Na osnovu člana 8. stav 5. Zakona o informacionoj bezbednosti („Službeni glasnik RS”, broj 6/16) i člana 42. stav 1. Zakona o Vladi („Službeni glasnik RS”, br. 55/05, 71/05 – ispravka, 101/07, 65/08, 16/11, 68/12 – US, 72/12, 7/14 – US i 44/14),
Vlada donosi
UREDBU
O BLIŽEM SADRŽAJU AKTA O BEZBEDNOSTI INFORMACIONO-KOMUNIKACIONIH SISTEMA OD POSEBNOG ZNAČAJA, NAČINU PROVERE I SADRŽAJU IZVEŠTAJA O PROVERI BEZBEDNOSTI INFORMACIONO-KOMUNIKACIONIH SISTEMA OD POSEBNOG ZNAČAJA
Predmet uredbe
Član 1.
Ovom uredbom uređuje se bliži sadržaj akta o bezbednosti informaciono-komunikacionih sistema od posebnog značaja, način provere informaciono-komunikacionih sistema od posebnog značaja i sadržaj izveštaja o proveri informaciono-komunikacionog sistema od posebnog značaja.
Akt o bezbednosti IKT sistema od posebnog značaja
Član 2.
Operator IKT sistema od posebnog značaja (u daljem tekstu: Operator IKT sistema) dužan je da donese akt o bezbednosti IKT sistema od posebnog značaja (u daljem tekstu: akt o bezbednosti) koji mora biti usklađen sa zakonom i ovom uredbom.
Sadržaj Akta o bezbednosti
Član 3.
Aktom o bezbednosti, u skladu sa zakonom, određuju se mere zaštite, principi, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti sistema, kao i ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima IKT sistema od posebnog značaja (u daljem tekstu: IKT sistem).
Ukoliko su pojedina pitanja iz stava 1. ovog člana uređena drugim aktima operatora IKT sistema, akt o bezbednosti treba da sadrži upućujuće odredbe na ta akta.
Mere zaštite
Član 4.
Mere zaštite određene aktom o bezbednosti moraju biti usklađene sa merama zaštite iz člana 7. Zakona o informacionoj bezbednosti i aktom Vlade kojima su mere zaštite bliže uređene (u daljem tekstu: Uredba o merama zaštite).
Opisi mera zaštite u okviru akta o bezbednosti treba da budu grupisani u 28 odeljaka prema nazivima i redosledu tačaka iz člana 7. stav 3. Zakona o informacionoj bezbednosti.
Svaki odeljak iz stava 2. ovog člana sadrži opis mera zaštite uključujući procedure, ovlašćenja i odgovornosti učesnika u sprovođenju mera, a ako su ti opisi sadržani u drugim aktima operatora IKT sistema navode se upućujuće odredbe na ta akta.
Ukoliko neki od uslova iz člana 7. stav 3. Zakona o informacionoj bezbednosti nije moguće primeniti ili je analiza rizika pokazala da određeni uslov nije neophodno primeniti u punom obimu, to je potrebno obrazložiti u aktu o bezbednosti.
Izmena Akta o bezbednosti
Član 5.
Akt o bezbednosti mora da bude usklađen sa promenama u okruženju i u samom IKT sistemu.
Promene u okruženju i u samom IKT sistemu su one promene koje mogu dovesti do povećane izloženosti IKT sistema bezbednosnim rizicima, usled nastupanja tehničko-tehnoloških, kadrovskih, organizacionih promena u IKT sistemu i događaja na globalnom i nacionalnom nivou koji mogu narušiti informacionu bezbednost, kao i one promene koje stvaraju mogućnosti za unapređenje mera zaštite.
U slučaju promena iz stava 2. ovog člana, ukoliko je to potrebno, vrši se izmena Akta o bezbednosti, odnosno prilagođavanje i unapređenje mera zaštite, načina i procedura postizanja i održavanja adekvatnog nivoa bezbednosti IKT sistema, kao i preispitivanje ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima IKT sistema.
Provera IKT sistema
Član 6.
Operator IKT sistema je dužan da vrši proveru IKT sistema, odnosno proveru usklađenosti primenjenih mera zaštite sa Aktom o bezbednosti, merama zaštite propisanim Zakonom o informacionoj bezbednosti i Uredbom o merama zaštite.
Provera može da se vrši samostalno ili uz angažovanje spoljnih eksperata.
Proverom se ocenjuje adekvatnost nivoa informacione bezbednosti putem provere mera zaštite, procedura i odgovornosti utvrđenih aktom o bezbednosti.
Proverom se utvrđuje ugroženost ili narušavanje informacione bezbednosti koja nastaje korišćenjem neodgovarajućih postupaka i tehničkih sredstava.
Operator IKT sistema je dužan da proveru vrši najmanje jednom godišnje i da o tome sačini izveštaj.
Provera se vrši tako što se:
1) proverava usklađenost Akta o bezbednosti IKT sistema, uzimajući u obzir i akta na koja se vrši upućivanje, sa propisanim uslovima, odnosno proverava da li su Aktom adekvatno predviđene mere zaštite, procedure, ovlašćenja i odgovornosti u IKT sistemu;
2) proverava da li se u operativnom radu adekvatno primenjuju predviđene mere zaštite i procedure u skladu sa utvrđenim ovlašćenjima i odgovornostima, metodama intervjua, simulacije, posmatranja, uvida u predviđene evidencije i drugu dokumentaciju;
3) vrši provera bezbednosnih slabosti na nivou tehničkih karakteristika komponenti IKT sistema metodom uvida u izabrane proizvode, arhitekture rešenja, tehničke konfiguracije, tehničke podatake o statusima, zapise o događajima (logove) kao i metodom testiranja postojanja poznatih bezbednosnih slabosti u sličnim okruženjima.
Sadržaj izveštaja o proveri IKT sistema
Član 7.
Izveštaj o proveri IKT sistema sadrži:
1) naziv operatora IKT sistema koji se proverava;
2) vreme provere;
3) podaci o licima koja su vršila proveru;
4) izveštaj o sprovedenim radnjama provere;
5) zaključke po pitanju usklađenosti Akta o bezbednosti IKT sistema sa propisanim uslovima;
6) zaključke po pitanju adekvatne primene predviđenih mera zaštite u operativnom radu;
7) zaključke po pitanju eventualnih bezbednosnih slabosti na nivou tehničkih karakteristika komponenti IKT sistema;
8) ocena ukupnog nivoa informacione bezbednosti;
9) predlog eventualnih korektivnih mera;
10) potpis odgovornog lica koje je sprovelo proveru IKT sistema.
Prelazna odredba
Član 8.
Akt o bezbednosti donosi se u roku od 90 dana od dana stupanja na snagu ove uredbe.
Završna odredba
Član 9.
Ova uredba stupa na snagu osmog dana od dana objavljivanja u „Službenom glasniku Republike Srbije”.
05 Broj: 110-9465/2016-1
U Beogradu, 17. novembra 2016. godine
V L A D A
PREDSEDNIKAleksandar Vučić