Na podlagi tretjega odstavka 12. člena Zakona o
informacijski varnosti (Uradni list RS, št. 30/18, 95/21 in 130/22 – ZEKom-2)
Vlada Republike Slovenije izdaja
UREDBO
o varnostni dokumentaciji in varnostnih ukrepih
izvajalcev bistvenih storitev
I. SPLOŠNE DOLOČBE
1. člen
(vsebina)
Ta uredba podrobneje določa vsebino in strukturo varnostne
dokumentacije, metodologijo za pripravo analize obvladovanja tveganj ter za
določitev ključnih, krmilnih in nadzornih informacijskih sistemov in delov
omrežja in pripadajočih podatkov ter minimalni obseg in vsebino varnostnih
ukrepov izvajalcev bistvenih storitev.
2. člen
(pomen izrazov)
Izrazi, uporabljeni v tej uredbi, pomenijo:
1.
Celovitost je lastnost informacij, omrežij in informacijskih sistemov,
da so točni in popolni.
2.
Kazalnik zlorabe je kazalnik, ki poda informacijo o lastnostih zlorabe
omrežij oziroma informacijskih sistemov izvajalcev bistvenih storitev (v
nadaljnjem besedilu: IBS).
3.
Neprekinjeno poslovanje so aktivnosti, ki so potrebne za ohranjanje
poslovanja organizacije v času motenj ali prekinitev normalnega delovanja.
4.
Razpoložljivost je lastnost informacij, omrežij in informacijskih
sistemov, da so dostopni in uporabni na pooblaščeno zahtevo.
5.
Sistem upravljanja neprekinjenega poslovanja (v nadaljnjem besedilu: SUNP)
je sistem upravljanja, ki temelji na strateški in taktični sposobnosti
organizacije, da pripravi načrt za primere prekinitev in motenj pri poslovanju
ter se nanje odzove z namenom zagotovitve storitev na sprejemljivi, vnaprej
določeni ravni, ter vključuje pripravo in uporabo načrtov obnovitve in ponovne
vzpostavitve delovanja informacijskih sistemov.
6.
Sistem upravljanja varovanja informacij (v nadaljnjem besedilu: SUVI) je
sistem upravljanja, ki omogoča celovit in koordiniran pogled na informacijska
varnostna tveganja organizacije ter zagotavlja vzpostavitev, vpeljavo,
delovanje, spremljanje, pregledovanje, vzdrževanje in izboljševanje varnosti
omrežij in informacijskih sistemov.
7.
Sredstvo je vsaka opredmetena ali neopredmetena stvar, ki ima vrednost
za IBS in zato zahteva zaščito.
8.
Trajanje incidenta je časovno obdobje od prekinitve ustreznega
zagotavljanja storitve v smislu zaupnosti, celovitosti ali razpoložljivosti do
trenutka njene ponovne vzpostavitve.
9.
Uporabnik je fizična ali pravna oseba, ki uporablja posamezno bistveno
storitev neposredno, posredno ali s posredovanjem oziroma je odvisna od nje.
10.
Zaupnost je lastnost, da informacije niso razpoložljive ali razkrite
nepooblaščenim subjektom ali procesom.
II. VSEBINA IN STRUKTURA VARNOSTNE DOKUMENTACIJE
3. člen
(vsebina in struktura varnostne dokumentacije)
(1) IBS vzpostavijo in vzdržujejo dokumentirana SUVI in SUNP,
ki morata vsebovati najmanj elemente iz prvega odstavka 12. člena Zakona o
informacijski varnosti (Uradni list RS, št. 30/18, 95/21 in 130/22 – ZEKom-2).
(2) Varnostno dokumentacijo iz prejšnjega odstavka podpiše
zakoniti zastopnik IBS.
(3) Če ima IBS za zagotavljanje varnosti svojih omrežij in
informacijskih sistemov že izdelano varnostno dokumentacijo na podlagi drugih
predpisov, jo vsebinsko dopolni v skladu s to uredbo.
