PRAVILNIKO BEZBEDNOSTI INFORMACIONO-KOMUNIKACIONOG SISTEMA GRADSKE UPRAVE GRADA SOMBORA("Sl. list Grada Sombora", br. 2/2026) |
Pravilnikom o bezbednosti informaciono- komunikacionog sistema Gradske uprave grada Sombora (u daljem tekstu: Pravilnik o bezbednosti), bliže se uređuju mere zaštite, principi, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti sistema, kao i ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima informaciono-komunikacionog sistema Gradske uprave grada Sombora (u daljem tekstu: IKT sistem).
Ciljevi Pravilnika o bezbednosti
Ciljevi donošenja Pravilnika o bezbednosti su:
1) određivanje načina i procedura za postizanje i održavanje adekvatnog nivoa bezbednosti sistema;
2) sprečavanje i ublažavanje posledica incidenata kojim se ugrožava ili narušava informaciona bezbednost;
3) podizanje svesti kod zaposlenih o značaju informacione bezbednosti, rizicima i merama zaštite prilikom korišćenja IKT sistema;
4) propisivanje ovlašćenja i odgovornosti zaposlenih u vezi sa bezbednošću i resursima IKT sistema;
5) sveukupno unapređenje informacione bezbednosti i provera usklađenosti primene mera zaštite.
Obaveza primene odredbi Pravilnika o bezbednosti
Mere zaštite IKT sistema koje su bliže uređene Pravilnikom o bezbednosti služe prevenciji od nastanka incidenata i minimizaciji štete od incidenata i njihova primena je obavezna za sve zaposlene.
Zaposleni u Gradskoj upravi grada Sombora moraju biti upoznati sa sadržinom Pravilnika o bezbednosti i dužni su da postupaju u skladu sa odredbama ovog akta, kao i drugih internih procedura koje regulišu informacionu bezbednost.
Odeljenje za poslove elektronske uprave, odnosno administrator IKT sistema je odgovorno za praćenje primene mera bezbednosti, kao i za proveru da su podaci zaštićeni na način koji je utvrđen ovim aktom i internim procedurama.
Zaposleni u Gradskoj upravi grada Sombora su dužni da pristupaju informacijama i resursima IKT sistema samo radi obavljanja redovnih poslovnih aktivnosti, kao i da blagovremeno informišu ovlašćeno lice o svim sigurnosnim incidentima i problemima.
Nepoštovanje odredbi Pravilnika o bezbednosti, kao i svako ugrožavanje ili narušavanje informacione bezbednosti, povlači krivičnu i disciplinsku odgovornost zaposlenog.
Mere propisane ovim pravilnikom se odnose na sve organizacione jedinice Gradske uprave grada Sombora, na sve zaposlene - korisnike informatičkih resursa, kao i na treća lica koja koriste informatičke resurse Gradske uprave grada Sombora.
Mere zaštite IKT sistema odnose se na elektronske komunikacione mreže, elektronske uređaje na kojima se čuva i vrši obrada podataka korišćenjem računarskog programa, operativne i aplikativne računarske programe, programski kôd, podatke koji se čuvaju, obrađuju, pretražuju ili prenose pomoću elektronskih uređaja, organizacionu strukturu putem koje se upravlja IKT sistemom, korisničke naloge, tajne informacije za proveru verodostojnosti, tehničku i korisničku dokumentaciju, unutrašnje opšte akte i procedure.
Uspostavljanje organizacione strukture, sa utvrđenim poslovima i odgovornostima zaposlenih, kojom se ostvaruje upravljanje informacionom bezbednošću u okviru operatora IKT sistema
Svaki zaposleni-korisnik resursa IKT sistema je odgovoran za bezbednost resursa IKT sistema koje koristi radi obavljanja poslova iz svoje nadležnosti.
Za kontrolu i nadzor nad obavljanjem poslova zaposlenih-korisnika, u cilju zaštite i bezbednosti IKT sistema, kao i za obavljanje poslova iz oblasti bezbednosti celokupnog IKT sistema Grada nadležan je administrator IKT sistema, odnosno zaposleni na IKT poslovima.
Pod poslovima iz oblasti bezbednosti utvrđuju se:
• poslovi zaštite informacionih dobara, odnosno sredstava imovine za nadzor nad poslovnim procesima od značaja za informacionu bezbednost
• poslovi upravljanje rizicima u oblasti informacione bezbednosti, kao i poslovi predviđeni procedurama u oblasti informacione bezbednosti
• poslovi onemogućavanja, odnosno sprečavanja neovlašćene ili nenamerne izmene, oštećenja ili zloupotrebe sredstava, odnosno informacionih dobara IKT sistema Gradske uprave grada Sombora, kao i pristup, izmene ili korišćenje sredstava bez ovlašćenja i bez evidencije o tome
• praćenje aktivnosti, revizije i nadzora u okviru upravljanja informacionom bezbednošću
• obaveštavanje nadležnih organa o incidentima u IKT sistemu, u skladu sa propisima.
U slučaju incidenta administrator IKT sistema, odnosno zaposleni na IKT poslovima obaveštava načelnika Gradske uprave, koji u skladu sa propisima obaveštava nadležne organe u cilju rešavanja nastalog bezbednosnog incidenta.
