Smernice za informacionu bezbednost za jedinice lokalne samouprave

Ovim zakonom definisano je da informaciona bezbednost predstavlja skup mera koje omogućavaju da podaci kojima se rukuje putem IKT sistema budu zaštićeni od neovlašćenog pristupa, kao i da se zaštiti integritet, raspoloživost, autentičnost i neporecivost tih podataka, da bi taj sistem funkcionisao kako je predviđeno, kada je predviđeno i pod kontrolom ovlašćenih lica. Zakonom su definisana sledeća svojstva podataka:

• tajnost znači da podatak nije dostupan neovlašćenim licima,
• integritet znači očuvanost izvornog sadržaja i kompletnosti podatka,
• raspoloživost  znači da je podatak dostupan i upotrebljiv na zahtev ovlašćenih lica onda kada im je potreban,
• autentičnost znači da je moguće proveriti i potvrditi da je podatak stvorio ili poslao onaj za koga je deklarisano da je tu radnju izvršio i
• neporecivost znači sposobnost dokazivanja da se dogodila određena radnja ili da je nastupio određeni događaj, tako da ga naknadno nije moguće poreći.

Zakonom o informacionoj bezbednosti definisana je kategorija IKT sistema od posebnog značaja koji su neophodni za pružanje usluga od vitalne važnosti. Zakonom je propisano da se u IKT sisteme od posebnog značaja svrstaju sistemi koji se koriste:

1. u obavljanju poslova u organima vlasti,
2. za obradu posebnih vrsta podataka o ličnosti,
3. u obavljanju delatnosti od opšteg interesa i drugih delatnosti u sledećim oblastima:
   • energetika,
   • saobraćaj,
   • zdravstvo,
   • bankarstvo i finansijska tržišta,
   • digitalna infrastruktura,
   • dobra od opšteg interesa,
   • usluge informacionog društva,
   • ostale oblasti:
     • elektronske komunikacije,
     • izdavanje službenog glasila Republike Srbije,
     • upravljanje nuklearnim objektima,
     • proizvodnja, promet i prevoz naoružanja i vojne opreme,
     • upravljanje otpadom,
     • komunalne delatnosti,
     • proizvodnja i snabdevanje hemikalijama, i

4. u pravnim licima i ustanovama koje osniva Republika Srbija, autonomna pokrajina ili jedinica lokalne samouprave za obavljanje delatnosti navedenih u prethodnoj tački.

U skladu sa ovim odredbama, jedinice lokalne samouprave i pravna lica i ustanove čiji je osnivač jedinica lokalne samouprave i koje obavljaju delatnosti u navedenim oblastima spadaju u kategoriju IKT sistema od posebnog značaja, te stoga moraju ispuniti obaveze koje Zakon o informacionoj bezbednosti nalaže ovoj kategoriji.

Obaveze IKT sistema od posebnog značaja

Zakonom o informacionoj bezbednosti propisano je da operator IKT sistema od posebnog značaja[1] ima posebne obaveze iz domena informacione bezbednosti.:

• upisivanje u evidenciju IKT sistema od posebnog značaja,
• preduzimanje mera zaštite IKT sistema od posebnog značaja,
• donošenje akta o bezbednosti IKT sistema,
• provera usklađenosti primenjenih mera zaštite IKT sistema sa aktom o bezbednosti IKT sistema,
• u slučaju da se aktivnosti u vezi sa IKT sistemom poveravaju trećim licima, uređivanje odnosa sa trećim licima na način koji obezbeđuje preduzimanje mera zaštite tog IKT sistema,
• dostavljanje obaveštenja o incidentima koji značajno ugrožavaju informacionu bezbednost IKT sistema, i
• dostavljanje tačnih statističkih podataka o incidentima u IKT sistemu.

Upisivanje u evidenciju IKT sistema od posebnog značaja

Evidenciju IKT sistema od posebnog značaja vodi Nadležni organ[2]. Operator IKT sistema od posebnog značaja ima obavezu da Nadležnom organu dostavi sledeće podatke:

• naziv i sedište operatora IKT sistema od posebnog značaja,
• ime i prezime, službenu adresu za prijem elektronske pošte i službeni kontakt telefon administratora IKT sistema od posebnog značaja,
• ime i prezime, službenu adresu za prijem elektronske pošte i službeni kontakt telefon odgovornog lica IKT sistema od posebnog značaja i
• podatak o vrsti IKT sistema od posebnog značaja (osnov za svrstavanje u IKT sistem od posebnog značaja).

