Za pristup kompletnom i ažurnom tekstu ovog dokumeta, molimo vas:


Na osnovu člana 33. stav 1. Zakona o tajnosti podataka ("Službeni glasnik RS", broj 104/09) i člana 42. stav 1. Zakona o Vladi ("Službeni glasnik RS", br. 55/05, 71/05 - ispravka, 101/07, 65/08 i 16/11),
Vlada donosi

UREDBU

O POSEBNIM MERAMA ZAŠTITE TAJNIH PODATAKA U INFORMACIONO-TELEKOMUNIKACIONIM SISTEMIMA

(Objavljeno u "Sl. glasnik RS", br. 53 od 20 jula 2011)

I. UVODNA ODREDBA

Član 1.

Ovom uredbom utvrđuju se posebne mere zaštite tajnih podataka u informaciono-telekomunikacionim sistemima.

II. POSEBNE MERA ZAŠTITE TAJNIH PODATAKA U INFORMACIONO-TELEKOMUNIKACIONIM SISTEMIMA

Član 2.

Posebne mere zaštite tajnih podataka u informaciono-telekomunikacionim sistemima (u dalje tekstu: sistem) mogu biti tehničke i organizacione, a preduzimaju se u cilju sprečavanja slučajnih grešaka, nepravilnog i nedozvoljenog prikupljanja, čuvanja, obrade, korišćenja, oštećenja, uništenja, kao i falsifikovanja i zloupotrebe tajnih podatka.
Posebne mere zaštite tajnih podataka u sistemu odnose se na: objekat u kome je smešten sistem (oprema, dokumenti, programska podrška i mreža); prostor, prostorije, odnosno bezbednosne zone u kojima se obrađuju tajni podaci u sistemu; ovlašćena lica za upravljanje bezbednošću sistema; sve učesnike u radu sistema; korišćenje sistema za potrebe rada sa tajnim podacima; režim rada sistema; zaštitu tajnih podataka prilikom obrade i čuvanja u sistemu; zaštitu od rizika kompromitujućeg elektromagnetnog zračenja, kao i instaliranje uređaja za čuvanje tajnih podataka.

Član 3.

Tehničke mere iz člana 2. stav 1. ove uredbe naročito se odnose na:
1) fizičku zaštitu objekata, prostora, prostorije, odnosno bezbednosne zone u kojima se obrađuju tajni podaci u sistemu, kao i sredstava i dokumenata iz sistema;
2) protivpožarnu zaštitu;
3) obezbeđivanje i zaštitu opreme (izbor odgovarajuće i pouzdane opreme, obezbeđivanje opreme tokom njenog rada, redovno servisiranje i snabdevanje rezervnim delovima) i dokumenata pri njihovom korišćenju i čuvanju;
4) zaštitu programske podrške (u fazi projektovanja, razvoja i korišćenja programskog sistema);
5) zaštitu mreže (prilikom projektovanja i rada).
Organizacione mere iz člana 2. stav 1. ove uredbe naročito se odnose na:
1) organizaciju tehnologije rada u sistemu pri projektovanju (izrada preliminarne studije o razvoju kojom se utvrđuje stepen tajnosti podataka koji se obrađuju u sistemu i stepen tajnosti samog sistema, idejnog projekta, glavnog projekta, izvođačkog projekta i uvođenja projektovanih rešenja) i pri operativnim radu sistema (planiranje rada i vođenje evidencija o izvršavanju svih postupaka u radu sistema i kretanju dokumentacije);
2) utvrđivanje postupaka u slučaju vanrednih okolnosti;
3) ostale uslove za uspešno funkcionisanje sistema (kontrola prilikom zasnivanja radnog odnosa, utvrđivanje poslova i zadataka učesnika u radu sistema, stručna obuka zaposlenih i dr.).

Član 4.

Prostor, prostorije, odnosno bezbednosne zone u kojima se obrađuju tajni podaci u sistemu određuju se u skladu sa propisom kojim se utvrđuju posebne mere fizičko-tehničke zaštite tajnih podataka.

Član 5.

Organ javne vlasti, odnosno pravno lica koje po osnovu ugovornog odnosa pruža usluge organu javne vlasti (u daljem tekstu: pravno lice), određuju ovlašćeno lice za upravljanje bezbednošću sistema.
Ovlašćeno lice za upravljanje bezbednošću sistema u organu javne vlasti, odnosno pravnom licu, prati i ocenjuje bezbednosne karakteristike sistema.
Prilikom određivanja ovlašćenih lica za upravljanje bezbednošću sistema, organ javne vlasti, odnosno pravno lice, dužni su da obezbede da jedno lice ne kontroliše sve važne elemente bezbednosti sistema, kao i da ta lica poseduju odgovarajući sertifikat za pristup tajnim podacima.