Postizanje bezbednosti rada na daljinu i upotrebe mobilnih uređaja
Neregistrovani korisnici putem mobilnih uređaja mogu pristupiti sledećim resursima IKT sistema Operatora: Internetu, i-mejl servisu i veb sajtu.
Korisnici IKT sistema, mogu putem mobilnih uređaja ili računara, koji su u vlasništvu Gradske uprave grada Sombora i koji su podešeni od strane nadležnog subjekta IKT sistema, da pristupaju samo onim delovima IKT sistema koji im omogućavaju obavljanje radnih zadataka u okviru njihove nadležnosti kao što su elektronska pošta, pojedine aplikacije vezane za obavljanje posla i drugo, a na osnovu pisane saglasnosti načelnika Gradske uprave.
Mobilni uređaji moraju biti podešeni tako da omoguće siguran i bezbedan pristup, uz aktivan odgovarajući softver za zaštitu od virusa i drugog zlonamernog softvera.
Korisniku IKT sistema je zabranjena samostalna instalacija softvera i podešavanje mobilnog uređaja, kao i davanje uređaja neovlašćenim licima.
Nadležni subjekt IKT sistema svakodnevno kontroliše pristup resursima IKT sistema i proverava da li ima pristupa sa nepoznatih uređaja.
Ukoliko se ustanovi neovlašćen pristup, o tome se putem elektronske pošte odmah, a najkasnije sutradan obaveštava načelnik Gradske uprave.
Pristup resursima IKT sistema sa privatnog uređaja nije dozvoljen, osim ako je uređaj u vlasništvu Gradske uprave grada Sombora oštećen i nije obezbeđena zamena.
Saglasnost na korišćenje privatnog uređaja u slučaju iz stava 1. ovog člana daje načelnik Gradske uprave.
Evidenciju privatnih uređaja sa kojih će biti omogućen pristup vodi nadležni subjekt IKT sistema.
Privatni uređaji sa kojih će se pristupati resursima IKT sistema moraju biti podešeni od strane nadležnog subjekta IKT sistema.
Privatni uređaji sa kojih se može pristupati resursima IKT sistema mogu se koristiti samo za obavljanje poslova u nadležnosti korisnika IKT sistema i to samo u periodu kada nije moguće koristiti uređaj u vlasništvu Gradske uprave grada Sombora.
Nadležni subjekt IKT sistema je dužan da, pre predaje uređaja ovlašćenom servisu, uradi bekap podataka koji se nalaze u mobilnom uređaju, a potom ih obriše iz uređaja, a da po izvršenom servisiranju vrati podatke u mobilni uređaj.
Obezbeđivanje da lica koja koriste IKT sistem odnosno upravljaju IKT sistemom budu osposobljena za posao koji obavljaju i u potpunosti razumeju svoju odgovornost
Gradska uprava grada Sombora se stara da zaposleni koji upravljaju IKT sistemom, odnosno zaposleni koji koriste IKT sistem imaju adekvatan stepen obrazovanja i sposobnosti, kao i svest o značaju poslova koje obavljaju.
Nadležni subjekt IKT sistema je dužan da sve korisnike resursa IKT sistema upozna sa odgovornostima i pravilima korišćenja resursa IKT sistema, da ih obuči za korišćenje resursa IKT sistema, da po završetku obuke od zaposlenog uzme izjavu o obučenosti za korišćenje resursa IKT sistema i da o istima vodi evidenciju.
Zaštita od rizika koji nastaju pri promenama poslova ili prestanka radnog angažovanja lica zaposlenih kod Gradske uprave grada Sombor
U slučaju promene radnog mesta, odnosno nadležnosti korisnika IKT sistema, nadležni subjekt IKT sistema će izvršiti promenu prava u korišćenju IKT sistema koje je korisnik IKT sistema imao u skladu sa opisom radnih zadataka.
U slučaju prestanka radnog angažovanja korisnika IKT sistema, korisnički nalog se ukida.
O prestanku radnog odnosa ili radnog angažovanja, kao i promeni radnog mesta, organizaciona jedinica nadležna za ljudske resurse u saradnji sa neposrednim rukovodiocem, je dužna da obavesti Odeljenje za poslove elektronske uprave radi ukidanja, odnosno izmenu pristupnih privilegija tog zaposlenog-korisnika.
Zaposleni i po drugom osnovu angažovana lica, dužni su da čuvaju poverljive i druge informacije koje su od značaja za informacionu bezbednost IKT sistema, nakon prestanka ili promene radnog angažovanja.
Identifikovanje informacionih dobara i određivanje odgovornosti za njihovu zaštitu
Informaciona dobra obuhvataju podatke u datotekama i bazama podataka, programski kôd, konfiguraciju hardverskih komponenti, tehničku i korisničku dokumentaciju, unutrašnje opšte akte i procedure.
Evidenciju o informacionim dobrima vodi zaposleni u skladu sa važećom sistematizacijom radnih mesta.
Pojedinci kojima je data odgovornost za kontrolisanje životnog ciklusa imovine dužni su za pravilno upravljanje imovinom tokom celog životnog ciklusa.
Zaposleni i eksterni korisnici su obavezni da vrate svu imovinu Gradske uprave grada Sombora koju poseduju nakon prestanka njihovog zaposlenja, ugovora ili sporazuma o angažovanju na određenim poslovima i zadacima.