Nadležni organ može propisati da evidencija IKT sistema od posebnog značaja može sadržati i dopunske podatke. Evidencija IKT sistema od posebnog značaja na raspolaganju je i Nacionalnom CERT-u.

Podaci koje sadrži Evidencija IKT sistema od posebnog značaja propisani su Pravilnikom o podacima koje sadrži evidencija operatora informaciono-komunikacionih sistema od posebnog značaja[3]. Zahtev za upis podataka u Evidenciju podnosi se elektronskim putem[4] Nadležnom organu na Obrascu 1[5] u formi elektronskog dokumenta u originalu ili u formi overenog digitalizovanog akta, u skladu sa propisima kojima se uređuje elektronski dokument. Zahtev se može podneti i pisanim putem na popunjenom Obrascu 1, neposredno ili poštom, na elektronsku adresu Ministarstva.

U slučaju da dođe do promene podataka upisanih u Evidenciju IKT sistema od posebnog značaja, jedinica lokalne samouprave je dužna da u roku od osam dana od nastanka promene podnese Zahtev za promenu podataka na Obrascu 2[6].

Preduzimanje mera zaštite IKT sistema od posebnog značaja

Mere zaštite IKT sistema spadaju u preventivne mere kojima se sprečava nastanak incidenta, odnosno onemogućuje ili umanjuje šteta od incidenta. Mere zaštite bazirane su na međunarodnim standardima u oblasti informacione bezbednosti i odnose se na:

• uspostavljanje organizacione strukture, sa utvrđenim poslovima i odgovornostima zaposlenih, kojom se ostvaruje upravljanje informacionom bezbednošću u okviru operatora IKT sistema;
• postizanje bezbednosti rada na daljinu i upotrebe mobilnih uređaja;
• obezbeđivanje da lica koja koriste IKT sistem odnosno upravljaju IKT sistemom budu osposobljena za posao koji rade i razumeju svoju odgovornost;
• zaštitu od rizika koji nastaju pri promenama poslova ili prestanka radnog angažovanja lica zaposlenih kod operatora IKT sistema;
• identifikovanje informacionih dobara i određivanje odgovornosti za njihovu zaštitu;
• klasifikovanje podataka tako da nivo njihove zaštite odgovara značaju podataka u skladu sa načelom upravljanja rizikom[7];
• zaštitu nosača podataka;
• ograničenje pristupa podacima i sredstvima za obradu podataka;
• odobravanje ovlašćenog pristupa i sprečavanje neovlašćenog pristupa IKT sistemu i uslugama koje IKT sistem pruža;
• utvrđivanje odgovornosti korisnika za zaštitu sopstvenih sredstava za autentikaciju;
• predviđanje odgovarajuće upotrebe kriptozaštite radi zaštite tajnosti, autentičnosti i integriteta podataka;
• fizičku zaštitu objekata, prostora, prostorija odnosno zona u kojima se nalaze sredstva i dokumenti IKT sistema i obrađuju podaci u IKT sistemu;
• zaštitu od gubitka, oštećenja, krađe ili drugog oblika ugrožavanja bezbednosti sredstava koja čine IKT sistem;
• obezbeđivanje ispravnog i bezbednog funkcionisanja sredstava za obradu podataka;
• zaštitu podataka i sredstva za obradu podataka od zlonamernog softvera;
• zaštitu od gubitka podataka;
• čuvanje podataka o događajima koji mogu biti od značaja za bezbednost IKT sistema;
• obezbeđivanje integriteta softvera i operativnih sistema;
• zaštitu od zloupotrebe tehničkih bezbednosnih slabosti IKT sistema;
• obezbeđivanje da aktivnosti na reviziji IKT sistema imaju što manji uticaj na funkcionisanje sistema;
• zaštitu podataka u komunikacionim mrežama uključujući uređaje i vodove;
• bezbednost podataka koji se prenose unutar operatora IKT sistema, kao i između operatora IKT sistema i lica van operatora IKT sistema;
• ispunjenje zahteva za informacionu bezbednost u okviru upravljanja svim fazama životnog ciklusa IKT sistema odnosno delova sistema;
• zaštitu podataka koji se koriste za potrebe testiranja IKT sistema odnosno delova sistema;
• zaštitu sredstava operatora IKT sistema koja su dostupna pružaocima usluga;
• održavanje ugovorenog nivoa informacione bezbednosti i pruženih usluga u skladu sa uslovima koji su ugovoreni sa pružaocem usluga;
• prevenciju i reagovanje na bezbednosne incidente, što podrazumeva adekvatnu razmenu informacija o bezbednosnim slabostima IKT sistema, incidentima i pretnjama;
• mere koje obezbeđuju kontinuitet obavljanja posla u vanrednim okolnostima.