4. člen
(analiza obvladovanja tveganj)
Analiza obvladovanja tveganj z oceno sprejemljive ravni
tveganj (v nadaljnjem besedilu: analiza obvladovanja tveganj) zajema najmanj:
1.
navedbo uporabljene metodologije za izvedbo analize obvladovanja
tveganj, ki mora biti primerljiva, verodostojna in ponovljiva v skladu s
pravili stroke,
2.
navedbo sredstev znotraj SUVI in upravljavce teh sredstev oziroma
odgovorne osebe za ta sredstva,
3.
navedbo možnih groženj tem sredstvom,
4.
navedbo ranljivosti sredstev iz 2. točke tega člena, ki bi jih grožnje
iz prejšnje točke lahko prizadele,
5.
navedbo vpliva uresničitve groženj iz 3. točke tega člena na zaupnost,
celovitost in razpoložljivost sredstev iz 2. točke tega člena zaradi
ranljivosti iz prejšnje točke,
6.
oceno vpliva na opravljanje bistvenih storitev v primeru kršitve
informacijske varnosti zaradi izgube zaupnosti, celovitosti ali
razpoložljivosti,
7.
oceno verjetnosti, da nastane kršitev informacijske varnosti,
8.
ovrednotenje ravni tveganj,
9.
določitev in obrazložitev sprejemljive ravni tveganj,
10.
navedbo ukrepov za odpravo ali zmanjšanje tveganj nad sprejemljivo
ravnjo.
5. člen
(politika neprekinjenega poslovanja)
Politika neprekinjenega poslovanja z načrtom njegovega
upravljanja zajema najmanj:
1.
navedbo ciljev in načel za zagotavljanje neprekinjenega poslovanja
oziroma neprekinjenega izvajanja bistvenih storitev ob upoštevanju področnih
posebnosti,
2.
navedbo postopkov neprekinjenega poslovanja, ki se izdelajo na podlagi
popisa poslovnih procesov,
3.
oceno vpliva na poslovanje, ki zajema navedbo možnih dogodkov in
incidentov, ki vplivajo na neprekinjeno poslovanje, vključno zaradi odpovedi
informacijskih sistemov, pomanjkanja zaposlenih, izpada posamezne lokacije
znotraj IBS in odpovedi storitev pogodbenih izvajalcev,
4.
določitev minimalne ravni poslovanja,
5.
navedbo ukrepov za zagotavljanje neprekinjenega poslovanja, ki se
izdelajo na podlagi ocene vpliva na poslovanje iz 3. točke tega člena in
minimalne ravni poslovanja iz prejšnje točke, ter
6.
določitev vlog in odgovornosti za izvajanje politike neprekinjenega
poslovanja in njeno posodabljanje.
6. člen
(seznam ključnih, krmilnih in nadzornih informacijskih
sistemov)
Seznam ključnih, krmilnih in nadzornih informacijskih
sistemov in delov omrežja IBS ter pripadajočih podatkov, ki so bistvenega
pomena za delovanje bistvenih storitev (v nadaljnjem besedilu: ključni, krmilni
in nadzorni informacijski sistemi), zajema najmanj:
-
navedbo sredstev znotraj SUVI, od katerih je odvisno zagotavljanje
bistvenih storitev, in
-
opredelitev ključnih, krmilnih in nadzornih informacijskih sistemov ter
navedbo njihovih upravljavcev.
7. člen
(načrt obnovitve delovanja informacijskih sistemov)
Načrt obnovitve in ponovne vzpostavitve delovanja
informacijskih sistemov iz prejšnjega člena (v nadaljnjem besedilu: načrt
obnovitve delovanja informacijskih sistemov) zajema opis odgovornosti in
postopkov za obnovitev delovanja teh sistemov po dogodku, ki povzroči
prekinitev njihovega delovanja.
8. člen
(načrt odzivanja na incidente)
(1) Načrt odzivanja na incidente s protokolom obveščanja
nacionalnega CSIRT (v nadaljnjem besedilu: načrt odzivanja na incidente) zajema
najmanj:
1.
opis sistema za zaznavo incidentov informacijske varnosti,
2.
opis sistema za zbiranje in zavarovanje dokazov o incidentu
informacijske varnosti, vključno z dnevniškimi zapisi in revizijskimi sledmi,
če te obstajajo,
3.
opis postopkov za odziv na incidente informacijske varnosti, obravnavo
in analizo incidentov informacijske varnosti, vključno z evidentiranjem vseh
odzivnih aktivnosti,
4.
opis odgovornosti oseb oziroma organizacijskih enot, ki jih je treba
vključiti v aktivnosti iz prejšnje točke,
5.
opis postopkov in odgovornosti za poročanje o incidentih znotraj IBS in
zunaj IBS ter
6.
opis protokola obveščanja nacionalnega CSIRT o incidentu informacijske
varnosti.