Tokom otkaznog roka zaposlenih, Gradska uprava grada Sombora kontroliše njihovo neovlašćeno kopiranje, umnožavanje ili preuzimanje relevantnih zaštićenih informacija.
Klasifikovanje podataka tako da nivo njihove zaštite odgovara značaju podataka u skladu sa načelom upravljanja rizikom iz člana 3. Zakona o informacionoj bezbednosti
Podaci koji se nalaze u IKT sistemu predstavljaju tajni podatak koji je, u skladu sa propisima o tajnosti podataka, određen ili označen određenim stepenom tajnosti.
Podaci koji se označe kao tajni, moraju biti zaštićeni u skladu sa odredbama Uredbe o posebnim merama zaštite tajnih podataka u informaciono-telekomunikacionim sistemima.
Gradska uprava grada Sombora obezbeđuje sprečavanje neovlašćenog otkrivanja, modifikovanja, uklanjanja ili uništenja informacija i sadržaja koji se čuvaju na nosačima podataka.
Odeljenje za poslove elektronske uprave će uspostaviti organizaciju pristupa i rada sa podacima, posebno onima koji budu označeni stepenom službenosti ili tajnosti u skladu sa Zakonom o tajnosti podataka, tako da:
• podaci i dokumenti (posebno oni sa oznakom tajnosti) mogu da se snime (arhiviraju, zapišu) na serveru na kome se snimaju podaci, u folderu nad kojim će pravo pristupa imati samo zaposleni-korisnici kojima je to pravo obezbeđeno odlukom načelnika.
• podaci i dokumenti (posebno oni sa oznakom tajnosti) mogu da se snime na druge nosače (eksterni hard disk, USB, CD, DVD) samo od strane ovlašćenih zaposlenih - korisnika.
Evidenciju nosača na kojima su snimljeni podaci, vodi Odeljenje za poslove elektronske uprave i ti mediji moraju biti propisno obeleženi i odloženi na mesto na kome će biti zaštićeni od neovlašćenog pristupa.
U slučaju transporta medija sa podacima, načelnik Uprave će odrediti odgovornu osobu i način transporta.
U slučaju isteka rokova čuvanja podataka koji se nalaze na medijima, podaci moraju biti nepovratno obrisani, a ako to nije moguće, takvi mediji moraju biti fizički oštećeni, odnosno uništeni.
Ograničenje pristupa podacima i sredstvima za obradu podataka
Pristup resursima IKT sistema određen je vrstom naloga, odnosno dodeljenom ulogom koju zaposleni-korisnik ima.
Zaposleni koji ima administratorski nalog, ima prava pristupa svim resursima IKT sistema (softverskim i hardverskim, mreži i mrežnim resursima) u cilju instalacije, održavanja, podešavanja i upravljanja resursima IKT sistema.
Zaposleni - korisnik može da koristi samo svoj korisnički nalog koji je dobio od administratora i ne sme da omogući drugom licu korišćenje njegovog korisničkog naloga, sem administratoru za podešavanje korisničkog profila i radne stanice.
Zaposleni-korisnik koji na bilo koji način zloupotrebi prava, odnosno resurse IKT sistema, podleže krivičnoj i disciplinskoj odgovornosti.
Zaposleni-korisnik dužan je da poštuje i sledeća pravila bezbednog i primerenog korišćenja resursa IKT sistema, i to da:
1) koristi informatičke resurse isključivo u poslovne svrhe;
2) prihvati da su svi podaci koji se skladište, prenose ili procesiraju u okviru informatičkih resursa vlasništvo Gradske uprave grada Sombora i da mogu biti predmet nadgledanja i pregledanja;
3) postupa sa poverljivim podacima u skladu sa propisima, a posebno prilikom kopiranja i prenosa podataka;
4) bezbedno čuva svoje lozinke, odnosno da ih ne odaje drugim licima;
5) menja lozinke saglasno utvrđenim pravilima;
6) pre svakog udaljavanja od radne stanice, odjavi se sa sistema, odnosno zaključa radnu stanicu;
7) zahtev za instalaciju softvera ili hardvera podnosi u pisanoj formi, odobren od strane neposrednog rukovodioca;
8) obezbedi sigurnost podataka u skladu sa važećim propisima;
9) pristupa informatičkim resursima samo na osnovu eksplicitno dodeljenih korisničkih prava;
10) ne sme da zaustavlja rad ili briše antivirusni program, menja njegove podešene opcije, niti da neovlašćeno instalira drugi antivirusni program;
11) na radnoj stanici ne sme da skladišti sadržaj koji ne služi u poslovne svrhe;
12) izrađuje zaštitne kopije (backup) podataka u skladu sa propisanim procedurama;
13) koristi internet i elektronsku poštu u skladu sa propisanim procedurama;
14) prihvati da se određene vrste informatičkih intervencija (izrada zaštitnih kopija, ažuriranje programa, pokretanje antivirusnog programa i sl.) obavljaju u utvrđeno vreme;
15) prihvati da svi pristupi informatičkim resursima i informacijama treba da budu zasnovani na principu minimalne neophodnosti;
16) prihvati da tehnike sigurnosti (anti virus programi, firewall, sistemi za detekciju upada, sredstva za šifriranje, sredstva za proveru integriteta i dr.) sprečavaju potencijalne pretnje IKT sistemu;
17) ne sme da instalira, modifikuje, isključuje iz rada ili briše zaštitni, sistemski ili aplikativni softver.
