Za pristup kompletnom i ažurnom tekstu ovog dokumeta, molimo vas:

Na osnovu člana 10 stav 1 Zakona o informacionoj bezbjednosti ("Službeni list CG", broj 14/10), Vlada Crne Gore, na sjednici od 16. septembra 2010. godine, donijela je

UREDBU

O MJERAMA INFORMACIONE BEZBJEDNOSTI

(Objavljena u "Sl. listu Crne Gore", br. 58 od 8. oktobra 2010)

I. OSNOVNE ODREDBE

Predmet

Član 1

Ovom uredbom utvrđuju se mjere informacione bezbjednosti kojima se obezbjeđuje osnovna zaštita podataka na fizičkom, tehničkom i organizacionom nivou.

Obaveza primjene

Član 2

Mjere iz člana 1 ove uredbe odnose se na državne organe, organe državne uprave, organe jedinica lokalne samouprave, pravna lica sa javnim ovlašćenjima (u daljem tekstu: organi) i druga pravna i fizička lica koja ostvaruju pristup ili postupaju sa podacima.

Značenje izraza

Član 3

Pojedini izrazi upotrijebljeni u ovoj uredbi imaju sljedeće značenje:
1) hardver je fizička komponenta informacionog sistema;
2) kriptografska zaštita je sistem zaštite podataka i informacionih sistema koji osigurava siguran prenos podataka kroz računarsku i telekomunikacionu mrežu;
3) informatički medij je svaki medij na kojem je moguće prenositi ili skladištiti podatke u elektronskom obliku;
4) bezbjedno skladište je sef, kasa ili drugi prostor za skladištenje podataka opremljen uređajem koji sprječava neovlašćeni pristup uskladištenim podacima;
5) softver je svaki operativni sistem, program, korisnička i servisna aplikacija;
6) rizikuje potencijalni uzrok koji može nanijeti štetu podatku ili informacionom sistemu u kojem se koriste podaci;
7) bezbjedna lokacija je mjesto za čuvanje podataka skladištenih na informatičkom mediju u ili izvan radnih prostorija organa, pravnog ili fizičkog lica iz člana 2 ove uredbe, opremljen tehničkim uređajima, kojima se sprječava neovlašćeni pristup uređajima i podacima;
8) administrativna zona je prostor ili prostorija u objektu u kojem se čuvaju podaci i uređaji na kojima su smješteni podaci i koji zahtijeva odgovarajuću fizičku zaštitu.
9) kriptovana zaštita podataka je primjena programskih rješenja ili uređaja za zaštitu podataka koji osiguravaju cjelovitost, povjerljivost i dostupnost podataka.

II. FIZIČKA ZAŠTITA

Vrste mjera

Član 4

Mjere informacione bezbjednosti fizičke zaštite su:
1) uspostavljanje administrativne zone;
2) izrada plana fizičke zaštite;
3) procjena efikasnosti mjera fizičke zaštite;
4) kontrola lica;
5) skladištenje podataka;
6) fizička zaštita informacionih sistema.

Cilj sprovođenja mjera

Član 5

Mjere informacione bezbjednosti fizičke zaštite sprovode se radi:
- sprječavanja neovlašćenog ili nasilnog ulaska lica u objekte i prostorije u kojima se nalaze podaci odnosno uređaji sa podacima;
- sprječavanja i otkrivanja zloupotreba podataka od strane zaposlenih;
- otkrivanja i reagovanja na rizike.

Kriterijumi za određivanje mjera

Član 6

Mjere informacione bezbjednosti fizičke zaštite određuju se zavisno od vrste, broja, oblika i načina skladištenja podataka, ovlašćenja za pristup podacima, kao i bezbjednosne procjene mogućih rizika.

Uspostavljanje administrativne zone

Član 7

Administrativna zona se uspostavlja za korišćenje podataka u kontrolisanom, vidljivo označenom prostoru unutar kojeg je moguće kontrolisati pristup lica.

Izrada plana fizičke zaštite

Član 8

Organi, pravna i fizička lica iz člana 2 ove uredbe, za objekat ili prostor u kojem imaju pristup, odnosno postupaju sa podacima, izrađuju plan fizičke zaštite kojim se utvrđuje potreba sprovođenja mjera fizičke zaštite, u skladu sa standardima informacione bezbjednosti.

Procjena efikasnosti mjera fizičke zaštite

Član 9

Organi, pravna i fizička lica iz člana 2 ove uredbe, najmanje jednom godišnje, procjenjuju efikasnost mjera informacione bezbjednosti fizičke zaštite objekata i prostorija u kojima se nalaze podaci, kao n kad dođe do promjene namjene lokacije ili elemenata u informacionom sistemu.