Bliže uređenje mera zaštite propisano je Uredbom o bližem uređenju mera zaštite IKT sistema od posebnog značaja[8]. Ovom Uredbom detaljnije je razrađena svaka od navedenih mera zaštite.

Donošenje Akta o bezbednosti IKT sistema

Jedna od obaveza je usvajanje Akta o bezbednosti IKT sistema, koji treba da sadrži opis mera bezbednosti koje se primenjuju u jedinici lokalne samouprave. Detaljniji sadržaj i okvir za sprovođenje ovog Akta propisani su Uredbom o bližem sadržaju Akta o bezbednosti IKT sistema od posebnog značaja, načinu provere i sadržaju izveštaja o proveri bezbednosti IKT sistema od posebnog značaja[9].

Aktom o bezbednosti IKT sistema određuju se mere zaštite, principi, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti sistema, kao i ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima IKT sistema od posebnog značaja. Akt o bezbednosti IKT sistema treba da sadrži detaljniji opis primene za svaku od 28 mera propisanih Zakonom o informacionoj bezbednosti u jedinici lokalne samouprave (odnosno, potrebno je u Aktu o bezbednosti IKT sistema napisati obrazloženje u slučaju da je neka od predviđenih mera neprimenljiva ili je analiza rizika pokazala da je nepotrebna).

Model akta o bezbednosti IKT sistema kojim su obuhvaćene sve mere zaštite predviđene Zakonom o infomacionoj bezbednosti, Uredbom o bližem sadržaju akta o bezbednosti IKT sistema od posebnog značaja, načinu provere i sadržaju izveštaja o proveri bezbednosti IKT sistema od posebnog značaja i Uredbom o bližem uređenju mera zaštite IKT sistema od posebnog značaja dostupan je na internet stranici Nacionalnog CERT-a[10].

Akt o bezbednosti IKT sistema potrebno je revidirati uvek kada postoje promene u okruženju koje mogu dovesti do povećanog rizika (tehničko-tehnološke, kadrovske ili organizacione promene u IKT sistemu, kao i događaji na globalnom i nacionalnom nivou koji mogu narušiti informacionu bezbednost), ili kada postoje mogućnosti za unapređenje mera zaštite.

Provera usklađenosti primenjenih mera zaštite IKT sistema sa aktom o bezbednosti IKT sistema

Jedinica lokalne samouprave je u obavezi da barem jednom godišnje vrši proveru IKT sistema, odnosno proveru usklađenosti primenjenih mera zaštite sa Aktom o bezbednosti, merama zaštite propisanim Zakonom o informacionoj bezbednosti i Uredbom o bližem uređenju mera zaštite IKT sistema od posebnog značaja. Svrha provere je da se utvrdi ugroženost ili narušavanje informacione bezbednosti koja nastaje korišćenjem neodgovarajućih postupaka i tehničkih sredstava. Provera se vrši na sledeći način:

• proverava se da li su mere zaštite, procedure, ovlašćenja i odgovornosti u IKT sistemu predviđene Aktom o bezbednosti IKT sistema usklađene sa propisanim uslovima u jedinici lokalne samouprave,
• putem razgovora sa zaposlenima, posmatranja procesa rada, simulacija i uvida u predviđene evidencije i drugu dokumentaciju proverava se da li se u operativnom radu adekvatno primenjuju predviđene mere zaštite i procedure u skladu sa utvrđenim ovlašćenjima i odgovornostima,
• putem uvida u izabrane proizvode, arhitekture rešenja, tehničke konfiguracije, tehničke podatke o statusima, zapise o događajima (logove) kao i metodom testiranja postojanja poznatih bezbednosnih slabosti u sličnim okruženjima vrši se provera bezbednosnih slabosti na nivou tehničkih karakteristika komponenti IKT sistema.