(2) Obvestilo iz 6. točke prejšnjega odstavka se pošlje
nacionalnemu CSIRT na način, ki je objavljen na njegovi spletni strani, in
zajema najmanj:
1.
oceno števila uporabnikov, ki jih je prizadela motnja pri zagotavljanju
bistvenih storitev,
2.
oceno trajanja incidenta,
3.
navedbo kazalnikov zlorabe, če ti obstajajo,
4.
oceno geografske razširjenosti območja, na katero incident vpliva,
5.
oceno morebitnega čezmejnega vpliva incidenta,
6.
oceno morebitnega medpodročnega vpliva incidenta in
7.
opis pomembnosti vpliva incidenta na neprekinjeno izvajanje bistvenih
storitev.
9. člen
(načrt varnostnih ukrepov)
(1) Pri izdelavi načrta varnostnih ukrepov za zagotavljanje
zaupnosti, celovitosti in razpoložljivosti omrežja in informacijskih sistemov
IBS upoštevajo:
-
dokumente varnostne dokumentacije iz 4. do 8. člena te uredbe in
-
posebne potrebe področja, na katerem deluje posamezni IBS.
(2) Načrt varnostnih ukrepov iz prejšnjega odstavka vsebuje
navedbo ukrepov, ki so:
1.
učinkoviti tako, da povečajo informacijsko varnost glede na obstoječe in
predvidene grožnje,
2.
prilagojeni tako, da se prizadevanja IBS usmerijo v ukrepe, ki najbolj
vplivajo na njihovo informacijsko varnost, in se izogibajo podvajanjem,
3.
skladni tako, da se prednostno obravnavajo osnovne in skupne varnostne
ranljivosti IBS kljub področnim posebnostim, ki se lahko dopolnijo z
varnostnimi ukrepi za posamezna področja,
4.
sorazmerni s tveganji tako, da se izogiba čezmerni obremenitvi
posameznega IBS,
5.
konkretni tako, da IBS te varnostne ukrepe izvajajo in da ti ukrepi
prispevajo h krepitvi njihove informacijske varnosti,
6.
preverljivi tako, da se na zahtevo pristojnega organa lahko predložijo
dokazila o njihovi izvedbi,
7.
vključujoči tako, da so upoštevani vsi vidiki informacijske varnosti,
vključno s fizično varnostjo informacijskih sistemov.
III. METODOLOGIJI ZA PRIPRAVO ANALIZE OBVLADOVANJA TVEGANJ IN
ZA DOLOČITEV KLJUČNIH, KRMILNIH IN NADZORNIH INFORMACIJSKIH SISTEMOV TER
PRIPADAJOČIH PODATKOV
10. člen
(metodologiji za pripravo analize obvladovanja tveganj in za
določitev ključnih, krmilnih in nadzornih informacijskih sistemov)
(1) IBS analizo obvladovanja tveganj pripravi tako, da:
1.
navede metodologijo z opredelitvijo lestvic in atributov ocenjevanja, po
kateri bo izvedel analizo obvladovanja tveganj v skladu s to uredbo,
2.
izvede popis sredstev znotraj SUVI in določi njihove upravljavce oziroma
odgovorne osebe za ta sredstva,
3.
prepozna možne grožnje za izgubo zaupnosti, celovitosti in
razpoložljivosti sredstev iz prejšnje točke,
4.
prepozna ranljivost sredstev iz 2. točke tega odstavka, ki bi jih
grožnje iz prejšnje točke lahko prizadele,
5.
oceni stopnjo vpliva uresničitve groženj iz 3. točke tega odstavka na
zaupnost, celovitost in razpoložljivost sredstev iz 2. točke tega odstavka
zaradi ranljivosti iz prejšnje točke,
6.
oceni primernost obstoječih ukrepov in stopnjo obvladovanja ugotovljenih
tveganj s temi ukrepi,
7.
ovrednoti ugotovljena tveganja glede na verjetnost nastanka tveganj in
obseg negativnih posledic ob uresničitvi tveganj na zagotavljanje storitev ter
8.
določi oceno sprejemljive ravni tveganja glede na vrednotenje
ugotovljenih tveganj.
(2) IBS seznam svojih ključnih, krmilnih in nadzornih
informacijskih sistemov pripravi tako, da:
-
na podlagi popisanih sredstev znotraj SUVI iz 2. točke prejšnjega
odstavka presodi, ali je zagotavljanje bistvenih storitev odvisno od
posameznega sredstva znotraj SUVI, in
-
na podlagi posameznih sredstev znotraj SUVI, od katerih je v skladu s
prejšnjo alinejo odvisno zagotavljanje bistvenih storitev, presodi, katero od
teh sredstev je bistveno za delovanje bistvene storitve.
