Pravilnik o varnostni dokumentaciji in varnostnih ukrepih izvajalcev bistvenih storitev

Na podlagi tretjega odstavka 12. člena Zakona o informacijski varnosti (Uradni list RS, št. 30/18) minister za javno upravo izdaja

PRAVILNIK

o varnostni dokumentaciji in varnostnih ukrepih izvajalcev bistvenih storitev

I. SPLOŠNE DOLOČBE

1. člen

(vsebina)

Ta pravilnik podrobneje določa vsebino in strukturo varnostne dokumentacije, metodologijo za pripravo analize obvladovanja tveganj ter za določitev ključnih, krmilnih in nadzornih informacijskih sistemov in delov omrežja ter pripadajočih podatkov in minimalni obseg ter vsebino varnostnih ukrepov izvajalcev bistvenih storitev.

2. člen

(pomen izrazov)

Izrazi, uporabljeni v tem pravilniku, pomenijo:

1.      Celovitost je lastnost informacij, omrežij in informacijskih sistemov, da so točni in popolni.

2.      Neprekinjeno poslovanje so aktivnosti, ki so potrebne za ohranjanje poslovanja organizacije v času motenj ali prekinitev normalnega delovanja.

3.      Razpoložljivost je lastnost informacij, omrežij in informacijskih sistemov, da so dostopni in uporabni na pooblaščeno zahtevo.

4.      Sistem upravljanja neprekinjenega poslovanja je sistem upravljanja, ki temelji na strateški in taktični sposobnosti organizacije, da pripravi načrt za primere prekinitev in motenj pri poslovanju ter se na njih odzove z namenom zagotovitve storitev na sprejemljivi, vnaprej določeni ravni ter vključuje pripravo in uporabo načrtov obnovitve in ponovne vzpostavitve delovanja informacijskih sistemov (v nadaljnjem besedilu: SUNP).

5.      Sistem upravljanja varovanja informacij je sistem upravljanja, ki omogoča celovit in koordiniran pogled na informacijska varnostna tveganja organizacije ter zagotavlja vzpostavitev, vpeljavo, delovanje, spremljanje, pregledovanje, vzdrževanje in izboljševanje varnosti omrežij in informacijskih sistemov (v nadaljnjem besedilu: SUVI).

6.      Sredstvo je vsaka opredmetena ali neopredmetena stvar, ki ima vrednost za izvajalca bistvenih storitev (v nadaljnjem besedilu: IBS) in ki zato zahteva zaščito.

7.      Trajanje incidenta je časovno obdobje od prekinitve ustreznega zagotavljanja storitve v smislu razpoložljivosti, celovitosti ali zaupnosti do trenutka njene ponovne vzpostavitve.

8.      Uporabnik je fizična ali pravna oseba, ki uporablja posamezno bistveno storitev neposredno, posredno ali s posredovanjem oziroma je odvisna od nje.

9.      Zaupnost je lastnost, da informacije niso razpoložljive ali razkrite nepooblaščenim subjektom ali procesom.

II. VSEBINA IN STRUKTURA VARNOSTNE DOKUMENTACIJE

3. člen

(vsebina in struktura varnostne dokumentacije)

(1) IBS vzpostavijo in vzdržujejo dokumentiran SUVI in SUNP, ki mora obsegati najmanj elemente iz prvega odstavka 12. člena Zakona o informacijski varnosti (Uradni list RS, št. 30/18).

(2) Varnostno dokumentacijo iz prejšnjega odstavka podpiše zakoniti zastopnik IBS.

(3) Če ima IBS za zagotavljanje varnosti svojih omrežij in informacijskih sistemov že izdelano varnostno dokumentacijo na podlagi drugih predpisov, jo vsebinsko dopolni v skladu s tem pravilnikom.

4. člen

(analiza obvladovanja tveganj)

Analiza obvladovanja tveganj z oceno sprejemljive ravni tveganj (v nadaljnjem besedilu: analiza obvladovanj tveganj) obsega najmanj:

1.      navedbo sredstev znotraj SUVI in upravljavce teh sredstev,

2.      navedbo potencialnih groženj tem sredstvom,

3.      navedbo ranljivosti sredstev iz 1. točke tega člena, ki bi jih lahko grožnje iz prejšnje točke prizadele,

4.      navedbo vpliva uresničitve groženj iz 2. točke tega člena na razpoložljivost, celovitost in zaupnost sredstev iz 1. točke tega člena zaradi ranljivosti iz prejšnje točke,

5.      oceno vpliva na opravljanje bistvenih storitev v primeru kršitve informacijske varnosti zaradi izgube razpoložljivosti, celovitosti ali zaupnosti,

6.      realistično oceno verjetnosti, da pride do kršitve informacijske varnosti,

7.      ovrednotenje ravni tveganj in

8.      določitev sprejemljive ravni tveganj.