Jedinica lokalne samouprave proveru može izvršiti samostalno ili angažovati spoljne eksperte.

Nakon izvršene provere izrađuje se izveštaj koji mora sadržati sledeće podatke:

• naziv jedinice lokalne samouprave,
• vreme provere,
• podatke o licima koja su vršila proveru,
• izveštaj o sprovedenim radnjama provere,
• zaključke po pitanju usklađenosti Akta o bezbednosti IKT sistema sa propisanim uslovima,
• zaključke po pitanju adekvatne primene predviđenih mera zaštite u operativnom radu,
• zaključke po pitanju eventualnih bezbednosnih slabosti na nivou tehničkih karakteristika komponenti IKT sistema,
• ocenu ukupnog nivoa informacione bezbednosti,
• predlog eventualnih korektivnih mera,
• potpis odgovornog lica koje je sprovelo proveru IKT sistema.

Uređivanje odnosa sa trećim licima na način koji obezbeđuje preduzimanje mera zaštite tog IKT sistema

Ako jedinica lokalne samouprave poveri aktivnosti u vezi sa IKT sistemom trećem licu, u obavezi je da uredi odnos sa tim licem na način koji obezbeđuje preduzimanje mera zaštite tog IKT sistema u skladu sa propisima. Pod aktivnostima u vezi sa IKT sistemom podrazumevaju se sve aktivnosti koje uključuju obradu, čuvanje i mogućnost pristupa podacima kojima raspolaže jedinica lokalne samouprave, kao i razvoj i održavanje komponenti IKT sistema od kojih zavisi vršenje poslova iz nadležnosti jedinice lokalne samouprave. Pod trećim licem podrazumevaju se i organizacije i privredni subjekti čiji je osnivač jedinica lokalne samouprave.

Poveravanje aktivnosti trećem licu vrši se na osnovu ugovora zaključenog između jedinice lokalne samouprave i lica kome se te aktivnosti poveravaju. Poveravanje aktivnosti trećem licu može se izvršiti i na osnovu posebnog propisa, pri čemu se tim propisom mogu drugačije urediti obaveze i odgovornosti jedinice lokalne samouprave u vezi poverenih aktivnosti.

Dostavljanje obaveštenja o incidentima koji značajno ugrožavaju informacionu bezbednost IKT sistema

Jedinice lokalne samouprave u obavezi su da blagovremeno dostavljaju informacije o incidentima koji mogu značajno da ugrožavaju informacionu bezbednost. Pod incidentima koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti smatraju se:

• incidenti koji dovode do prekida kontinuiteta vršenja poslova i pružanja usluga, odnosno znatnih teškoća u vršenju poslova i pružanju usluga,
• incidenti koji utiču na veliki broj korisnika usluga, ili traju duži vremenski period,
• incidenti koji dovode do prekida kontinuiteta, odnosno teškoća u vršenju poslova i pružanja usluga, koji utiču na obavljanje poslova i vršenje usluga drugih operatora IKT sistema od posebnog značaja ili utiču na javnu bezbednost,
• incidenti koji dovode do prekida kontinuiteta, odnosno teškoće u vršenju poslova i pružanju usluga i imaju uticaj na veći deo teritorije Republike Srbije,
• incidenti koji dovode do neovlašćenog pristupa zaštićenim podacima čije otkrivanje može ugroziti prava i interese onih na koje se podaci odnose,
• incidenti koji su nastali kao posledica incidenta u IKT sistemu koji pruža usluge informacionog društva, kada jedinica lokalne samouprave u svom poslovanju koristi informacione usluge IKT sistema koji pruža usluge informacionog društva.

