Na osnovu člana 28. Zakona o Jedinstvenom sistemu registracije, kontrole i naplate doprinosa ("Službene novine Federacije BiH", broj 42/09), federalni ministar finansija/ financija donosi
PRAVILNIK
O ČUVANjU I SIGURNOSTI PODATAKA JEDINSTVENOG SISTEMA
(Objavljeno u "Sl. novine FBiH", br. 8 od 24 februara 2010)
I. OPĆE ODREDBE
Član 1.
Ovim Pravilnikom se propisuju tehničke i organizacione mjere koje se odnose na sigurnost podataka i mjere za pohranjivanje i povrat pohranjenih podataka u slučaju gubitka, oštećenja ili uništenja koje Porezna uprava Federacije Bosne i Hercegovine (u daljnjem tekstu: Porezna uprava) mora primijeniti u okviru Informacionog sistema Jedinstvenog sistema registracije, kontrole i naplate doprinosa (u daljnjem tekstu: Informacioni sistem) iz člana 3. stav 1. tačka 2. Zakona o Jedinstvenom sistemu registracije, kontrole i naplate doprinosa (u daljnjem tekstu: Zakon).
II. ULOGA I DUŽNOSTI POREZNE UPRAVE
Član 2.
Porezna uprava je odgovorna za čuvanje i sigurnost podataka Jedinstvenog sistema, što podrazumijeva:
1) Zaštitu od neovlaštenog pristupa ili manipulacije bazom podataka Jedinstvenog sistema od strane internih i eksternih korisnika;
2) Upravljanje korisničkim računima, pravima pristupa i bilježenjem događaja u bazi podataka Jedinstvenog sistema;
3) Politiku korisničkih lozinki i korisničkih imena za bazu podataka Jedinstvenog sistema;
4) Uspostavu politike i postupaka za mrežnu sigurnost kako bi se mogućnost sigurnosnih incidenata u bazi podataka Jedinstvenog sistema svela na minimum;
5) Zaštitu baze podataka Jedinstvenog sistema od virusa i ostalih oblika malicioznih kodova;
6) Osiguranje prenosa podataka Jedinstvenog sistema internim i eksternim korisnicima;
7) Pohranu podataka i upravljanje sigurnosnim kopijama baze podataka Jedinstvenog sistema;
8) Kontrolu nad prenosom podataka Jedinstvenog sistema izvan prostorija Porezne uprave na prenosivim elektronskim medijima kao što su hard diskovi,USBmemorije,DVD-ovi iCD-ovi, osim u slučajevima kada to odobri direktor Porezne uprave;
9) Politiku prenosnih računara u pogledu pristupa bazi podataka Jedinstvenog sistema i pohrane podataka Jedinstvenog sistema;
10) Osiguranje kontinuiteta aktivnosti u slučaju požara, poplave, zemljotresa ili druge nepogode koja se smatra rezultatom više sile (u daljnjem tekstu: nepredviđene okolnosti) i koja dovodi do neuobičajenog prekida u radu Informacionog sistema;
11) Zaštitu podataka u slučaju nepredviđenih okolnosti;
12) Povrat pohranjenih podataka u slučaju gubitka, oštećenja ili uništenja računarske opreme Jedinstvenog sistema;
13) Testiranje baze podataka Jedinstvenog sistema radi otkrivanja sigurnosnih problema na redovnoj osnovi i nakon instaliranja novih verzija baze podataka Jedinstvenog sistema;
14) Instaliranje softverske nadogradnje radi uklanjanja sigurnosnih problema koji se ustanove na Jedinstvenom sistemu ili na povezanom softveru;
15) Praćenje sigurnosnih incidenata u bazi podataka Jedinstvenog sistema radi poduzimanja korektivnih mjera;
16) Upravljanje sigurnosnim incidentima, edukacija i obuka svih ovlaštenih osoba radi sticanja potrebnog znanja o čuvanju i sigurnosti podataka;
17) Fizički pristup i zaštita baze podataka Jedinstvenog sistema i računarske opreme; i
18) Održavanje računarske opreme Jedinstvenog sistema.
III. OVLAŠTENE OSOBE I PRISTUP BAZI PODATAKA JEDINSTVENOG SISTEMA
Član 3.
Porezna uprava je dužna osigurati da pristup Jedinstvenom sistemu imaju samo ovlaštene osobe.
Ovlaštena osoba ne smije prenositi svoja ovlaštenja na drugu osobu, niti svoje ovlasti učiniti dostupnim drugoj osobi.
Svaki pristup Informacionom sistemu mora biti automatski zabilježen jedinstvenim identifikatorom osobe u bazi podataka Jedinstvenog sistema te tačnim vremenom pristupa.
Svaki pokušaj neovlaštenog pristupa Informacionom sistemu mora biti automatski zabilježen datumom, vremenom, mjestom sa kojeg je takav pristup pokušan i jedinstvenim identifikatorom osobe koja je pokušala pristupiti.
Administratori baze podataka Jedinstvenog sistema su dužni na mjesečnoj osnovi i u pisanom obliku obavještavati pomoćnika direktora u Sektoru za poreznu obradu, izvještavanje i informacionu tehnologiju o svim pokušajima neovlaštenog pristupa.
Član 4.
Porezna uprava upravlja korisničkim računima, pravima pristupa i korisničkim lozinkama za interne i eksterne korisnike baze podataka Jedinstvenog sistema.
Svaki korisnik sistema ima jedinstveno korisničko ime i korisničku lozinku. Korisnička lozinka se mora sastojati od najmanje 8 karaktera i sadržavati jedan specijalni znak i jednu cifru; korisnici baze podataka Jedinstvenog sistema su dužni mijenjati korisničke lozinke najmanje svakih devedeset (90) dana; nije dozvoljeno koristiti istu korisničku lozinku dva puta u periodu od jedne (1) godine.
Korisničke lozinke za pristup bazi podataka Jedinstvenog sistema moraju biti enkriptirane u bazu podataka Jedinstvenog sistema.
Član 5.
Pristup bazi podataka Jedinstvenog sistema sa prenosnog računara je omogućen samo ovlaštenim osobama.
Prenosni računari sa kojih se pristupa bazi podataka Jedinstvenog sistema moraju biti zvanično konfigurisani od strane Porezne uprave.
Nije dozvoljeno kopirati podatke iz baze podataka Jedinstvenog sistema sa prenosnih računara na eksterne elektronske medije.
Prenosni računari sa kojih se pristupa bazi podataka Porezne uprava se uvijek moraju čuvati u skladu sa Pravilnikom korištenja prenosnih računara Porezne uprave i ne smiju se ostavljati bez nadzora na duže vremenske periode, što je u skladu sa Sigurnosnom politikom Porezne uprave.
Prilikom povlačenja iz upotrebe prenosnog računara koji se koristi za pristupanje bazi podataka Jedinstvenog sistema, svi podaci Jedinstvenog sistema moraju biti trajno izbrisani i u potpunosti prepisani neupotrebljivim podacima.
IV. MJERE ZAŠTITE I SIGURNOSTI PODATAKA JEDINSTVENOG SISTEMA
Član 6.
Porezna uprava je obavezna zaštititi bazu podataka Jedinstvenog sistema od internih i eksternih opasnosti.
Mrežna sigurnost se implementira kako bi se rizik od internih i eksternih opasnosti za bazu podataka Jedinstvenog