Na osnovu člana 9. Zakona o Informacionom sistemu organa i organizacija Savezne Republike Jugoslavije ("Službeni list SRJ", br. 59/98), Savezna vlada donosi
UREDBU
O MERAMA ZAŠTITE PODATAKA I INFORMACIJA U INFORMACIONOM SISTEMU SAVEZNIH ORGANA I ORGANIZACIJA
(Objavljena u "Sl. listu SRJ", br. 23/2000)
I. OSNOVNE ODREDBE
Član 1.
Ovom uredbom uređuju se mere zaštite podataka i informacija (u daljem tekstu: mere zaštite) u Informacionom sistemu saveznih organa i organizacija (u daljem tekstu: Informacioni sistem) koje nastaju u vršenju poslova iz nadležnosti saveznih organa i organizacija primenom informacione tehnologije, kao i način njihovog spovođenja.
Član 2.
Merama zaštite štite se elementi Informacionog sistema, a naročito podaci, informacije, programska podrška, informatička oprema, računarska mreža i prostorije u kojima su smešteni oprema i instalacije.
Član 3.
Merama zaštite obezbeđuju se celovitost Informacionog sistema, autentičnost podataka, izvora i korisnika, selektivan pristup i dostupnost podacima i drugim elementima Informacionog sistema.
Merama iz stava 1. ovog člana obezbeđuje se zaštita podataka i informacija od slučajnih ili namernih grešaka, neovlašćenog korišćenja i izmena, uništenja, oštećenja, krađe, operacionalnih grešaka, kvara sistema, falsifikovanja i zloupotrebe podataka i informacija u svim delovima Informacionog sistema.
Član 4.
Savezni organi i organizacije dužni su da spovode mere zaštite u svim fazama funkcionisanja Informacionog sistema, od planiranja, projektovanja, implementacije, eksploatacije, modifikacije, obnavljanja Informacionog sistema, do njegovog gašenja ili konverzije na novi sistem.
II. MERE ZAŠTITE
Član 5.
Mere zaštite mogu biti organizacione i tehničke.
1. Organizacione mere zaštite
Član 6.
Organizacione mere zaštite odnose se na organizaciju zaštite procesa rada i funkcionisanja Informacionog sistema u redovnim i vanrednim okolnostima.
Mere iz stava 1. ovog člana odnose se naročito na:
1) obavezu funkcionera koji rukovodi saveznim organom i organizacijom da donese opšti akt o merama zaštite;
2) određivanje odgovornog lica zaduženog za spovođenje mera zaštite u saveznom organu i organizaciji u delu informacionog sistema koji se razvija u oblasti za koju su nadležni savezni organi i organizacije;
3) utvrđivanje obaveznih elemenata zaštite pri projektovanju informacionog sistema (podsistema) i pri operativnom radu;
4) zaštitu pristupa podacima i zaštitu od neovlašćenog korišćenja podataka i informacija;
5) utvrđivanje postupaka u slučaju vanrednih okolnosti.
Član 7.
Opšti akt o merama zaštite koji donosi funkcioner koji rukovodi saveznim organom i organizacijom sadrži:
1) predmet zaštite;
2) postupke za sprovođenje mera zaštite u vanrednim okolnostima u smislu člana 12 ove uredbe;
3) postupak korišćenja i pristupa elementima Informacionog sistema;
4) postupak primene mera zaštite za nove i postojeće aplikacije i elemente Informacionog sistema za koje je savezni organ i organizacija zadužen ili ih koristi;
5) mere zaštite u slučaju gubitka podataka i informacija ili gubitka njihove poverljivosti korišćenjem od strane neovlašćenih lica;
6) elemente koji opredeljuju potrebu za donošenjem tehničkog uputstva za rad.
Član 8.
Funkcioner koji rukovodi saveznim organom i organizacijom određuje odgovorno lice koje je zaduženo za sprovođenje mera zaštite podataka i informacije i usmerava ukupne aktivnosti na sprovođenju tih mera.
Odgovorno lice iz stava 1. ovog člana predlaže i razrađuje mere zaštite, vrši njihovo evidentiranje, organizuje sprovođenje tih mera i vrši nadzor nad njihovim sprovođenjem.
Član 9.
Projekat aplikacija ili elemenata Informacionog sistema mora da sadrži, kao svoj sastavni deo, obavezne elemente zaštite, kao i projektnu dokumentaciju sa uputstvom za operativni rad za učesnike u Informacionom sistemu i za ovlašćene korisnike.
Član 10.
Pristup podacima i informacijama u Informacionom sistemu, kao i računarskoj i komunikacionoj opremi mogu imati samo ovlašćena lica.
Član 11.
Ovlašćeni korisnici podataka i informacija u Informacionom sistemu dužni su da primenjuju propisane mere zaštite.
Zaštita pristupa podacima obezbeđuje se proverom autentičnosti i identiteta ovlašćenog lica na jedan od sledećih načina:
1) na osnovu lozinke, koja se periodično mora menjati;
2) uz pomoć specijalnih uređaja za prepoznavanje otisaka prstiju, dimenzija šaka, mrežnjače, glasa ili fizičkim poređenjem lika sa fotografijom;
3) na osnovu identifikacionih dokumenata: tehnologije Smart Card za proveru fizičkog i logičkog pristupa podacima i informacijama u Informacionom sistemu u celini i pojedinim njegovim delovima;
4) na osnovu drugih dokumenata (fotografija, potpis) koji omogućavaju utvrđivanje fizičkog identiteta ovlašćenog lica za pristup i delovanje u okviru određenog procesa i dela Informacionog sistema.