Način na koji se ove informacije dostavljaju propisan je Uredbom o postupku obaveštavanja o incidentima u informaciono-komunikacionim sistemima od posebnog značaja[11]. Uredbom je propisano da se obaveštenja o incidentima koji mogu imati značajan uticaj na narušavanje informacione bezbednosti dostavljaju bez odlaganja, a najkasnije narednog radnog dana od dana saznanja o nastanku incidenta. Obaveštenja se dostavljaju preko internet stranice Nadležnog organa[12] (ministarstvo nadležno za infiormacionu bezbednost) ili Nacionalnog CERT-a[13] u jedinstven sistem za prijem obaveštenja o incidentima. U slučaju hitnosti, pored dostavljanja podataka preko internet stranice, obaveštenje o incidentu može se prijaviti i putem telefona, elektronske pošte ili na drugi odgovarajući način.

Neophodno je da obaveštenje o incidentu sadrži sledeće podatke:

• naziv podnosioca prijave, broj telefona i adresu elektronske pošte,
• vrstu i opis incidenta,
• datum i vreme početka incidenta i trajanje incidenta,
• posledice koje je incident izazvao,
• preduzete aktivnosti radi ublažavanja posledica incidenta.

Po potrebi, obaveštenje o incidentu može sadržati i druge relevantne podatke.

Jedan od podataka koji treba uneti u obaveštenje o incidentu je klasifikacija incidenta prema grupi i vrsti incidenta. Lista incidenata prema vrstama nalazi se u Prilogu 1 ovih Smernica.

Ako je incident u toku i nakon prijave incidenta, jedinica lokalne samouprave ima obavezu da organu kome je prijavljen incident dostavlja obaveštenja o bitnim događajima u vezi sa incidentom i aktivnostima koje preduzimaju do prestanka incidenta.

Nakon prijema obaveštenja o incidentu, Nacionalni CERT prikuplja, analizira i razmenjuje informacije o incidentu i obaveštava, pruža podršku, upozorava i savetuje jedinicu lokalne samouprave i vrši druge poslove iz svoje nadležnosti. Na osnovu izvršene analize, Nacionalni CERT vrši klasifikaciju prema nivou opasnosti, pri čemu se uzimaju u obzir posledice incidenta. Klasifikacija incidenata prema nivou opasnosti nalazi se u Prilogu 2 ovih Smernica.

U slučaju incidenta nivoa opasnosti „nizak“, Nacionalni CERT po potrebi priprema predlog preporuka za postupanje i stupa u kontakt sa jedinicom lokalne samouprave u kojoj se desio incident.

U slučaju incidenta nivoa opasnosti „srednji“, Nacionalni CERT priprema predlog preporuka za postupanje i stupa u kontakt sa jedinicom lokalne samouprave u kojoj se desio incident u cilju primene predloženih preporuka za postupanje.

U slučaju incidenta nivoa opasnosti „visok“, Nacionalni CERT obaveštava ministarstvo nadležno za poslove informacione bezbednosti, organizuje sastanak sa predstavnicima ministarstva, drugih CERT-ova i drugih lica u cilju koordinacije reagovanja na incident, a u slučaju da je neophodno, inspektor za informacionu bezbednost može da zabrani korišćenje postupaka i tehničkih sredstava kojima se ugrožava ili narušava informaciona bezbednost u jedinici lokalne samouprave i za to ostavi rok.

U slučaju incidenta nivoa opasnosti „veoma visok“, Nacionalni CERT obaveštava ministarstvo nadležno za poslove informacione bezbednosti, koje potom obaveštava Republički štab za vanredne situacije koji postupa u skladu sa svojim nadležnostima.

Uz saglasnost ministarstva nadležnog za poslove informacione bezbednosti Nacionalni CERT može upozoriti i savetovati javnost o incidentima koji mogu imati značajan uticaj na narušavanje informacione bezbednosti IKT sistema od posebnog značaja u Republici Srbiji.

