На основу члана 123. тачка 3) Устава Републике Србије (,,Службени гласник РС”, број 98/06), члана 29. став 5, а у вези са чланом 29. ст. 2–4. Закона о електронској управи („Службени гласник РС”, број 27/18) и члана 42. став 1. Закона о Влади („Службени гласник РС”, бр. 55/05, 71/05 – исправка, 101/07, 65/08, 16/11, 68/12 – УС, 72/12, 7/14 – УС, 44/14 и 30/18 – др. закон),
Влада доноси
УРЕДБУ
о одржавању и унапређењу Државног центра за управљање и чување података
"Службени гласник РС", број 18 од 11. фебруара 2022.
Предмет уређивања
Члaн 1.
Овом уредбом уређују се ближи услови за одржавање и унапређење Државног центра за управљање и чување података (у даљем тексту: Дата центар) којим управља служба Владе надлежна за пројектовање, усклађивање, развој и функционисање система електронске управе (у даљем тексту: надлежни орган) и начин коришћења Дата центра од стране државних органа и организација, органа и организација покрајинске аутономије, органа и организација јединица локалне самоуправе, установа, јавних предузећа, посебних органa преко којих се остварује регулаторна функција и правних и физичких лица којима су поверена јавна овлашћења (у даљем тексту: орган), као и друга питања која су од значаја за регулисање начина коришћења ресурса Дата центра и услуга надлежног органа.
Право коришћења Дата центра
Члaн 2.
Надлежни орган дужан је да обезбеди коришћење целокупне инфраструктуре Дата центра, ормане, односно мрежне и серверске рекове, напајање, агрегате, систем за хлађење, систем за непрекидно напајање (uninterruptible power supply – UPS), противпожарни систем, интегрисани систем безбедности, као и стручна лица укључена у управљање и одржавање наведених ресурса (у даљем тексту: ресурси Дата центра).
Надлежни орган дужан је да обезбеди коришћење услуга електронске управе надлежног органа којима се обезбеђује коришћење опреме за чување и складиштење података у Дата центру (telehousing) и коришћење клауд сервиса које надлежни орган пружа другим органима и корисницима услуга надлежног органа сваком органу у електронској управи.
Орган је дужан да користи ресурсе Дата центра и услуге надлежног органа у складу са овом уредбом и прописима којима се уређује информациона безбедност.
Коришћење ресурса Дата центра и услуга надлежног органа врши се у складу са законом којим се уређује заштита података о личности.
Поступак повезивања органа на ресурсе Дата центра
Члaн 3.
Орган подноси захтев надлежном органу за приступ ресурсима Дата центра и услугама надлежног органа у којем наводи:
1) податке о овлашћеним службеним лицима и овлашћеним лицима задуженим за приступ ресурсима Дата центра;
2) спецификацију ресурса Дата центра коју хоће да користи;
3) услуге електронске управе надлежног органа које жели да користи.
Подношењем захтева орган се саглашава са условима коришћења Дата центра које доноси и објављује на својој веб презентацији надлежни орган.
Надлежни орган дужан је да провери комплетност захтева из става 1. овог члана и да на основу документације одреди да ли орган који је поднео захтев испуњава законске услове да буде повезан на инфраструктуру Дата центра.
Надлежни орган дужан је да у року од осам дана од дана пријема захтева одговори на захтев и одобри или одбије приступ ресурсима Дата центра.
Приступ ресурсима Дата центра
Члaн 4.
Приступ ресурсима Дата центра дозвољен је овлашћеним службеним лицима надлежног органа.
Овлашћено службено лице надлежног органа дужно је да користи електронско средство за аутентикацију приликом сваког уласка и изласка из Дата центра.
У случају да је средство за аутентикацију привремено недоступно овлашћеном службеном лицу а када је улазак у Дата центар неопходан, приступ ресурсима Дата центра дозвољен је након добијања сагласности надлежног органа.
У случају да у Дата центар улази више лица од којих свако има електронско средство за аутентикацију за улазак, сва лица морају приликом уласка да користе своје средство.
Приступ ресурсима Дата центра дозвољен је овлашћеним службеним лицима органа који је сместио своју опрему у Дата центар и овлашћеним лицима.
Приступ ресурсима Дата центра дозвољен је и овлашћеним лицима телекомуникационог сервис провајдера овлашћеног од стране надлежног органа, у сврху инсталације или одржавања опреме, а само овлашћеним сервисерима опреме овлашћеним од стране надлежног органа ради инсталације и одржавања опреме надлежног органа, односно уређаја за непрекидно напајање и друге опреме.