Član 6.

Sistem mora da ispunjava uslove za:
1) zaštitu od neautorizovanog pristupa, koja podrazumeva identifikovanje i pouzdano garantovanje identiteta (autentikacija) lica koja imaju pristup sistemu;
2) kontrolu i vođenje evidencije o pristupu sistemu;
3) kontinuirano beleženje (automatizovano, ručno ili kombinovano) o bezbednosnom stanju sistema (bezbednosni zapis), aktivnostima sistema, kao i izmenama postojećeg stanja sistema;
4) proučavanje bezbednosnih zapisa od strane ovlašćenih lica;
5) određivanje ovlašćenja korisnicima u vezi sa bezbednošću sistema;
6) određivanje ovlašćenja korisnicima u vezi sa korišćenjem sistema;
7) obezbeđivanje bezbednog načina označavanja stepena tajnosti;
8) identifikaciju korisnika koji vrši izmene, štampanje, presnimavanje ili brisanje tajnog dokumenta;
9) beleženje izmene, štampanje, presnimavanje ili brisanje tajnog podatka od strane korisnika;
10) zaštitu važnih tehničkih i programskih elemenata, sistemskih mogućnosti i funkcionalnosti sistema;
11) obezbeđenje rezervnih arhiva tajnih podataka, za slučaj gubitka postojećih arhiva, kao i vođenje evidencija o pristupu arhivama.

Član 7.

Sistem radi u jednom od sledećih bezbednosnih režima:
1) "NESELEKTIVNI";
2) "SELEKTIVNI";
3) "SA VIŠE NIVOA".
Rukovodilac organa javne vlasti, odnosno odgovorno lice u pravnom licu posebnim aktom određuje bezbednosni režim rada sistema.

Član 8.

U sistemu koji radi u bezbednosnom režimu "NESELEKTIVNI", sva lica koja imaju pristup tom sistemu moraju da imaju sertifikat za pristup tajnim podacima najvišeg stepena tajnosti podataka koji se obrađuju u sistemu i imaju pristup svim tajnim podacima koji se obrađuju u sistemu.
U sistemu koji radi u bezbednosnom režimu "SELEKTIVNI", sva lica koja imaju pristup tom sistemu moraju da imaju sertifikat za pristup tajnim podacima najvišeg stepena tajnosti podataka koji se obrađuju u sistemu i mogu pristupati samo određenim tajnim podacima.
U sistemu koji radi u bezbednosnom režimu "SA VIŠE NIVOA", lica koja imaju pristup tom sistemu ne moraju da imaju sertifikat za pristup tajnim podacima najvišeg stepena tajnosti podataka koji se obrađuju u sistemu i imaju pristup samo određenim tajnim podacima koji se obrađuju u sistemu.
Selektivan pristup sistemu i selektivan pristup tajnim podacima u sistemu sprovodi se pomoću odgovarajućeg hardvera i softvera.

Član 9.

Tajni podatak ne sme se prenositi kroz sistem izvan bezbednosnih zona bez primene metoda i sredstava kriptozaštite, koji su odobreni od strane organa nadležnog za sprovođenje poslova u oblasti kriptozaštite .

Član 10.

Radi održavanja bezbednosti sistema u toku njegovog korišćenja, organ javne vlasti, odnosno pravno lice sprovodi:
1) periodičnu proveru sistema, svih njegovih delova i medija za čuvanje i prenos tajnih podataka, kao i sagledavanje dostignutih uslova za obezbeđenje poverljivosti, raspoloživosti, integriteta i autentičnosti tajnih podataka u sistemu;
2) čuvanje podataka koji se odnose na sistem, kao i tajnih podataka koji se obrađuju u sistemu na posebnim dokumentima, uz obavezno vođenje rezervnih evidencija i primenu mera zaštite koje su predviđene za podatke sa najvišim stepenom tajnosti podataka koji se nalaze u sistemu;
3) instaliranje hardvera, softvera i konfigurisanje sistema od strane ovlašćenih lica;
4) primenjivanje novih tehničkih i programskih sredstava u sistemu u skladu sa odgovarajućim tehničkim standardima SRPS ISO/IEC 27001 i SRPS ISO/IEC 17799;
5) servisiranje i popravku sredstava iz sistema na