Za pristup cjelovitom i ažurnom tekstu ovog dokumeta, molimo:

Na temelju članka 7. Zakona o informacijskoj sigurnosti ("Narodne novine", broj 79/2007), Vlada Republike Hrvatske je na sjednici održanoj 18. travnja 2008. godine, donijela

UREDBU

O MJERAMA INFORMACIJSKE SIGURNOSTI

(Objavljeno u "Narodnim novinama", br. 46 od 23 aprila 2008)

I. OSNOVNE ODREDBE

Članak 1.
Ovom Uredbom utvrđuju se mjere informacijske sigurnosti za postupanje s klasificiranim i neklasificiranim podacima.
Ova Uredba primjenjuje se na državna tijela, tijela jedinica lokalne i područne (regionalne) samouprave, te na pravne osobe s javnim ovlastima, koje u svom djelokrugu koriste klasificirane i neklasificirane podatke.
Ova Uredba primjenjuje se i na pravne i fizičke osobe, koje ostvaruju pristup ili postupaju s klasificiranim i neklasificiranim podacima.

Članak 2.

Pojedini pojmovi u smislu ove Uredbe imaju sljedeće značenje:
- Hardver - sklopovlje odnosno fizička komponenta informacijskog sustava;
- Klasificirani ugovor - ugovor kojim se razmjenjuju klasificirani podaci između tijela i pravnih osoba iz članka 1. stavka 2. s pravnim i fizičkim osobama iz članka 1. stavka 3.;
- Kriptomaterijali - kriptografski proizvodi i podaci, odnosno programska rješenja ili uređaji za zaštitu podataka, tehnička dokumentacija takvih rješenja i uređaja, kao i odgovarajući kriptografski ključevi;
- Medij za pohranu podataka - svaki medij na koji je moguće pohraniti podatke u elektroničkom obliku;
- Opća razina zaštite - skup mjera i standarda u područjima informacijske sigurnosti propisan za određene stupnjeve tajnosti;
- Sigurnosna akreditacija sustava registara - postupak kojim se utvrđuje da li su primijenjene mjere i standardi informacijske sigurnosti propisane za organizaciju rada, osoblje, prostor, informacijske sustave i klasificirane podatke, u prostorima u kojima se organizira prijem, korištenje, pohrana i daljnja distribucija klasificiranih podataka;
- Sigurnosni spremnik - sef, kasa te drugi protuprovalno opremljeni prostor za pohranu klasificiranih podataka;
- Softver - svi operativni sustavi, programi, korisničke i servisne aplikacije;
- Ugroza - potencijalni uzrok koji može nanijeti štetu klasificiranom podatku ili informacijskom sustavu u kojem se koriste klasificirani podaci;
- Upravljanje rizikom informacijske sigurnosti - sustavni pristup koji uključuje planiranje, organiziranje i usmjeravanje aktivnosti, s ciljem osiguravanja da rizici za klasificirane podatke ostanu u zakonom utvrđenim i prihvatljivim okvirima;

Članak 3.

Klasificirani podatak štiti se propisanim mjerama i standardima za zaštitu klasificiranih podataka, koje osiguravaju opću razinu zaštite, sve dok je označen jednim od stupnjeva tajnosti.
Kada je procjenom sigurnosnih rizika utvrđeno da su klasificirani podaci izloženi povećanom riziku, tijela i pravne osobe poduzet će potrebne dodatne mjere i standarde za zaštitu istih, sukladno članku 96. ove Uredbe.

Članak 4.

Pristup klasificiranim podacima stupnja tajnosti "Vrlo tajno", "Tajno" i "Povjerljivo" može ostvariti osoba, koja ima odgovarajući certifikat, koja je upoznata s načinom postupanja s klasificiranim podacima i kojoj je to nužno za obavljanje poslova iz svog djelokruga, a temeljem popisa dužnosti i poslova iz djelokruga.
Pristup klasificiranom podatku stupnja tajnosti "Ograničeno" može ostvariti osoba, koja je upoznata s načinom postupanja s klasificiranim podacima i kojoj je to nužno za obavljanje poslova iz svog djelokruga, a temeljem ovlasti za pristup klasificiranim podacima čelnika tijela ili pravne osobe.

Članak 5.

Klasificirani podatak može se dostavljati drugim tijelima i pravnim osobama, samo uz prethodnu suglasnost vlasnika podatka, i u skladu s ovom Uredbom i pravilnicima, donesenim na temelju zakona.

Članak 6.