Физички приступ ресурсима Дата центра из ст. 5. и 6. овог члана омогућава се након добијања сагласности надлежног органа и искључиво уз пратњу овлашћеног службеног лица надлежног органа.
Надлежни орган дужан је да води, односно обезбеди евиденцију посета лица који приступају ресурсима Дата центра која садржи: лично име и број јавне исправе којом се доказује идентитет лица.
Сваки улазак и излазак из Дата центра овлашћених лица која не поседују електронско средство за аутентикацију евидентира овлашћено службено лице надлежног органа.
Пријем и изношење опреме из Дата центра
Члaн 5.
Надлежни орган дужан је да именује овлашћено службено лице за потребе смештања и чувања опреме у Дата центру.
Орган је дужан да именује овлашћено службено лице, односно друго овлашћено лице које може вршити унос и инсталацију опреме у Дата центру, односно демонтажу и изношење опреме.
Овлашћено службено лице из става 1. овог члана дужно је да, најмање два дана пре уношења или изношења опреме поднесе захтев надлежном органу за одобрење за уношење или изношење опреме у Дата центар.
Захтев из става 3. овог члана мора да садржи спецификацију опреме, њену намену, као и основ по којем је набављена.
Опрема мора бити ослобођена амбалаже и спремна за експлоатацију изван просторија намењених смештању опреме Дата центра.
Надлежни орган дужан је да води ажурну евиденцију о целокупној опреми смештеној у Дата центру која садржи:
1) основне податке о опреми, и то:
(1) назив опреме,
(2) намену,
(3) основне техничке карактеристике;
2) назив органа који користи опрему;
3) лично име лица овлашћеног за администрацију и одржавање опреме са контакт подацима: бројем телефона, адресом електронске поште, а за лица ван органа и назив правног лица које је овлашћено да одржава опрему;
4) позицију опреме у сали, односно број бокса, број река и позицију у реку.
Изношење опреме из Дата центра обавља овлашћено службено лице надлежног органа и овлашћено лице за опрему органа уз претходно одобрен захтев из става 3. овог члана.
Овлашћено службено лице надлежног органа евидентира серијски број уређаја који се износи, као и лично име лица које износи опрему.
У Дата центру не смеју се чувати резервни делови, помоћна средства као и компоненте које се неће користити у експлоатацији. Овлашћена службена лица надлежног органа дужна су да спрече одлагање наведених предмета у Дата центру.
Пријем опреме у случају хитних интервенција
Члaн 6.
У случају хитних интервенција на опреми, уношење опреме у Дата центар може се обавити без подношења захтева из члана 5. став 3. ове уредбе уз претходну најаву надлежном органу.
Хитна интервенција на опреми обавља се у присуству овлашћеног службеног лица надлежног органа.
По завршеној хитној интервенцији орган подноси извештај надлежном органу који садржи назив опреме на којој се интервенисало, спецификацију замењенe опремe као и имена учесника интервенције, односно овлашћених лица.
Заштита опреме смештене у Дата центру
Члaн 7.
Дата центар штити опрему од утицаја претњи из спољашњег окружења, тако што поседује:
1) спољне зидове од материјала који штити од спољашњих атмосферских услова;
2) антистатик под;
3) техничке системе заштите, односно противпожарни, противпровални и видео надзор, постављене у складу са важећим законским прописима и стандардима;
4) системе за одржавање температуре и влажности ваздуха у задатим границама.
Дата центар поседује безбедносне системе заштите за спречавање неовлашћеног приступа опреми и непрописног руковања, и то:
1) јасно утврђене физичке границе са одговарајућим физичким баријерама према осталим просторијама;
2) врата и прозоре који се обезбеђују алармом или електронским односно механичким бравама и додатно, уградњом решетки ако је сервер сала у приземљу.
Дата центар поседује системе за непрекидно напајање електричном енергијом преко електричног уређаја који обезбеђује напајање струјом у случају нестанка примарног извора струје и довољну аутономију рада уређаја док се не стабилизује извор агрегатског напајања.
Надлежни орган дужан је да предузме додатне мере заштите како би се спречила или умањила штета која може настати од пожара, поплава, експлозија или других облика природних или људских претњи по безбедност на следеће начине:
1) запаљиви и опасни материјали се складиште на местима која су удаљена од Дата центра;
2) противпожарна опрема је обезбеђена и доступна овлашћеним службеним лицима;
3) резервна опрема и безбедносне копије медија чувају се на резервним локацијама;
4) овлашћена службена лица упозната су са поступком у случају настанка пожара, диверзије и других штетних догађаја.