(3) IBS izvede analizo obvladovanja tveganj ter določi
ključne, krmilne in nadzorne informacijske sisteme tako, da bodo rezultati teh
postopkov dosledni, primerljivi in verodostojni.
(4) IBS izvaja analizo obvladovanja tveganj ter določa
ključne, krmilne in nadzorne informacijske sisteme v rednih časovnih
presledkih, ali kadar so predlagane ali nastanejo bistvene spremembe v okviru
SUVI.
IV. MINIMALNI OBSEG IN VSEBINA VARNOSTNIH UKREPOV
11. člen
(minimalni obseg in vsebina varnostnih ukrepov)
IBS za zagotavljanje zaupnosti, celovitosti in
razpoložljivosti omrežij in informacijskih sistemov na podlagi varnostne
dokumentacije iz 3. člena te uredbe pripravijo ter izvajajo organizacijske,
logično-tehnične in tehnične varnostne ukrepe, ki zagotavljajo najmanj:
1.
podporo vodstva IBS pri zagotavljanju informacijske varnosti, vključno z
vključevanjem področja informacijske varnosti v letni načrt poslovanja IBS,
2.
integriteto kadrov v povezavi z informacijsko varnostjo pred
zaposlitvijo, med zaposlitvijo in ob prenehanju ali spremembi zaposlitve,
3.
notranji pregled SUVI in SUNP najmanj enkrat letno, in kadar so
predlagane ali nastanejo bistvene spremembe, ki vplivajo na zaupnost, celovitost
oziroma razpoložljivost omrežij in informacijskih sistemov, v daljših rednih
časovnih presledkih pa le, če je to potrebno zaradi upoštevanja posebnosti
področja delovanja IBS,
4.
upravljanje ključnih, krmilnih in nadzornih informacijskih sistemov in
delov omrežja ter pripadajočih podatkov, ki so bistvenega pomena za delovanje
bistvenih storitev, z določitvijo ustrezne odgovornosti za njihovo zaščito,
5.
ohranjanje dnevniških zapisov o delovanju ključnih, krmilnih in
nadzornih informacijskih sistemov in delov omrežja iz prejšnje točke,
6.
upravljanje prometa in komunikacij,
7.
opredelitev varnostnih zahtev za ključne dobavitelje IBS,
8.
fizično in tehnično varovanje dostopov do prostorov, kjer so ključni,
krmilni in nadzorni informacijski sistemi IBS,
9.
varnostne mehanizme v posamezni aplikativni programski opremi za
izvajanje dejavnosti IBS,
10.
preverjanje identitete uporabnikov,
11.
upravljanje in preprečevanje izrabe tehničnih ranljivosti,
12.
zagotavljanje ravni dostopnosti informacij in upravljanje pooblastil za
dostop,
13.
zaščito pred zlonamerno programsko kodo,
14.
evidentiranje dejavnosti ključnih, krmilnih in nadzornih informacijskih
sistemov in delov omrežja ter pripadajočih podatkov, njihovih uporabnikov in
administratorjev ter
15.
zaznavanje poskusov vdorov in preprečevanje incidentov.
V. PREHODNE IN KONČNE DOLOČBE
12. člen
(prehodno obdobje)
IBS že izdelano varnostno dokumentacijo in varnostne ukrepe
uskladi s to uredbo v šestih mesecih od njene uveljavitve.
13. člen
(prenehanje uporabe)
Z dnem uveljavitve te uredbe se preneha uporabljati Pravilnik
o varnostni dokumentaciji in varnostnih ukrepih izvajalcev bistvenih storitev
(Uradni list RS, št. 32/19 in 95/21 – ZInfV-A).
14. člen
(začetek veljavnosti)
Ta uredba začne veljati petnajsti dan po objavi v Uradnem
listu Republike Slovenije.
Št. 00704-3/2023
Ljubljana, dne 19. januarja 2023
EVA 2022-1544-0003
Vlada Republike Slovenije
dr. Robert Golob
predsednik
Veljaven predpis
Veljaven predpis, vendar se še ne uporablja
Objavljen predpis, ki še ne velja
Neveljaven predpis
Neveljaven predpis, ki se še uporablja
Predpis v pripravi
Konec postopka, predpis ni nikoli veljal
Konzumiran ali obsoleten predpis