Odobravanje ovlašćenog pristupa i sprečavanje neovlašćenog pristupa IKT sistemu i uslugama koje IKT sistem pruža
Pravo pristupa IKT sistemu imaju samo zaposleni, odnosno korisnici koji imaju administratorske i korisničke naloge.
Administratorski nalog je jedinstven nalog kojim je omogućen pristup i administracija svih resursa IKT sistema.
Administratorski nalog može da koristi samo zaposleni koji je raspoređen na poslove i radne zadatke administratora IKT sistema.
Korisnički nalog je nalog koji sadrži korisničko ime i lozinku, koji se mogu ukucavati ili čitati sa medija na kome postoji elektronski sertifikat, na osnovu kojih se vrši autentifikacija - provera identiteta i autorizacija - provera prava pristupa, odnosno prava korišćenja resursa IKT sistema od strane korisnika IKT sistema.
Korisnički nalog dodeljuje administrator IKT sistema, na osnovu zahteva organizacione jedinice IKT sistema nadležne za upravljanje ljudskim resursima, odnosno rukovodioca u organizacionim jedinicama IKT sistema.
Na osnovu poslova i radnih zadataka administrator IKT sistema određuje prava pristupa u skladu sa potrebama obavljanja poslovnih zadataka od strane korisnika IKT sistema.
Administrator IKT sistema vodi evidenciju o korisničkim nalozima, proverava njihovo korišćenje, menja prava pristupa i ukida korisničke naloge na osnovu zahteva organizacione jedinice Operatora nadležne za upravljanje ljudskim resursima, odnosno rukovodioca u organizacionim jedinicama Operatora.
Utvrđivanje odgovornosti korisnika za zaštitu sopstvenih sredstava za autentifikaciju
Autentifikacija korisnika kojima je odobren pristup sistemu vrši se putem korisničkog imena i lozinke. Korisničko ime se kreira po matrici ime.prezime, latiničnim pismom bez upotrebe slova đ, ž, lj, nj, ć, č, dž, š.
Umesto ovih slova koriste se slova iz sledeće tabele:
Ćirilična slova |
Latinična slova |
Latinična slova u korisničkim imenima |
ђ |
dj |
dj |
ж |
ž |
z |
љ |
lj |
lj |
њ |
nj |
nj |
ћ, ч |
ć, č |
c |
ш |
š |
s |
џ |
dž |
dz |
Lozinka mora da sadrži minimum osam karaktera kombinovanih od malih i velikih slova i cifara ili specijalnog karaktera iz standardne ASCII tabele.
Lozinka ne sme da sadrži prepoznatljive podatke korisnika IKT sistema.
Ako korisnik IKT sistema posumnja da je drugo lice otkrilo njegovu lozinku, dužan je da istu odmah izmeni.
Korisnici su dužni da privremene lozinke promene prilikom prvog prijavljivanja.
Korisnik IKT sistema dužan je da menja lozinku u skladu sa potrebama, najmanje jednom u 90 dana.
Neovlašćeno ustupanje korisničkog naloga drugom licu podleže disciplinskoj odgovornosti.
Za poslove izvršene pod određenim korisničkim imenom i lozinkom odgovoran je korisnik IKT sistema kojem su dodeljeni.
Predviđanje odgovarajuće upotrebe kriptozaštite radi zaštite tajnosti, autentičnosti odnosno integriteta podataka
Zaposleni-korisnici koriste kvalifikovane elektronske sertifikate za elektronsko potpisivanje dokumenata kao i autentifikaciju i autorizaciju pristupa pojedinim aplikacijama.
Zaposleni na poslovima IKT su zaduženi za instalaciju potrebnog softvera i hardvera za korišćenje sertifikata.
Zaposleni-korisnici su dužni da čuvaju svoje kvalifikovane elektronske sertifikate kako ne bi došli u posed drugih lica.
Fizička zaštita objekata, prostora, prostorija odnosno zona u kojima se nalaze sredstva i dokumenti IKT sistema i obrađuju podaci u IKT sistemu
Prostor u kome se nalaze računari za vođenje baza podataka i centralni računar (server), mrežna ili komunikaciona oprema IKT sistema, organizuje sa kao administrativna zona.
Administrativna zona se uspostavlja za fizički pristup resursima IKT sistema u kontrolisanom, vidljivo označenom prostoru, koji je obezbeđen mehaničkom bravom i video nadzorom.
Prostor mora da bude obezbeđen od kompromitujućeg elektromagnetnog zračenja (KEMZ), požara i drugih elementarnih nepogoda, i u njemu treba da bude odgovarajuća temperatura (klimatizovan prostor).
Evidenciju o ulasku u ovu zonu vodi nadležni subjekt IKT sistema.
Zaštita od gubitka, oštećenja, krađe ili drugog oblika ugrožavanja bezbednosti sredstava koja čine IKT sistem
Ulaz u administrativnu zonu dozvoljen je samo administratoru IKT sistema, odnosno zaposlenima na poslovima IKT.
Osim administratora sistema, pristup administrativnoj zoni mogu imati i treća lica u cilju instalacije i servisiranja određenih resursa IKT sistema, a po prethodnom odobrenju načelnika Uprave, i uz prisustvo nadležnog lica administratora IKT sistema, odnosno zaposlenog na poslovima IKT.
