnog bekapa podataka, porast temperature fizičkih servera. Dnevnici aktivnosti servera (activitylog, history, securitylog) dostupni su administratorima sistema.
18. Obezbeđivanje integriteta softvera i operativnih sistema
U IKT sistemu može da se instalira samo softver za koji postoji važeća licenca u vlasništvu Grada Niša odnosno Freeware i Opensource verzije.
Instalaciju i podešavanje softvera može da vrši samo zaposleni u Upravi za poslove IKT sistema sa administratorskim ovlašćenjima, odnosno zaposleni koji ima ovlašćenje za to.
Instalaciju i podešavanje softvera može da izvrši i treće lice, u skladu sa Ugovorom o nabavci, odnosno održavanju softvera.
Pre svake instalacije nove verzije softvera, odnosno podešavanja, neophodno je napraviti kopiju postojećeg, kako bi se obezbedila mogućnost povratka na prethodno stanje u slučaju neočekivanih situacija.
19. Zaštita od zloupotrebe tehničkih bezbednosnih slabosti IKT sistema
Ukoliko se identifikuju slabosti koje mogu da ugroze bezbednost IKT sistema, administrator je dužan da odmah izvrši podešavanja, odnosno instalira softver koji će otkloniti uočene slabosti.
Za rešavanje različitih uočenih problema koriste se povremeno administrativni alati za pregled raznih sistemskih i aplikacijskih logova.
Deljenim folderima, bazama podataka i ostalim mrežnim resursima mogu da pristupe samo ovlašćeni korisnici na osnovu dodeljenih prava pristupa.
Ažuriranje i instaliranje softvera moguće je preko naloga sa administratorskim ovlašćenjima.
20. Obezbeđivanje da aktivnosti na reviziji IKT sistema imaju što manji uticaj na funkcionisanje sistema
Revizija IKT sistema se mora vršiti tako da ima što manji uticaj na poslovne procese korisnika-zaposlenih.
Ukoliko to nije moguće u radno vreme, onda se vrši nakon završetka radnog vremena korisnika- zaposlenih, čiji bi poslovni proces bio ometan, uz prethodnu saglasnost načelnika Uprave za poslove IKT sistema.
21. Zaštita podataka u komunikacionim mrežama uključujući uređaje i vodove
Komunikacioni kablovi i kablovi za napajanje moraju biti postavljeni u zidu ili kanalicama, tako da se onemogući neovlašćen pristup, odnosno da se izvrši izolacija od mogućeg oštećenja.
Mrežna oprema (switch, router, firewall) se mora nalaziti u zaključanom rack ormanu.
Zaposleni sa administratorskim ovlašćenjima u upravi su dužni da stalno vrši kontrolni pregled mrežne opreme i blagovremeno preduzimaju mere u cilju otklanjanja eventualnih nepravilnosti.
Bežična mreža koju mogu da koriste posetioci objekata u nadležnosti grada Niša, mora biti odvojena od interne mreže koju koriste korisnici zaposleni u upravama i kroz koju se vrši razmena službenih podataka.
22. Bezbednost podataka koji se prenose unutar operatora IKT sistema, kao i između operatora IKT sistema i lica van operatora IKT sistema
Zaštita podataka koji se prenose komunikacionim sredstvima unutar Grada Niša, između operatora IKT sistema i lica van operatora IKT sistema, obezbeđuje se potpisivanjem ugovora i izjave o poverljivosti podataka.
Komunikacija unutar Grada Niša odvija se putem elektronske pošte i interneta.
Upotreba elektronske pošte mora biti u skladu sa pravilima postupka, sigurna i u skladu sa pozitivnim propisima i poslovnom praksom.
Elektronska pošta se može koristiti isključivo za poslovne potrebe; razmena poruka ličnog sadržaja nije dozvoljena; svi podaci sadržani u porukama ili njihovom prilogu moraju biti u skladu sa standardima zaštite podataka.
Pristup sadržajima na internetu je dozvoljen isključivo za poslovne namene.
Bezbedan prenos poslovnih informacija između organizacije i trećeg lica obezbeđuje se poštovanjem ugovora o prenosu informacija.
23. Pitanja informacione bezbednosti u okviru upravljanja svim fazama životnog ciklusa IKT sistema odnosno delova sistema
Način zaštite resursa IKT sistema prilikom instaliranja novih, zamene i održavanje postojećih resursa IKT sistema od strane trećih lica koja nisu zaposlena u Upravi, biće definisan ugovorom koji će biti sklopljen sa tim licima.
Uprava za poslove IKT sistema je zadužena i za tehnički nadzor nad realizacijom ugovorenih obaveza od strane trećih lica.
O uspostavljanju novog IKT sistema, odnosno uvođenju novih delova i izmenama postojećih delova IKT sistema, Uprava za poslove IKT sistema vodi dokumentaciju.
24. Zaštita podataka koji se koriste za potrebe testiranja IKT sistema odnosno delova sistema
Za potrebe testiranja IKT sistema odnosno delova sistema služba za IKT može da koristi podatke koji nisu osetljivi, koje štiti, čuva i kontroliše na odgovarajući način.
25. Zaštita sredstava operatora IKT sistema koja su dostupna pružaocima usluga
Treća lica-pružaoci usluga izrade i održavanja softvera mogu pristupiti samo onim podacima koji se nalaze u bazama podataka koje su deo softvera koji su oni izradili, odnosno za koje postoji ugovorom definisan pristup.