Dostavljanje tačnih statističkih podataka o incidentima u IKT sistemu

Jedinica lokalne samouprave je u obavezi da najkasnije do 28. februara tekuće godine Nacionalnom CERT-u dostavi elektronskim putem statističke podatke o svim incidentima u IKT sistemu u prethodnoj godini. Bliži način dostavljanja statističkih podataka propisan je Pravilnikom o vrsti, formi i načinu dostavljanja statističkih podataka o incidentima u informaciono-komunikacionim sistemima od posebnog značaja[14].

Statistički podaci o svim incidentima u IKT sistemu za prethodnu godinu dostavljaju se Nacionalnom CERT-u preko veb forme koja je dostupna registrovanim korisnicima.[15] Vrsta statističkih podataka o svim incidentima sadržana je u obrascu ISP – Izveštaj o statističkim podacima o svim incidentima u IKT sistemima od posebnog značaja, koji se nalazi u Prilogu 3 ovih Smernica.

Nacionalni CERT vrši obradu dostavljenih statističkih podataka i objavljuje ih na svojoj internet stranici u formi godišnjeg izveštaja[16]. Godišnji izveštaj ne sadrži pojedinačne podatke ni ocenu bezbednosti bilo kojeg pojedinačnog operatora IKT sistema od posebnog značaja, već samo agregirane i anonimizovane podatke. Nacionalni CERT može trećim licima ustupati pojedinačne podatke iz ISP obrasca isključivo uz izričitu saglasnost operatora IKT sistema od posebnog značaja koja se daje u formi pisane izjave zakonskog zastupnika.

Listu operatora IKT sistema od posebnog značaja koji nisu dostavili statističke podatke o incidentima u IKT sistemu Nacionalni CERT dostavlja Nadležnom organu najkasnije do kraja drugog tromesečja tekuće godine.

[1] Zakonom o informacionoj bezbednosti je propisano da je operator IKT sistema pravno lice, organ vlasti ili organizaciona jedinica organa vlasti koji koristi IKT sistem u okviru obavljanja svoje delatnosti, odnosno poslova iz svoje nadležnosti

[2] Zakonom o informacionoj bezbednosti propisano je da je nadležni organ ministarstvo nadležno za informacionu bezbednost. U daljem tekstu detaljnije su objašnjene nadležnosti Nadležnog organa.

[3] https://pravno-informacioni-sistem.rs/eli/rep/sgrs/ministarstva/pravilnik/2020/9/2/reg

[4] Na adresu evidencijaiktsistema@mit.gov.rs

[5] https://mit.gov.rs/extfile/sr/184/Obrazac%201%20-%20Zahtev%20za%20upis%20podataka%20u%20evidenciju%20IKT%20sistema%20od%20posebnog%20zna%C4%8Daja1.docx

[6] https://mit.gov.rs/extfile/sr/188/Obrazac%202%20-%20Zahtev%20za%20promenu%20podataka%20u%20evidenciji%20IKT%20sistema%20od%20posebnog%20znacaja1.docx

[7] Član 3. Zakona o informacionoj bezbednosti

[8] https://pravno-informacioni-sistem.rs/eli/rep/sgrs/vlada/uredba/2016/94/2/reg

[9] https://pravno-informacioni-sistem.rs/eli/rep/sgrs/vlada/uredba/2016/94/1/reg

[10] https://www.cert.rs/files/shares/Model%20Akta%20o%20bezbednosti.pdf

[11] https://pravno-informacioni-sistem.rs/eli/rep/sgrs/vlada/uredba/2020/11/3/reg

[12] https://mit.gov.rs/tekst/3228/prijava-incidenata-u-oblasti-informacione-bezbednosti.php

[13] https://www.cert.rs/rs/prijava.html

[14] https://www.ratel.rs/uploads/documents/empire_plugin/Pravilnik%20o%20vrsti%2C%20formi%20i%20na%C4%8Dinu%20dostavljanja%20statisti%C4%8Dkih%20podataka%20o%20incidentima%20u%20informaciono-komunikacionim%20sistemima%20od%20posebnog%20zna%C4%8Daja.pdf

[15] Adresa za logovanje je https://www.cert.rs/rs/login.html, a registrovani korisnici se za sve informacije u vezi sa pristupom i unosom podataka u veb formu mogu obratiti elektronskom poštom na statistika@cert.rs.

[16] https://www.cert.rs/rs/izvestaji.html