Pristup administrativnoj zoni može imati i lice angažovano na poslovima održavanja higijene uz prisustvo nadležnog lica na poslovima IKT sistema.
Prostorija mora biti vidljivo obeležena i u njoj se mora nalaziti protivpožarna oprema, koja se može koristiti samo u slučaju požara u prostoriji u kojoj se nalazi IKT oprema i mediji sa podacima.
Prozori i vrata na ovoj prostoriji moraju uvek biti zatvoreni.
Serveri i aktivna mrežna oprema (switch, modem, router, firewall), moraju stalno biti priključeni na uređaje za neprekidno napajanje - UPS.
U slučaju nestanka električne energije, u periodu dužem od kapaciteta UPS-a, ovlašćeno lice je dužno da isključi opremu u skladu sa procedurama proizvođača opreme.
IKT oprema iz prostorije se u slučaju opasnosti (požar, vremenske nepogode i sl.) može izneti i bez odobrenja načelnika.
U slučaju iznošenja opreme radi selidbe, ili servisiranja, neophodno je odobrenje načelnika koji će odrediti uslove, način i mesto iznošenja opreme.
Ako se oprema iznosi radi servisiranja, pored odobrenja načelnika Uprave, potrebno je sačiniti zapisnik u kome se navodi naziv i tip opreme, serijski broj, naziv servisera, ime i prezime ovlašćenog lica servisera.
Ugovorom sa serviserom mora biti definisana obaveza zaštite podataka koji se nalaze na medijima koji su deo IKT resursa Gradske uprave grada Sombora.
Obezbeđivanje ispravnog i bezbednog funkcionisanja sredstava za obradu podataka
Zaposleni na poslovima IKT kontinuirano nadziru i proveravaju funkcionisanje sredstava za obradu podataka i upravljaju rizicima koji mogu uticati na bezbednost IKT sistema i, u skladu sa tim, planiraju, odnosno predlažu načelniku Uprave odgovarajuće mere.
Pre uvođenja u rad novog softvera neophodno je napraviti kopiju-arhivu postojećih podataka, u cilju pripreme za proceduru vraćanja na prethodnu stabilnu verziju.
Instaliranje novog softvera kao i ažuriranje postojećeg, odnosno instalacija nove verzije, može se vršiti na način koji ne ometa operativni rad zaposlenih-korisnika.
U slučaju da se na novoj verziji softvera koji je uveden u operativni rad primete bitni nedostaci koji mogu uticati na rad, potrebno je primeniti proceduru za vraćanje na prethodnu stabilnu verziju softvera.
Zaštita podataka i sredstava za obradu podataka od zlonamernog softvera
Zlonamerni softver obuhvata sve programe koji su napravljeni u nameri da otežaju rad ili oštete neki umrežen ili neumrežen računar. Zaštita od zlonamernog softvera se zasniva na softveru za otkrivanje zlonamernog softvera i otklanjanje štete, na poznavanju bezbednosti informacija, kao i na odgovarajućim kontrolama pristupa sistemu i upravljanja zahtevanim i potrebnim promenama.
Zaštita od zlonamernog softvera na mreži sprovodi se u cilju zaštite od virusa i druge vrste zlonamernog koda koji u računarsku mrežu mogu dospeti internet konekcijom, imejlom, zaraženim prenosnim medijima (USB memorija, CD itd.), instalacijom nelicenciranog softvera i sl.
Za uspešnu zaštitu od virusa na svakom računaru je instaliran antivirusni program. Svakodnevno se automatski vrši dopuna antivirusnih definicija.
Zabranjeno je zaustavljanje i isključivanje antivirusnog softvera tokom skeniranja prenosnih medija.
Prenosivi mediji, pre korišćenja, moraju biti provereni na prisustvo virusa. Ako se utvrdi da prenosivi medij sadrži viruse, ukoliko je to moguće, vrši se čišćenje medija antivirusnim softverom.
Rizik od eventualnog gubitka podataka prilikom čišćenja medija od virusa snosi donosilac medija.
U cilju zaštite, odnosno upada u IKT sistem Gradske uprave grada Sombora sa interneta, administrator IKT sistema, odnosno zaposleni na IKT poslovima je dužan da održava sistem za sprečavanje upada.
Rukovodioci organizacionih jedinica određuju koji zaposleni imaju pravo pristupa internetu radi prikupljanja podataka i ostalih informacija vezanih za obavljanje poslova u njihovoj nadležnosti.
Korisnicima koji su priključeni na IKT sistem je zabranjeno samostalno priključivanje na internet (priključivanje preko sopstvenog modema), pri čemu administrator IKT sistema, odnosno zaposleni na IKT poslovima može ukinuti pristup internetu u slučaju dokazane zloupotrebe istog.
Korisnici IKT sistema koji koriste internet moraju da se pridržavaju mera zaštite od virusa i upada sa interneta u IKT sistem, a svaki računar čiji se zaposleni- korisnik priključuje na Internet mora biti odgovarajuće podešen i zaštićen, pri čemu podešavanje vrši Odeljenje za poslove elektronske uprave.
Prilikom korišćenja interneta treba izbegavati sumnjive WEB stranice, s obzirom da to može prouzrokovati probleme - neprimetno instaliranje špijunskih programa i slično.
U slučaju da korisnik primeti neobično ponašanje računara, zapažanje treba bez odlaganja da prijavi Odeljenju za poslove elektronske uprave.
