hor001


Za pristup cjelovitom i ažurnom tekstu ovog dokumeta, molimo:


hor002
Temeljem članka 12. stavka 1. točke 1. i članka 99. Zakona o elektroničkim komunikacijama ("Narodne novine" broj 73/08 i 90/11) Vijeće Hrvatske agencije za poštu i elektroničke komunikacije donosi

PRAVILNIK

O NAČINU I ROKOVIMA PROVEDBE MJERA ZAŠTITE SIGURNOSTI I CJELOVITOSTI MREŽA I USLUGA

(Objavljeno u "Narodnim novinama", br. 109 od 03 oktobra 2012, 126/13)

I. OPĆE ODREDBE

SADRŽAJ PRAVILNIKA

Članak 1.

Ovim Pravilnikom propisuju se način i rokovi u kojima operatori javnih komunikacijskih mreža moraju poduzimati sve odgovarajuće mjere kako bi zajamčili cjelovitost svojih mreža, u svrhu osiguravanja neprekinutog obavljanja usluga koje se pružaju putem tih mreža, te uređuje način izvješćivanja Agencije od strane operatora javnih komunikacijskih mreža i elektroničkih komunikacijskih usluga o povredi sigurnosti ili gubitku cjelovitosti od značajnog utjecaja na rad njihovih mreža ili obavljanje njihovih usluga.
Ovaj Pravilnik usklađuje se s odredbom članka 13.a Direktive 2002/21/EC Europskog parlamenta i Vijeća o zajedničkom regulatornom okviru za elektroničke komunikacijske mreže i usluge koja je izmijenjena i dopunjena Direktivom 2009/140/EC.

POJMOVI I ZNAČENjA

Članak 2.

U smislu ovog Pravilnika pojedini pojmovi imaju sljedeće značenje:
1. elektronički podaci: podaci u obliku pogodnom za obradu putem informacijskog sustava,
2. hrvatski internetski prostor: informacijski sustavi koji su u adresnom prostoru hrvatskih operatora koji pružaju uslugu pristupa internetu,
3. informacijski sustav: komunikacijski, računalni ili drugi elektronički sustav u kojem se podaci obrađuju, pohranjuju ili prenose, tako da budu dostupni i upotrebljivi za ovlaštene korisnike,
4. integritet (cjelovitost) mreže: skup tehničkih zahtjeva za procese, rad i izmjene u elektroničkoj komunikacijskoj mreži, u svrhu osiguravanja nesmetane uporabe međusobno povezanih elektroničkih komunikacijskih mreža, kao i pristupa tim mrežama te cjelovitosti podataka pohranjenih u elektroničkoj komunikacijskoj mreži,
5. kompromitirani informacijski sustav: poslužitelj nad kojim treće osobe imaju djelomičnu ili potpunu kontrolu koju najčešće ostvaruju iskorištavanjem ranjivosti sustava,
6. krivotvorenje elektroničkih podataka: ilegalno uništavanje, oštećivanje, brisanje, mijenjanje i/ili zamjena elektroničkih podataka s drugim elektroničkim podacima,
7. nedozvoljeno korištenje informacijskog sustava: ilegalno korištenje resursa informacijskog sustava i/ili neovlašteno povezivanje s informacijskim sustavom,
8. preuzimanje kontrole ("brute force"): pokušaj preuzimanja kontrole nad informacijskim sustavom pogađanjem identifikacijskih, odnosno autorizacijskih podataka korisnika koji su ovlašteni za pristup informacijskom sustavu,
9. prijevara krivotvorenjem internetskih stranica ("phishing"): oblik prijevare na internetu koja se najčešće izvodi na kompromitiranom informacijskom sustavu krivotvorenjem internetskih stranica raznih institucija, putem elektroničkih poruka i na druge načine,
10. sigurnosni incident: događaj koji može uzrokovati narušavanje sigurnosti i/ili gubitak integriteta mreže koji može utjecati na rad elektroničkih komunikacijskih mreža i/ili usluga,
11. upravljačko-kontrolni centar mreže zaraženih računala ("botnet"): informacijski sustav s kojeg je moguće upravljati mrežom zaraženih računala ("botnet"),
12. mreža zaraženih računala ("botnet"): veća skupina zaraženih korisničkih računala na kojima je aktivan zlonamjeran kod kojom upravlja upravljačko-kontrolni centar, a koja se najčešće koristi kao platforma za slanje neželjene pošte ili za napade uskraćivanjem usluge ("denial of service attacks"),
13. zlonamjerni kod ili aplikacija: programski kod s funkcijom nanošenja štete korisnicima i/ili operatorima javnih komunikacijskih usluga koji je instaliran i aktivan na terminalnoj opremi bez znanja korisnika,
14. zona ukradenih podataka ("drop zone"): informacijski sustav s funkcijom prikupljanja ukradenih podataka.