5. člen

(politika neprekinjenega poslovanja)

Politika neprekinjenega poslovanja z načrtom njegovega upravljanja (v nadaljnjem besedilu: politika neprekinjenega poslovanja) obsega najmanj:

1.      navedbo postopkov neprekinjenega poslovanja, ki se jo izdela na podlagi popisa poslovnih procesov,

2.      oceno vpliva na poslovanje, ki zajema navedbo možnih dogodkov in incidentov, ki vplivajo na neprekinjeno poslovanje, vključno zaradi odpovedi informacijskih sistemov, pomanjkanja zaposlenih, izpada posamezne lokacije znotraj IBS in odpovedi storitev pogodbenih izvajalcev,

3.      določitev minimalne ravni poslovanja,

4.      navedbo ukrepov za zagotavljanje neprekinjenega poslovanja, ki se izdela na podlagi ocene vpliva na poslovanje iz 2. točke tega člena in minimalne ravni poslovanja iz prejšnje točke ter

5.      določitev vlog in odgovornosti za izvajanje politike neprekinjenega poslovanja in njeno posodabljanje.

6. člen

(seznam ključnih, krmilnih in nadzornih informacijskih sistemov)

Seznam ključnih, krmilnih in nadzornih informacijskih sistemov in delov omrežja IBS ter pripadajočih podatkov, ki so bistvenega pomena za delovanje bistvenih storitev (v nadaljnjem besedilu: ključni, krmilni in nadzorni informacijski sistemi) obsega najmanj:

-        navedbo sredstev znotraj SUVI, od katerih je odvisno zagotavljanje bistvenih storitev, in

-        opredelitev ključnih, krmilnih in nadzornih informacijskih sistemov in navedbo njihovih upravljavcev.

7. člen

(načrt obnovitve delovanja informacijskih sistemov)

Načrt obnovitve in ponovne vzpostavitve delovanja informacijskih sistemov iz prejšnjega člena (v nadaljnjem besedilu: načrt obnovitve delovanja informacijskih sistemov) zajema opis odgovornosti in postopkov za obnovitev delovanja teh sistemov po dogodku, ki povzroči prekinitev njihovega delovanja.

8. člen

(načrt odzivanja na incidente)

(1) Načrt odzivanja na incidente s protokolom obveščanja nacionalnega CSIRT (v nadaljnjem besedilu: načrt odzivanja na incidente) obsega najmanj:

1.      opis sistema za zaznavo incidentov informacijske varnosti,

2.      opis sistema za zbiranje in zavarovanje dokazov o incidentu informacijske varnosti, vključno z dnevniškimi zapisi in revizijskimi sledmi, če te obstajajo,

3.      opis postopkov za odziv, obravnavo in analizo incidentov informacijske varnosti, vključno z beleženjem vseh odzivnih aktivnosti,

4.      opis odgovornosti oseb oziroma organizacijskih enot, ki jih je treba vključiti v aktivnosti iz prejšnje točke,

5.      opis postopkov in odgovornosti za poročanje o incidentih znotraj IBS in izven IBS ter

6.      opis protokola obveščanja nacionalnega CSIRT o incidentu informacijske varnosti.

(2) Obvestilo iz 6. točke prejšnjega odstavka se pošlje nacionalnemu CSIRT na način, kot je objavljen na njegovi spletni strani in zajema najmanj:

1.      oceno števila uporabnikov, ki jih je prizadela motnja pri zagotavljanju bistvenih storitev,

2.      oceno trajanja incidenta,

3.      oceno geografske razširjenosti, kar zadeva območje, na katerega incident vpliva,

4.      oceno morebitnega čezmejnega vpliva incidenta,

5.      oceno morebitnega medpodročnega vpliva incidenta in

6.      oceno pomembnosti vpliva incidenta na neprekinjeno izvajanje bistvenih storitev (lažji incident, težji incident, kritični incident).

9. člen

(načrt varnostnih ukrepov)

(1) Pri izdelavi načrta varnostnih ukrepov za zagotavljanje celovitosti, zaupnosti in razpoložljivosti omrežja in informacijskih sistemov IBS upoštevajo:

-        dokumente varnostne dokumentacije iz 4. do 8. člena tega pravilnika in

-        posebne potrebe področja, na katerem deluje posamezen IBS.

(2) Načrt varnostnih ukrepov iz prejšnjega odstavka vsebuje navedbo ukrepov, ki so:

1.      učinkoviti tako, da povečajo informacijsko varnost glede na obstoječe in predvidene grožnje,

2.      prilagojeni tako, da se prizadevanja IBS usmerijo v ukrepe, ki najbolj vplivajo na njihovo informacijsko varnost in se izogibajo podvajanjem,

3.      skladni tako, da se primarno obravnavajo osnovne in skupne varnostne ranljivosti IBS kljub področnim posebnostim, ki se lahko dopolnijo z varnostnimi ukrepi za posamezna področja,

4.      sorazmerni s tveganji tako, da se izogiba prekomernemu bremenu za IBS,

5.      konkretni tako, da IBS te varnostne ukrepe izvajajo in da ti ukrepi prispevajo h krepitvi njihove informacijske varnosti,

6.      preverljivi tako, da lahko na zahtevo pristojnega organa predložijo dokazila o njihovi implementaciji,

7.      vključujoči tako, da so upoštevani vsi vidiki informacijske varnosti, vključno s fizično varnostjo informacijskih sistemov.