Strogo je zabranjeno gledanje filmova i igranje igrica na računarima i "krstarenje" WEB stranicama koje sadrže nedoličan sadržaj, kao i samovoljno preuzimanje istih sa interneta.
Nedozvoljena upotreba interneta obuhvata:
• instaliranje, distribuciju, oglašavanje, prenos ili na drugi način činjenje dostupnim "piratskih" ili drugih softverskih proizvoda koji nisu licencirani na odgovarajući način;
• narušavanje sigurnosti mreže ili na drugi način onemogućavanje poslovne internet komunikacije;
• namerno širenje destruktivnih i opstruktivnih programa na internetu (internet virusi, internet trojanski konji, internet crvi i druge vrste malicioznih softvera);
• nedozvoljeno korišćenje društvenih mreža i drugih internet sadržaja koje je ograničeno;
• preuzimanje (download) podataka velike "težine" koje prouzrokuje "zagušenje" na mreži;
• preuzimanje (download) materijala zaštićenih autorskim pravima;
• orišćenje linkova koji nisu u vezi sa poslom (gledanje filmova, audio i video streaming i sl.);
• nedozvoljeni pristup sadržaju, promena sadržaja, brisanje ili prerada sadržaja preko interneta.
Korisnicima koji neadekvatnim korišćenjem interneta uzrokuju zagušenje, prekid u radu ili narušavaju bezbednost mreže može se oduzeti pravo pristupa internetu.
Gradska uprave grad Sombora vrši izradu rezervnih kopija koje obuhvataju sistemske informacije, aplikacije i podatke koji su neophodni za oporavak celokupnog sistema u slučaju nastupanja posledica izazvanih vanrednim okolnostima.
Rezervne kopije informacija, softvera i duplikati sistema se redovno izrađuju i ispituju.
Zaštitne kopije korisnicima obezbeđuju korisničke podatke, funkcionalnost servisa i aplikacija nakon uništenja ili oštećenja koja su nastala usled hakerskih napada, otkaza hardvera, grešaka korisnika, prirodnih katastrofa i drugih nesreća.
Pod zaštitnim kopijama podrazumeva se pravljenje rezervnih kopija korisničkih podataka, konfiguracionih i log fajlova, kritičnih fajlova za funkcionisanje operativnih sistema (serverskih, korisničkih i komunikacionih) ili celih operativnih sistema, aplikacija, servisa i baze podataka.
Zaštitne kopije treba da omoguće brzo i efikasno vraćanje u funkciju sistema u slučaju neželjenih događaja, i treba ih praviti u vreme kada se ne umanjuje raspoloživost servisa, aplikacija, baza podataka i komunikacionih kapaciteta IKT sistema.
Za čuvanje zaštitnih kopija koriste se eksterni hard diskovi, CD/DVD mediji, NAS uređaji, data centru ili drugom servisu za čuvanje podataka u oblaku.
Za zaštitu od gubitka podataka je odgovoran administrator IKT sistema, odnosno zaposleni na IKT poslovima.
Čuvanje podataka o događajima koji mogu biti od značaja za bezbednost IKT sistema
O aktivnostima administratora i zaposlenih- korisnika vode se dnevnici aktivnosti (activitylog, history, securitylog, transactionlog i dr).
Svakog poslednjeg radnog dana u nedelji datoteke u kojima se nalazi dnevnik aktivnosti se arhiviraju po proceduri za izradu kopija-arhiva ostalih podataka u IKT sistemu.
Sistem za kontrolu i dojavu o greškama, neovlašćenim aktivnostima i dr, mora biti podešen tako da odmah obaveštava administratora, rukovodioca organizacione jedinice nadležne za poslove IKT i načelnika Uprave, o svim neregularnim aktivnostima zaposlenih-korisnika, pokušajima upada i upadima u sistem.
Obezbeđivanje integriteta softvera i operativnih sistema
U IKT sistemu može da se instalira samo softver za koji postoji važeća licenca u vlasništvu Gradske uprave grada Sombora, odnosno Freeware i Opensource verzije.
Instalaciju i podešavanje softvera može da vrši samo administrator IKT sistema, odnosno zaposleni na IKT poslovima.
Instalaciju i podešavanje softvera može da izvrši i treće lice, u skladu sa Ugovorom o nabavci, odnosno održavanju softvera.
Pre svake instalacije nove verzije softvera, odnosno podešavanja, neophodno je napraviti kopiju postojećeg, kako bi se obezbedila mogućnost povratka na prethodno stanje u slučaju neočekivanih situacija.
Zaštita od zloupotrebe tehničkih bezbednosnih slabosti IKT sistema
Administrator IKT sistema, odnosno zaposleni na IKT poslovima najmanje jednom mesečno a po potrebi i češće vrši analizu dnevnika aktivnosti (activitylog, history, securitylog, transactionlog i dr.) u cilju identifikacije potencijalnih slabosti IKT sistema.
Ukoliko se identifikuju slabosti koje mogu da ugroze bezbednost IKT sistema, Administrator IKT sistema, odnosno zaposleni na IKT poslovima je dužan da odmah izvrši podešavanja, odnosno instalira softver koji će otkloniti uočene slabosti.
Administrator IKT sistema, odnosno zaposleni na IKT poslovima treba da podešavanjem korisničkih polisa, onemogući neovlašćeno instaliranje softvera koji može dovesti do ugrožavanja bezbednosti IKT sistema.