Član 12.
Savezni organi i organizacije dužni su da utvrde uslove, kriterijume, način rada i mere zaštite Informacionog sistema u vanrednim okolnostima.
Pod vanrednim okolnostima, u smislu ove uredbe, podrazumevaju se elementarne nepogode (požari, poplave, zemljotres ili druge veće nepogode) i druge vanredne okolnosti - nastupanje ratne opasnosti ili ratnog stanja.
Mere zaštite u vanrednim okolnostima odnose se na: nastavak rada u izmenjenim uslovima, delimičan ili potpun prestanak rada za sve vrste vanrednih okolnosti ili nastavak rada na rezervnim lokacijama i opremi.
Član 13.
Savezno ministarstvo nadležno za poslove informatike utvrđuje, po potrebi, i dodatne mere zaštite podataka i informacija u vanrednim okolnostima.
2. Tehničke mere zaštite
Član 14.
Tehničke mere zaštite, odnose se na mere obezbeđenja i zaštite podataka i informacija i drugih elemenata informacionog sistema, koje se ostvaruju primenom posebnih tehničko-tehnoloških procesa rada ili sprovođenjem fizičko-manipulativnih mera zaštite u bilo kojoj proceduri u okviru rada Informacionog sistema.
Član 15.
Mere zaštite koje se ostvaruju primenom posebnih tehničko-tehnoloških procesa rada mogu biti hardverske i softverske:
1) hardverske mere zaštite sprovode se na specifičnim informatičkim uređajima za određenu vrstu zaštite;
2) softverske mere zaštite sprovode se putem programa ili programskih paketa za određenu vrstu zaštite, koji se izvršavaju na standardnoj informatičkoj opremi na kojoj se odvija aplikacija koja se štiti.
Član 16.
Ako nije moguće koristiti mere zaštite iz člana 14. ove uredbe, moraju se sprovesti adekvatne fizičko-manipulativne mere zaštite.
Mere iz stava 1. ovog člana utvrđuju se tehničkim uputstvima za rad.
Član 17.
Tehničke mere zaštite podrazumevaju obezbeđenje, evidenciju i kontrolu:
1) autentičnosti podataka, njihovih izvora i korisnika;
2) selektivnog pristupa podacima i informacijama i ostalim elementima Informacionog sistema;
3) integriteta podataka izradom zaštitne kopije na početku i kraju svakog procesa rada i zaštite arhivskih kopija i prostorija u kojima se one nalaze;
4) integriteta podataka i informacija u informacionom sistemu u odnosu na pojavu virusa;
5) integriteta i zaštite poverljivosti podataka primenom metode kriptozaštite;
6) postojećih i određivanje rezervnih lokacija, uređaja i opreme na kojima će se čuvati kopije baza podataka i projektno-programska podrška za nesmetan nastavak rada u slučaju otkazivanja i narušavanja redovnog rada Informacionog sistema;
7) korišćenja postojećih i rezervnih lokacija, opreme i uređaja na kojima će se čuvati kopije baza podataka i projektno-programska podrška za nesmetan nastavak rada u slučaju otkazivanja i narušavanja redovnog rada informacionog sistema;
8) primene standardnih i posebnih higijensko-tehničkih mera za sve elemente Informacionog sistema, utvrđene u članu 2. ove uredbe, prilikom njihove izgradnje i korišćenja.
Član 18.
Tehničke mere zaštite primenjuju se na sve procese obrade i prenosa podataka i informacija i delove Informacionog sistema u okviru saveznog organa i organizacije i moraju biti u skladu sa merama koje se sprovode za Informacioni sistem i njegovu infrastrukturu u celini (računarska mreža i zajednički server podataka).
Član 19.
Funkcioner koji rukovodi saveznim ministarstvom nadležnim za poslove informatike donosi tehničko uputstvo za korišćenje infrastrukture i Informacionog sistema u celini za savezne organe i organizacije koji nemaju svoje delove informacionog sistema već su samo korisnici Informacionog sistema i njegove infrastrukture u celini.
Član 20.
Funkcioneri koji rukovode saveznim organima i organizacijama koji izgrađuju i održavaju delove Informacionog sistema iz svoje nadležnosti i koji poseduju servere sa zajedničkim bazama podataka donose tehnička uputstva za održavanje i sprovođenje mera zaštite.
III. PRELAZNE I ZAVRŠNE ODREDBE
Član 21.
Računarska mreža saveznih organa i organizacija, informatička oprema, radne stanice ili lokalne računarske mreže u saveznim organima i organizacijama koje su povezane sa ovom mrežom do obezbeđenja uslova za sprovođenje mera zaštite ne mogu istovremeno biti povezane sa Internetom ili nekom drugom produkcionom mrežom.
Član 22.
Savezni organi i organizacije doneće opšti akt propisan članom 7. ove uredbe u roku od šest meseci od dana njenog stupanja na snagu.
Član 23.
Ova uredba stupa na snagu osmog dana od dana objavljivanja u "Službenom listu SRJ".