Klasificirani podatak može se razmjenjivati samo s državama i međunarodnim organizacijama, koje su potpisale ugovor o uzajamnoj zaštiti klasificiranih podataka s Republikom Hrvatskom.
Iznimno od stavka 1. ovog članka, klasificirani podatak može se razmjenjivati i s državama i međunarodnim organizacijama unutar međunarodne suradnje, koja uključuje razmjenu klasificiranih podataka.
Evidenciju o ugovorima iz stavka 1. ovog članka vodi Ured Vijeća za nacionalnu sigurnost.

Članak 7.

Podatak bez utvrđenog stupnja tajnosti, kad se koristi u službene svrhe, može biti bez oznake ili označen oznakom "Neklasificirano".
Podatak koji je bez oznake, nema ograničenja uporabe i pristupa osoba.
Podatak koji je označen oznakom "Neklasificirano" koristi se samo u službene svrhe i može biti dostupan isključivo onim fizičkim osobama, tijelima i pravnim osobama koje imaju potrebu korištenja takvog podatka u službene svrhe i radi obavljanja poslova iz njihova djelokruga.
Svaki podatak koji je Republici Hrvatskoj predala druga država, međunarodna organizacija ili institucija s kojom Republika Hrvatska surađuje, a označen je oznakom "Neklasificirano", odnosno istovrsnom inozemnom oznakom, u skladu s odgovarajućim međunarodnim ugovorom koji je Republika Hrvatska potpisala, koristi se samo u službene svrhe i može biti dostupan isključivo onim fizičkim osobama, tijelima i pravnim osobama koje imaju potrebu korištenja takvog podatka u službene svrhe i radi obavljanja poslova iz njihovog djelokruga.

Članak 8.

Za zaštitu neklasificiranih podataka, tijela i pravne osobe iz članka 1. stavka 2. ove Uredbe utvrđuju i primjenjuju odgovarajući skup mjera informacijske sigurnosti, sukladno normama za upravljanje informacijskom sigurnošću, HRN ISO/IEC 27001 i HRN ISO/IEC 17799.
Za zaštitu klasificiranih podataka stupnja tajnosti "Ograničeno", uz norme iz stavka 1. ovog članka, primjenjuju se dodatno i druge mjere propisane ovom Uredbom, drugim propisima ili međunarodnim ugovorima.
Savjetnik za informacijsku sigurnost u tijelima i pravnim osobama iz članka 1. stavka 2. ove Uredbe, uz nadzor primjene normi i mjera iz stavaka 1. i 2. ovog članka, redovito provjerava i usklađenost informacijskog sustava u kojem se koriste neklasificirani podaci i klasificirani podaci stupnja tajnosti "Ograničeno" s propisanim normama, mjerama i standardima informacijske sigurnosti.

Članak 9.

Tijela i pravne osobe, koje postupaju s klasificiranim i neklasificiranim podacima, primjenjuju propisane mjere informacijske sigurnosti radi osiguravanja ujednačene razine zaštite svakog klasificiranog ili neklasificiranog podataka u Republici Hrvatskoj.

Članak 10.

Područja informacijske sigurnosti za koja se propisuju mjere i standardi informacijske sigurnosti su:
- sigurnosna provjera,
- fizička sigurnost,
- sigurnost podatka,
- sigurnost informacijskog sustava,
- sigurnost poslovne suradnje.

II. MJERE INFORMACIJSKE SIGURNOSTI ZA PODRUČJE SIGURNOSNE PROVJERE

Članak 11.
Mjere informacijske sigurnosti za područje sigurnosne provjere su:
- popis dužnosti i poslova za koje je potrebno uvjerenje o sigurnosnoj provjeri (u daljnjem tekstu: certifikat);
- postupak za izdavanje certifikata;
- upitnik za sigurnosnu provjeru;
- pisana suglasnost osobe za koju se provodi sigurnosna provjera;
- izdavanje certifikata;
- sigurnosno informiranje;
- nacionalni registar izdanih certifikata, rješenja o odbijanju izdavanja certifikata i potpisanih izjava o postupanju s klasificiranim podacima;
- registar zaprimljenih certifikata i potpisanih izjava o postupanju s klasificiranim podacima.

Članak 12.

Sve osobe, koje imaju pristup klasificiranim podacima, dužne su najmanje jednom godišnje, pristupati sigurnosnom informiranju o propisanim mjerama i standardima informacijske sigurnosti, te potpisati Izjavu o postupanju s klasificiranim podacima.

Članak 13.

Sigurnosno informiranje osoba za pristup stupnjevima tajnosti "Vrlo tajno", "Tajno" i "Povjerljivo" provode ovlaštene osobe Ureda Vijeća za nacionalnu sigurnost.
Ured Vijeća za nacionalnu