Опрема у Дата центру смешта се у ормане, односно рекове у боксевима са ограниченим правима приступа.
Рекови са опремом надлежног органа, када је могуће, физички су одвојени од ормана, односно рекова са опремом корисника услуга.
У Дата центру забрањено је:
1) неовлашћено снимање;
2) уношење хране и пића;
3) пушење;
4) непотребно задржавање;
5) одлагање и чување непотребне опреме.
За забране из става 7. овог члана обавезно је истакнути писано упозорење на улазним вратима.
Физичка безбедност Дата центра се надгледа и редовно контролише у складу са прописима.
Израда резервних копија података
Члaн 8.
Резервне копије података израђују се са сервера на основу захтева органа који обавезно садржи опис података, односно сервиса који се копирају.
Захтев из става 1. овог члана подноси се надлежном органу.
У случају да је потребно обезбедити додатни ресурс за израду и чување резервних копија додаје се нови сервер у оквиру софтверског решења, односно Система за израду и чување резервних копија.
Орган и надлежни орган споразумно одређују фреквенцију и време израде резервних копија података према:
1) пословној потреби за доступношћу података;
2) времену и обиму промене података и сложености опоравка података;
3) расположивости инфраструктурних ресурса.
Израда резервних копија података може да буде редовна или ванредна.
Редовна израда резервних копија података са сервера спроводи се по унапред дефинисаном распореду који садржи следеће податке:
1) назив сервера са подацима за чување;
2) сачуване податке са сервера који се чувају;
3) време почетка израде резервних копија;
4) фреквенцију израде резервних копија;
5) тип израде резервних копија и
6) време чувања резервних копија.
Ванредна израда резервних копија података са сервера ради се приликом промена на софтверским решењима. За сваку групу података бира се примарни медијум према:
1) времену аквизиције, односно времену потребном за идентификацију резервне копије и његову доставу систему ради реализације опоравка података;
2) времену приступа подацима на медијуму и брзини трансфера података са медијума;
3) капацитету складиштења података на медијуму;
4) цени медијума.
Сваки медијум са резервном копијом има једнозначну ознаку.
Орган и надлежни орган споразумно за сваку групу података одређују број генерација резервних копија према:
1) пословној потреби за доступношћу и интегритетом података;
2) обиму података и обиму промене података.
Надлежни орган дужан је да води ажурну евиденцију о изради резервних копија која обухвата:
1) датум израде резервних копија;
2) структуру резервних копија;
3) податке о медијумима на којима се налазе резервне копије;
4) податке о хардверу и софтверу помоћу којих се реализовала израда резервних копија.
Надлежни орган дужан је да тестира исправност резервних копија за нове технологије приликом почетка њиховог коришћења и да о томе обавести орган.
Чување резервних копија података
Члaн 9.
Резервне копије се чувају у заштићеној просторији у:
1) додатном бункеру на истој локацији, или
2) додатном сефу на другој локацији, или
3) додатним ИКТ ресурсима на другој локацији.
О резервним копијама података води се ажурна евиденција по локацијама.
Приступ резервним копијама података одобрава надлежни орган.
Након истека времена, прописаног за чување података, подаци се бришу.
Коришћење резервних копија за опоравак података
Члaн 10.
Надлежни орган дужан је да, на захтев органа, омогући опоравак података са сервера коришћењем резервних копија.
Надлежни орган ниje oдгoвoран зa евентуалну штeту кojу орган који користи Дата центар прeтрпи услeд смaњeнoг квaлитeтa услуга надлежног органа узрoкoвaнoг интeрфeрeнциjoм, aтмoсфeрским приликaмa, физичким прeпрeкaмa или другим рaзлoзимa нa кoje надлежни орган нeмa утицaj, нeпoкривeнoсти пoдручja, смaњeнoг прoтoкa у бeжичнoм прeнoсу пoдaтaкa и дejствa вишe силe.
Континуитет права приступа
Члaн 11.
Органи који су до дана ступања на снагу ове уредбе били корисници Дата центра имају право приступа ресурсима без подношења захтева из члана 3. став 1. ове уредбе.
Ступање на снагу и почетак примене
Члaн 12.
Ова уредба ступа на снагу осмог дана од дана објављивања у „Службеном гласнику Републике Србијеˮ, осим одредаба чл. 8–10, које се примењују од 1. јануара 2023. године.
05 број 110-1024/2022
У Београду, 10. фебруара 2022. године
Влада
Председник,
Ана Брнабић, с.р.