MJERE ZA ZAŠTITU SIGURNOSTI I INTEGRITETA MREŽA I USLUGA

Članak 3.

(1) Operatori su obvezni provesti odgovarajuće tehničke i ustrojstvene mjere za osiguranje sigurnosti i integriteta svojih javnih komunikacijskih mreža i/ili usluga. Te mjere moraju osigurati neprekidno pružanje javnih komunikacijskih usluga putem mreža, kao i stupanj sigurnosti, odgovarajući na prijetnje i sprječavajući sigurnosne incidente ili ublažavajući njihov utjecaj na rad javne komunikacijske mreže, mrežno povezivanje kao i/ili na javne komunikacijske usluge korisnika.
(2) U mjere pod stavkom 2. moraju biti uključene i procedure za upravljanje rizicima, sigurnosni zahtjevi za osoblje, sigurnost sustava i prostora, upravljanje postupcima, upravljanje sigurnosnim incidentima, upravljanje kontinuitetom poslovanja te nadzor i testiranje sigurnosti.
(3) Popis minimalnih mjera iz stavka 3. ovog članka i referentnih normi za njihovo provođenje prikazan je u Dodatku 1.
(4) Osim navedenih referentnih normi iz Dodatka 1. operatori mogu primijeniti i druge odgovarajuće norme u svrhu ostvarivanja mjera iz ovog članka.
(5) Operatori su obvezni elektroničkim putem jednom godišnje, najkasnije do kraja mjeseca siječnja dostaviti Agenciji dokumentiranu sigurnosnu politiku za prethodnu godinu koja obuhvaća poduzete mjere sigurnosti i pripadajuće norme.
(6) Operatori su obvezni kontinuirano provoditi minimalne proaktivne mjere na internetu definirane u Dodatku 4 kako bi se smanjila mogućnost pojave incidenta te se pridržavati reaktivnih mjera definiranih u Dodatku 5 koje su potrebne za rješenje pojedinog incidenta.
(7) Nadležno tijelo iz dodatka 5 ovog pravilnika može prijaviti otkriveni incident operatoru, ukoliko je isti u nadležnosti operatora. Operator je obvezan u tom slučaju postupati prema reaktivnim mjerama iz dodatka 5 ovog pravilnika.

OBAVJEŠTAVANjE AGENCIJE O SIGURNOSNIM INCIDENTIMA

Članak 4.

(1) Operatori su obvezni obavijestiti Agenciju:
1. u slučaju neovlaštenog povezivanja s javnom komunikacijskom mrežom ili dijelom mreže te u slučaju kršenja sigurnosti ili integriteta javnih komunikacijskih usluga, koji su značajnije utjecali na obavljanje djelatnosti javnih komunikacijskih mreža i/ili usluga sukladno kriterijima za izvješćivanje iz Dodatka 2.,
2. u slučaju pojave sigurnosnih incidenata vezanih uz internet sukladno kriterijima za izvješćivanje iz Dodatka 2., uzimajući u obzir da se isti odnose na poslužiteljske sustave operatora koji pružaju usluge smještaja informacijskog sadržaja i servisa ("hosting services"), vlastite javne usluge te na korisničke sustave za koje je operator zaprimio prijavu o sigurnosnom incidentu,
(2) O sigurnosnim incidentima iz stavka 1. operatori su obvezni obavijestiti Agenciju bez odgode, čim su podaci dostupni, i to putem obrasca propisanog u Dodatku 3. ovog Pravilnika:
1. u roku od najviše 1 sat nakon ispunjavanja kriterija za izvješćivanje, odnosno isteka minimalnog trajanja sigurnosnog incidenta iz Dodatka 2,
2. u roku od najviše 1 sat nakon otklanjanja sigurnosnog incidenta,
3. u roku od najviše 20 dana od dana otklanjanja sigurnosnog incidenta.
(3) Operatori su obvezni

hor002