Obezbeđivanje da aktivnosti na reviziji IKT sistema imaju što manji uticaj na funkcionisanje sistema
Revizija IKT sistema se mora vršiti tako da ima što manji uticaj na poslovne procese korisnika-zaposlenih. Ukoliko to nije moguće u radno vreme, onda se vrši nakon završetka radnog vremena korisnika-zaposlenih, čiji bi poslovni proces bio ometan, uz prethodnu saglasnost načelnika Gradske uprave.
Zaštita podataka u komunikacionim mrežama uključujući uređaje i vodove
U cilju zaštite podataka u komunikacionim mrežama, uređajima i vodovima vrši se njihova kontrola i zaštita od neovlašćenog pristupa.
Mrežama upravljaju mrežni administratori. U sporazumu o mrežnim uslugama, za sve mrežne usluge treba odrediti i uključiti mehanizme bezbednosti, nivoe usluga i zahteve za rukovodstvo, bilo da se te usluge pružaju unutar organizacije ili iz spoljnog izvora. Mrežne usluge obuhvataju obezbeđivanje priključaka, usluge na privatnim mrežama i mreže sa dopunjenim funkcijama, kao i rešenja za upravljanje bezbednosti, kao što su zaštitne pregrade i sistemi za otkrivanje upada.
U mrežama su međusobno razdvojene grupe informacionih usluga, korisnika i informacioni sistemi, a mrežni administrator je odgovoran za upravljanje mrežom.
Administrator IKT sistema, odnosno zaposleni na IKT je dužan da stalno vrši kontrolni pregled mrežne opreme i blagovremeno preduzima mere u cilju otklanjanja eventualnih nepravilnosti.
Bezbednost podataka koji se prenose unutar operatora IKT sistema, kao i između operatora IKT sistema i lica van operatora IKT sistema
Zaštita podataka koji se prenose komunikacionim sredstvima unutar Gradske uprave grada Sombora, između operatora IKT sistema i lica van operatora IKT sistema, obezbeđuje se utvrđivanjem odgovarajućih pravila, procedura, potpisivanjem ugovora i sporazuma, kao i primenom adekvatnih kontrola.
Upotreba elektronske pošte mora biti u skladu sa pravilima postupka, sigurna i u skladu sa pozitivnim propisima i poslovnom praksom. Elektronska pošta se može koristiti isključivo za poslovne potrebe; razmena poruka ličnog sadržaja nije dozvoljena; svi podaci sadržani u porukama ili njihovom prilogu moraju biti u skladu sa standardima zaštite podataka.
Pristup sadržajima na internetu je dozvoljen isključivo za poslovne namene. Mreža koristi postupak revizije logovanja, kako na prijemu tako i na slanju, i periodično se nadzire i kontroliše.
Informacioni resursi se koriste isključivo u poslovne svrhe, na radu ili u vezi sa radom. Drugu namena korišćenja posebno odobrava načelnik Gradske uprave, na obrazloženi pisani zahtev korisnika.
Pitanja informacione bezbednosti u okviru upravljanja svim fazama životnog ciklusa IKT sistema odnosno delova sistema
Način instaliranja novih, zamena i održavanje postojećih resursa IKT sistema od strane trećih lica koja nisu zaposlena u Upravi, biće definisan ugovorom koji će biti sklopljen sa tim licima.
Administrator IKT sistema, odnosno zaposleni na IKT poslovima je zadužen za tehnički nadzor nad realizacijom ugovorenih obaveza od strane trećih lica.
O uspostavljanju novog IKT sistema, odnosno uvođenju novih delova i izmenama postojećih delova IKT sistema Administrator IKT sistema, odnosno zaposleni na IKT poslovima vodi dokumentaciju.
Dokumentacija iz prethodnog stava mora da sadrži opise svih procedura a posebno procedura koje se odnose na bezbednost IKT sistema.
Zaštita podataka koji se koriste za potrebe testiranja IKT sistema odnosno delova sistema
Pod testiranjem IKT sistema, kao i testiranjem delova sistema, podrazumeva se procena promene stanja sistema, odnosno delova sistema, koji su unapređeni ili izloženi promenama. Pod procesom testiranja podrazumeva se proces upotrebe jednog ili više zadatih objekata pod posebnim okolnostima, da bi se uporedile aktuelna i očekivana ponašanja.
Testiranje IKT sistema, odnosno delova sistema, dozvoljeno je pod uslovom potpune primene svih bezbednosnih mera navedenih u ovom članu.
Za potrebe ispitivanja i testiranja IKT sistema, odnosno delova sistema, Gradska uprave grada Sombora izbegava korišćenje operativnih podataka koji sadrže lične podatke ili bilo koje druge poverljive podatke i informacije na osnovu kojih je moguće identifikovati pojedinačnog dobavljača, kupca, zaposlenog ili dr.
Ukoliko se za svrhu ispitivanja koriste lični podaci ili neke druge poverljive informacije, onda se svi osetljivi podaci i informacije pre korišćenja štite anonimizacijom ličnih podataka, uklanjanjem sadržaja ili izmenom teksta sadržaja u predmetnom delu.