Kontrola lica

Član 10

Organi, pravna i fizička lica iz člana 2 ove uredbe, dužni su da sprovode kontrolu lica na ulazima i izlazima iz objekta ili prostora u kojima se nalaze podaci i o tome vode evidenciju, radi sprječavanja neovlašćenog iznošenja podataka ili sprječavanja unošenja nedozvoljenih predmeta, kojima se može ugroziti bezbjednost podataka.

Skladištenje podataka

Član 11

Podatak se skladišti na odgovarajućem informatičkom mediju, koji se odlaže i čuva u bezbjednom skladištu.

Fizička zaštita informacionog sistema

Član 12

Prostor u kojem se nalaze računari za vođenje baze podataka i centralni računar informacionog sistema (serveri), mrežna ili komunikaciona oprema informacionog sistema, organizuje se kao administrativna zona.

III. ZAŠTITA PODATAKA

Mehanizmi za zaštitu podataka

Član 13

Računar za vođenje baze podataka i centralni računar informacionog sistema (server) mora biti opremljen:
1) sistemom za bezbjedno prijavljivanje za rad sa mogućnošću evidentiranja ostvarenih pristupa, kako bi se pristup serveru mogao kontrolisati i ograničiti;
2) mehanizmom za sprječavanje neovlašćenog iznošenja i unošenja podataka upotrebom prenosivih informatičkih medija, komunikacionih priključaka i priključaka za ispis podataka;
3) mehanizmom zaštite od računarskih virusa i drugih štetnih programa.

Pristup bazi podataka

Član 14

Pristup bazi podataka dozvoljen je samo licima zaduženim za održavanje i razvoj informacionog sistema.

Pristup telekomunikacionom, računarskom i aplikativnom sistemu

Član 15

Pristup telekomunikacionom, računarskom i aplikativnom sistemu za obradu podataka, dozvoljen je uz upotrebu odgovarajućeg korisničkog imena i pripadajuće lozinke.
Korisničko ime i pripadajuća lozinka ne smiju se otkriti i dati na upotrebu drugom licu.

Upravljanje sistemom korisničkog pristupa

Član 16

Upravljanje sistemom korisničkog pristupa podrazumijeva razvoj, primjenu i održavanje informacionog sistema, na način koji omogućava jednoznačno identifikovanje i pouzdano garantovanje identiteta korisnika.

Obaveza skladištenja podataka

Član 17

Organi, pravna i fizička lica iz člana 2 ove uredbe dužni su da skladište sve podatke iz infomacionih sistema na informatičke medije upotrebom metoda koji garantuju bezbjednost, povjerljivost, cjelovitost i dostupnost uskladištenih podataka.

Dnevno, sedmično, mjesečno i godišnje skladištenje podataka

Član 18

Baze podataka obavezno se skladište na prenosive informatičke medije najmanje jednom dnevno, sedmično, mjesečno i godišnje, za potrebe obnove baze podataka.
Podaci informacionog sistema skladište se u onoliko dnevnih primjeraka koliko ima radnih dana u sedmici.
Sedmično skladištenje podataka informacionog sistema vrši se posljednjeg radnog dana u sedmici, nakon sprovođenja dnevnog skladištenja podataka, u onoliko sedmičnih primjeraka koliko u mjesecu ima posljednjih radnih dana u sedmici,
Mjesečno skladištenje podataka informacionog sistema vrši se posljednjeg radnog dana u mjesecu, za svaki mjesec posebno.
Godišnje skladištenje podataka informacionog sistema vrši se posljednjeg radnog dana u godini.
Svaki primjerak godišnje uskladištenih podataka čuva se za vrijeme određeno propisima kojima se uređuje arhivska djelatnost.
Svaki primjerak prenosivog informatičkog medija sa uskladištenim podacima mora biti označen brojem, vrstom (dnevno, sedmično, mjesečno, godišnje), datumom skladištenja, kao i imenom lica koje je izvršilo skladištenje podataka.
Organi, pravna i fizička lica iz člana 2 ove uredbe vode evidenciju informatičkih medija na kojima su podaci uskladišteni.

Lokacija za odlaganje uskladištenih podataka

Član 19

Podaci informacionog sistema dnevno uskladišteni na informatičke medije odlažu se u najmanje jedno bezbjedno skladište u radnoj prostoriji organa, pravnog ili fizičkog lica iz člana 2 ove uredbe