На основу члана 8. став 5. Закона о информационој безбедности („Службени гласник РС”, број 6/16) и члана 42. став 1. Закона о Влади („Службени гласник РС”, бр. 55/05, 71/05 – исправка, 101/07, 65/08, 16/11, 68/12 – УС, 72/12, 7/14 – УС и 44/14),

Влада доноси

УРЕДБУ

о ближем садржају акта о безбедности информационо-комуникационих система од посебног значаја, начину провере и садржају извештаја о провери безбедности информационо-комуникационих система од посебног значаја

"Службени гласник РС", број 94 од 24. новембра 2016.

   

Предмет Уредбе

Члан 1.

Овом уредбом уређује се ближи садржај акта о безбедности информационо-комуникационих система од посебног значаја, начин провере информационо-комуникационих система од посебног значаја и садржај извештаја о провери информационо-комуникационог система од посебног значаја.

Акт о безбедности ИКТ система од посебног значаја

Члан 2.

Оператор ИКТ система од посебног значаја (у даљем тексту: Оператор ИКТ система) дужан је да донесе акт о безбедности ИКТ система од посебног значаја (у даљем тексту: акт о безбедности) који мора бити усклађен са законом и овом уредбом.

Садржај Акта о безбедности

Члан 3.

Актом о безбедности, у складу са законом, одређују се мере заштите, принципи, начин и процедуре постизања и одржавања адекватног нивоа безбедности система, као и овлашћења и одговорности у вези са безбедношћу и ресурсима ИКТ система од посебног значаја (у даљем тексту: ИКТ систем).

Уколико су поједина питања из става 1. овог члана уређена другим актима оператора ИКТ система, акт о безбедности треба да садржи упућујуће одредбе на та акта.

Мере заштите

Члан 4.

Mере заштите одређене актом о безбедности морају бити усклађене са мерама заштите из члана 7. Закона о информационој безбедности и актом Владе којима су мере заштите ближе уређене (у даљем тексту: Уредба о мерама заштите).

Описи мера заштите у оквиру акта о безбедности треба да буду груписани у 28 одељака према називима и редоследу тачака из члана 7. став 3. Закона о информационој безбедности.

Сваки одељак из става 2. овог члана садржи опис мера заштите укључујући процедуре, овлашћења и одговорности учесника у спровођењу мера, а ако су ти описи садржани у другим актима оператора ИКТ система наводе се упућујуће одредбе на та акта.

Уколико неки од услова из члана 7. став 3. Закона о информационој безбедности није могуће применити или је анализа ризика показала да одређени услов није неопходно применити у пуном обиму, то је потребно образложити у акту о безбедности.

Измена Акта о безбедности

Члан 5.

Акт о безбедности мора да буде усклађен са променама у окружењу и у самом ИКТ систему.

Промене у окружењу и у самом ИКТ систему су оне промене које могу довести до повећане изложености ИКТ система безбедносним ризицима, услед наступања техничко-технолошких, кадровских, организационих промена у ИКТ систему и догађаја на глобалном и националном нивоу који могу нарушити информациону безбедност, као и оне промене које стварају могућности за унапређење мера заштите.

У случају промена из става 2. овог члана, уколико је то потребно, врши се измена Акта о безбедности, односно прилагођавање и унапређење мера заштите, начина и процедура постизања и одржавања адекватног нивоа безбедности ИКТ система, као и преиспитивање овлашћења и одговорности у вези са безбедношћу и ресурсима ИКТ система.

Провера ИКТ система

Члан 6.

Оператор ИКТ система је дужан да врши проверу ИКТ система, односно проверу усклађености примењених мера заштите са Актом о безбедности, мерама заштите прописаним Законом о информационој безбедности и Уредбом о мерама заштите.

Провера може да се врши самостално или уз ангажовање спољних експерата.

Провером се оцењује адекватност нивоа информационе безбедности путем провере мера заштите, процедура и одговорности утврђених актом о безбедности.

Провером се утврђује угроженост или нарушавање информационе безбедности која настаје коришћењем неодговарајућих поступака и техничких средстава.

Оператор ИКТ система је дужан да проверу врши најмање једном годишње и да о томе сачини извештај.

Провера се врши тако што се:

1) проверава усклађеност Акта о безбедности ИКТ система, узимајући у обзир и акта на која се врши упућивање, са прописаним условима, односно проверава да ли су Актом адекватно предвиђене мере заштите, процедуре, овлашћења и одговорности у ИКТ систему;

2) проверава да ли се у оперативном раду адекватно примењују предвиђене мере заштите и процедуре у складу са утврђеним овлашћењима и одговорностима, методама интервјуа, симулације, посматрања, увида у предвиђене евиденције и другу документацију;

3) врши провера безбедносних слабости на нивоу техничких карактеристика компоненти ИКТ система методом увида у изабране производе, архитектуре решења, техничке конфигурације, техничке податке о статусима, записе о догађајима (логове) као и методом тестирања постојања познатих безбедносних слабости у сличним окружењима.

Садржај извештаја о провери ИКТ система

Члан 7.

Извештај о провери ИКТ система садржи:

1) назив оператора ИКТ система који се проверава;

2) време провере;

3) подаци о лицима која су вршила проверу;

4) извештај о спроведеним радњама провере;

5) закључке по питању усклађености Акта о безбедности ИКТ система са прописаним условима;

6) закључке по питању адекватне примене предвиђених мера заштите у оперативном раду;

7) закључке по питању евентуалних безбедносних слабости на нивоу техничких карактеристика компоненти ИКТ система;

8) оцена укупног нивоа информационе безбедности;

9) предлог евентуалних корективних мера;

10) потпис одговорног лица које је спровело проверу ИКТ система.

Прелазна одредба

Члан 8.

Акт о безбедности доноси се у року од 90 дана од дана ступања на снагу ове уредбе.

Завршна одредба

Члан 9.

Ова уредба ступа на снагу осмог дана од дана објављивања у „Службеном гласнику Републике Србије”.

05 број 110-9465/2016-1

У Београду, 17. новембра 2016. године

Влада

Председник,

Александар Вучић, с.р.