Ukoliko je za testiranje neophodno koristiti operativne podatke, primenjuju se sledeće smernice:
• za svako kopiranje operativnih podataka u testno okruženje se izdaje posebno ovlašćenje;
• prilikom testiranja aplikativnih sistema primenjuju se procedure za kontrolu pristupa koje se primenjuju i na operativnim sistemima;
• operativne informacije se odmah po završetku ispitivanja brišu iz testnog okruženja.
Prilikom testiranja sistema, podaci koji su označeni oznakom tajnosti, odnosno službenosti kao poverljivi podaci, ili su lični podaci, administrator IKT sistema, odnosno zaposleni na IKT poslovima odgovara za podatke u skladu sa propisima kojima je definisana upotreba i zaštita takve vrste podataka.
Za potrebe testiranja IKT sistema odnosno delova sistema, administrator IKT sistema, odnosno zaposleni na IKT poslovima može da koristi podatke koji nisu osetljivi, koje štiti, čuva i kontroliše na odgovarajući način.
Prilikom testiranja aplikativnih sistema primenjuju se dodatne procedure za kontrolu pristupa putem fizičke zaštite i primenom kriptografskih mera za zaštitu sistema i podataka od neovlašćenih pristupa, koje se primenjuju i na operativnim sistemima. Skup kriptografskih mera koje će biti primenjene za zaštitu podataka definiše Administrator IKT sistema, odnosno zaposleni na IKT poslovima, uzimajući u obzir njihovu pouzdanosti i primenjivost.
Zaštita sredstava operatora IKT sistema koja su dostupna pružaocima usluga
Treća lica-pružaoci usluga izrade i održavanja softvera mogu pristupiti samo onim podacima koji se nalaze u bazama podataka koje su deo softvera koji su oni izradili, odnosno za koje postoji ugovorom definisan pristup.
Administrator IKT sistema, odnosno zaposleni na IKT poslovima je odgovoran za kontrolu pristupa i nadzor nad izvršenjem ugovorenih obaveza, kao i za poštovanje odredbi ovog pravilnika kojima su takve aktivnosti definisane.
Održavanje ugovorenog nivoa informacione bezbednosti i pruženih usluga u skladu sa uslovima koji su ugovoreni sa pružaocem usluga
Odeljenje za poslove elektronske uprave je odgovorno za nadzor nad poštovanjem ugovorenih obaveza od strane trećih lica-pružaoca usluga, posebno u oblasti poštovanja odredbi kojima je definisana bezbednost resursa IKT sistema. U slučaju nepoštovanja ugovorenih obaveza Odeljenje za poslove elektronske uprave je dužno da odmah obavesti načelnika, kako bi on mogao da preduzme mere u cilju otklanjanja nepravilnosti.
Prevencija i reagovanje na bezbednosne incidente, što podrazumeva adekvatnu razmenu informacija o bezbednosnim slabostima IKT sistema, incidentima i pretnjama
U slučaju bilo kakvog incidenta koji može da ugrozi bezbednost resursa IKT sistema, zaposleni-korisnik je dužan da odmah obavesti administratora IKT sistema, odnosno lice zaposleno na IKT poslovima.
Po prijemu prijave administrator IKT sistema, odnosno lice zaposleno na IKT poslovima je dužan da odmah obavesti načelnika Uprave i preduzme mere u cilju zaštite resursa IKT sistema.
Ukoliko se radi o incidentu koji je definisan u skladu sa Uredbom o postupku obaveštavanja o incidentima u informaciono-komunikacionim sistemima od posebnog značaja, "Sl. glasnik RS", br, 11/2020), administrator IKT sistema, odnosno lice zaposleno na IKT poslovima je dužan da pored načelnika obavesti i nadležni organ definisan ovom uredbom.
Odeljenje za poslove elektronske uprave vodi evidenciju o svim incidentima, kao i prijavama incidenata.
Mere koje obezbeđuju kontinuitet obavljanja posla u vanrednim okolnostima
U slučaju vanrednih okolnosti, koje mogu da dovedu do izmeštanja IKT sistema iz zgrade Gradske uprave, nadležni subjekt IKT sistema je dužan da u najkraćem roku prenese delove IKT sistema neophodne za funkcionisanje u vanrednoj situaciji na rezervnu lokaciju.
Delove IKT sistema koji nisu neophodni za funkcionisanje u vanrednim situacijama, skladište se na rezervnu lokaciju, koju odredi načelnik Gradske uprave.
Skladištenje delova IKT sistema koji nisu neophodni vrši se na način da oprema bude bezbedna i obeležena, u skladu sa evidencijom koja se o njoj vodi.
III PRELAZNA I ZAVRŠNA ODREDBA
Posebna obaveza Gradske uprave grada Sombora
Obaveza Gradske uprave grada Sombora je da najmanje jednom godišnje izvrši proveru IKT sistema i izvrši eventualne izmene Pravilnika o bezbednosti, u cilju provere adekvatnosti predviđenih mera zaštite, kao i utvrđenih procedura, ovlašćenja i odgovornosti u IKT sistemu Gradske uprave grada Sombora.
Stupanje na snagu Pravilnika o bezbednosti
Stupanjem na snagu ovog Pravilnika, prestaje da važi Pravilnik o bezbednosti informaciono-komunikacionog sistema Gradske uprave grada Sombora ("Službeni list Grada Sombora" br. 7/2017).
Ovaj Pravilnik stupa na snagu danom objavljivanja u "Službenom listu Grada Sombora".