III. METODOLOGIJI ZA PRIPRAVO ANALIZE OBVLADOVANJA TVEGANJ IN ZA DOLOČITEV KLJUČNIH, KRMILNIH IN NADZORNIH INFORMACIJSKIH SISTEMOV TER PRIPADAJOČIH PODATKOV

10. člen

(metodologiji za pripravo analize obvladovanja tveganj ter za določitev ključnih, krmilnih in nadzornih informacijskih sistemov in delov omrežja ter pripadajočih podatkov)

(1) IBS analizo obvladovanja tveganj pripravi tako, da:

1.      izvede popis sredstev znotraj SUVI in določi njihove upravljavce,

2.      prepozna možne grožnje za izgubo celovitosti, razpoložljivosti in zaupnosti sredstev iz prejšnje točke,

3.      prepozna ranljivosti sredstev iz 1. točke tega odstavka, ki bi jih lahko grožnje iz prejšnje točke prizadele,

4.      oceni stopnjo vpliva uresničitve groženj iz 2. točke tega odstavka na razpoložljivost, celovitost in zaupnost sredstev iz 1. točke tega odstavka zaradi ranljivosti iz prejšnje točke,

5.      oceni primernost obstoječih ukrepov in stopnjo obvladovanja ugotovljenih tveganj s temi ukrepi,

6.      ovrednoti ugotovljena tveganja glede na verjetnost nastanka tveganj in obseg negativnih posledic ob uresničitvi tveganj na zagotavljanje storitev ter

7.      določi oceno sprejemljive ravni tveganja glede na vrednotenje ugotovljenih tveganj.

(2) IBS seznam svojih ključnih, krmilnih in nadzornih informacijskih sistemov pripravi tako, da:

-        izmed popisanih sredstev znotraj SUVI iz 1. točke prejšnjega odstavka presodi, ali je zagotavljanje bistvenih storitev odvisno od posameznega sredstva znotraj SUVI, in

-        izmed posameznih sredstev znotraj SUVI, od katerih je v skladu s prejšnjo točko odvisno zagotavljanje bistvenih storitev, presodi, katero izmed teh sredstev je bistveno za delovanje bistvene storitve.

(3) IBS izvede analizo obvladovanj tveganj in določi ključne, krmilne in nadzorne informacijske sisteme tako, da bodo rezultati teh postopkov dosledni, primerljivi in verodostojni.

(4) IBS izvaja analizo obvladovanj tveganj ter določa ključne, krmilne in nadzorne informacijske sisteme v rednih časovnih presledkih ali kadar so predlagane ali nastanejo bistvene spremembe v okviru SUVI.

IV. MINIMALNI OBSEG IN VSEBINA VARNOSTNIH UKREPOV

11. člen

(minimalni obseg in vsebina varnostnih ukrepov)

IBS za zagotavljanje celovitosti, zaupnosti ter razpoložljivosti omrežij in informacijskih sistemov na podlagi varnostne dokumentacije iz 3. člena tega pravilnika pripravijo in izvajajo organizacijske, logično-tehnične in tehnične varnostne ukrepe, ki zagotavljajo najmanj:

1.      podporo vodstva IBS zagotavljanju informacijske varnosti, vključno z vključevanjem področja informacijske varnosti v letni načrt poslovanja IBS,

2.      integriteto kadrov v povezavi z informacijsko varnostjo pred zaposlitvijo, med zaposlitvijo in ob prenehanju ali spremembi zaposlitve,

3.      notranjo presojo SUVI in SUNP v rednih časovnih presledkih,

4.      upravljanje ključnih, krmilnih in nadzornih informacijskih sistemov in delov omrežja ter pripadajočih podatkov, ki so bistvenega pomena za delovanje bistvenih storitev, z določitvijo ustrezne odgovornosti za njihovo zaščito,

5.      ohranjanje dnevniških zapisov o delovanju ključnih, krmilnih in nadzornih informacijskih sistemov in delov omrežja iz prejšnje točke,

6.      upravljanje prometa in komunikacij,

7.      opredelitev varnostnih zahtev za ključne dobavitelje IBS,

8.      fizično in tehnično varovanje dostopov do prostorov, kjer so ključni, krmilni in nadzorni informacijski sistemi IBS,

9.      varnostne mehanizme v posamezni aplikativni programski opremi za izvajanje dejavnosti IBS,

10.   preverjanje identitete uporabnikov,

11.   upravljanje pooblastil za dostop,

12.   zagotavljanje ravni dostopnosti informacij,

13.   zaščito pred zlonamerno programsko kodo,

14.   beleženje dejavnosti ključnih, krmilnih in nadzornih informacijskih sistemov in delov omrežja ter pripadajočih podatkov,njihovih uporabnikov in administratorjev ter

15.   zaznavanje poskusov vdorov in preprečevanje incidentov.

V. KONČNA DOLOČBA

12. člen

(začetek veljavnosti)

Ta pravilnik začne veljati petnajsti dan po objavi v Uradnem listu Republike Slovenije.

Št. 386-18/2018/35

Ljubljana, dne 13. maja 2019

EVA 2018-3130-0031

Rudi Medved

minister
za javno upravo