Uprava za poslove IKT sistema je odgovorna za kontrolu pristupa i nadzor nad izvršenjem ugovorenih obaveza, kao i za poštovanje odredbi ovog pravilnika kojima su takve aktivnosti definisane.
26. Održavanje ugovorenog nivoa informacione bezbednosti i pruženih usluga u skladu sa uslovima koji su ugovoreni sa pružaocem usluga
Uprava za poslove IKT sistema je odgovorna za nadzor nad poštovanjem ugovorenih obaveza od strane trećih lica-pružaoca usluga, posebno u oblasti poštovanja odredbi kojima je definisana bezbednost resursa IKT sistema.
U slučaju nepoštovanja ugovorenih obaveza Uprava za poslove IKT sistema je, u skladu sa odredbama ovog Pravilnika, dužna da preduzme mere u cilju otklanjanja nepravilnosti.
27. Prevencija i reagovanje na bezbednosne incidente, što podrazumeva adekvatnu razmenu informacija o bezbednosnim slabostima IKT sistema, incidentima i pretnjama
U slučaju bilo kakvog incidenta koji može da ugrozi bezbednost resursa IKT sistema, zaposleni-korisnik je dužan da odmah obavesti načelnika Uprave za poslove IKT sistema.
Po prijemu prijave načelnik Uprave za poslove IKT sistema je dužan da obavesti Gradonačelnika radi eventualnog daljeg postupanja pred nadležnim organima, kao i da preduzme sve potrebne mere u cilju zaštite resursa IKT sistema.
Uprava za poslove IKT sistema vodi evidenciju o svim incidentima, kao i prijavama incidenata, na osnovu kojih se protiv odgovornog lica, može voditi disciplinski, prekršajni ili krivični postupak.
Ukoliko se radi o incidentu koji je definisan Uredbom o postupku obaveštavanja o incidentima u informaciono-komunikacionim sistemima od posebnog značaja ("Službeni glasnik RS", broj 11/20) načelnik Uprave za poslove IKT sistema je dužan da pored Gradonačelnika obavesti i nadležni organ definisan navedenom Uredbom.
Uprava za poslove IKT sistema vrši prikupljanje, analizu kao i evidentiranje načina rešavanja incidenata koji su narušili bezbednost IKT sistema, radi dokazivanja u slučaju pokretanja postupka protiv lica koje je narušilo bezbednost IKT sistema, kao i radi identifikovanja incidenti koji se ponavljaju, u cilju smanjenja njihove verovatnoće i uticaja na sistem u budućem radu.
28. Mere koje obezbeđuju kontinuitet obavljanja posla u vanrednim okolnostima
U slučaju vanrednih okolnosti, koje mogu da dovedu do izmeštanja IKT sistema iz zgrade Grada Niša, Uprava za poslove IKT sistema je dužna da u najkraćem roku prenese delove IKT sistema neophodne za funkcionisanje u vanrednoj situaciji na rezervnu lokaciju, u skladu sa planom reagovanja u vanrednim i kriznim situacijama.
Delovi IKT sistema koji nisu neophodni za funkcionisanje u vanrednim situacijama, skladište se na rezervnu lokaciju, koju odredi Gradonačelnik.
Skladištenje delova IKT sistema koji nisu neophodni se vrši tako da oprema bude bezbedna i obeležena, u skladu sa evidencijom koja se o njoj vodi.
U slučaju nastanka promena koje mogu nastupiti usled tehničko-tehnoloških, kadrovskih, organizacionih promena u IKT sistemu i događaja na globalnom i nacionalnom nivou koji mogu narušiti informacionu bezbednost, načelnik Uprave za poslove IKT sistema je dužan da obavesti Gradonačelnika grada Niša, kako bi on mogao da pristupi izmeni ovog pravilnika, u cilju unapređenje mera zaštite, načina i procedura postizanja i održavanja adekvatnog nivoa bezbednosti IKT sistema, kao i preispitivanje ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima IKT sistema.
Proveru IKT sistema vrši Uprave za poslove IKT sistema. O izvršenoj proveri sačinjava se izveštaj, koji se dostavlja Gradonačelniku.
IV. Sadržaj izveštaja o proveri IKT sistema
Izveštaj o proveri IKT sistema sadrži:
1) naziv operatora IKT sistema koji se proverava;
2) vreme provere;
3) podaci o licima koja su vršila proveru;
4) izveštaj o sprovedenim radnjama provere;
5) zaključke po pitanju usklađenosti Pravilnika o bezbednosti IKT sistema sa propisanim uslovima;
6) zaključke po pitanju adekvatne primene predviđenih mera zaštite u operativnom radu;
7) zaključke po pitanju eventualnih bezbednosnih slabosti na nivou tehničkih karakteristika komponenti IKT sistema;
8) ocena ukupnog nivoa informacione bezbednosti;
9) predlog eventualnih korektivnih mera;
10) potpis odgovornog lica koje je sprovelo proveru IKT sistema.
Prelazne i završne odredbe
Za primenu odredaba propisanih ovim pravilnikom, izradu svih potrebnih procedura i ostalih dokumenata koji su njegov sastavni deo, zadužuje se Uprava za poslove IKT sistema.
Stupanjem na snagu ovog pravilnika, prestaje da važi Pravilnik o bezbednosti informaciono-komunikacionog sistema Grada Niša br. 316/2019-01 od 12.12.2019. godine.
Ovaj pravilnik stupa na snagu osmog dana od dana objavljivanja u "Službenom listu Grada Niša".