Na podlagi tretjega odstavka 12. člena Zakona o informacijski varnosti (Uradni list RS, št. 30/18, 95/21 in 130/22 – ZEKom-2) Vlada Republike Slovenije izdaja
o varnostni dokumentaciji in varnostnih ukrepih izvajalcev bistvenih storitev
Ta uredba podrobneje določa vsebino in strukturo varnostne dokumentacije, metodologijo za pripravo analize obvladovanja tveganj ter za določitev ključnih, krmilnih in nadzornih informacijskih sistemov in delov omrežja in pripadajočih podatkov ter minimalni obseg in vsebino varnostnih ukrepov izvajalcev bistvenih storitev.
Izrazi, uporabljeni v tej uredbi, pomenijo:
1. Celovitost je lastnost informacij, omrežij in informacijskih sistemov, da so točni in popolni.
2. Kazalnik zlorabe je kazalnik, ki poda informacijo o lastnostih zlorabe omrežij oziroma informacijskih sistemov izvajalcev bistvenih storitev (v nadaljnjem besedilu: IBS).
3. Neprekinjeno poslovanje so aktivnosti, ki so potrebne za ohranjanje poslovanja organizacije v času motenj ali prekinitev normalnega delovanja.
4. Razpoložljivost je lastnost informacij, omrežij in informacijskih sistemov, da so dostopni in uporabni na pooblaščeno zahtevo.
5. Sistem upravljanja neprekinjenega poslovanja (v nadaljnjem besedilu: SUNP) je sistem upravljanja, ki temelji na strateški in taktični sposobnosti organizacije, da pripravi načrt za primere prekinitev in motenj pri poslovanju ter se nanje odzove z namenom zagotovitve storitev na sprejemljivi, vnaprej določeni ravni, ter vključuje pripravo in uporabo načrtov obnovitve in ponovne vzpostavitve delovanja informacijskih sistemov.
6. Sistem upravljanja varovanja informacij (v nadaljnjem besedilu: SUVI) je sistem upravljanja, ki omogoča celovit in koordiniran pogled na informacijska varnostna tveganja organizacije ter zagotavlja vzpostavitev, vpeljavo, delovanje, spremljanje, pregledovanje, vzdrževanje in izboljševanje varnosti omrežij in informacijskih sistemov.
7. Sredstvo je vsaka opredmetena ali neopredmetena stvar, ki ima vrednost za IBS in zato zahteva zaščito.
8. Trajanje incidenta je časovno obdobje od prekinitve ustreznega zagotavljanja storitve v smislu zaupnosti, celovitosti ali razpoložljivosti do trenutka njene ponovne vzpostavitve.
9. Uporabnik je fizična ali pravna oseba, ki uporablja posamezno bistveno storitev neposredno, posredno ali s posredovanjem oziroma je odvisna od nje.
10. Zaupnost je lastnost, da informacije niso razpoložljive ali razkrite nepooblaščenim subjektom ali procesom.
II. VSEBINA IN STRUKTURA VARNOSTNE DOKUMENTACIJE
(vsebina in struktura varnostne dokumentacije)
(1) IBS vzpostavijo in vzdržujejo dokumentirana SUVI in SUNP, ki morata vsebovati najmanj elemente iz prvega odstavka 12. člena Zakona o informacijski varnosti (Uradni list RS, št. 30/18, 95/21 in 130/22 – ZEKom-2).
(2) Varnostno dokumentacijo iz prejšnjega odstavka podpiše zakoniti zastopnik IBS.
(3) Če ima IBS za zagotavljanje varnosti svojih omrežij in informacijskih sistemov že izdelano varnostno dokumentacijo na podlagi drugih predpisov, jo vsebinsko dopolni v skladu s to uredbo.
(analiza obvladovanja tveganj)
Analiza obvladovanja tveganj z oceno sprejemljive ravni tveganj (v nadaljnjem besedilu: analiza obvladovanja tveganj) zajema najmanj:
1. navedbo uporabljene metodologije za izvedbo analize obvladovanja tveganj, ki mora biti primerljiva, verodostojna in ponovljiva v skladu s pravili stroke,
2. navedbo sredstev znotraj SUVI in upravljavce teh sredstev oziroma odgovorne osebe za ta sredstva,
3. navedbo možnih groženj tem sredstvom,
4. navedbo ranljivosti sredstev iz 2. točke tega člena, ki bi jih grožnje iz prejšnje točke lahko prizadele,
5. navedbo vpliva uresničitve groženj iz 3. točke tega člena na zaupnost, celovitost in razpoložljivost sredstev iz 2. točke tega člena zaradi ranljivosti iz prejšnje točke,
6. oceno vpliva na opravljanje bistvenih storitev v primeru kršitve informacijske varnosti zaradi izgube zaupnosti, celovitosti ali razpoložljivosti,
7. oceno verjetnosti, da nastane kršitev informacijske varnosti,
8. ovrednotenje ravni tveganj,
9. določitev in obrazložitev sprejemljive ravni tveganj,
10. navedbo ukrepov za odpravo ali zmanjšanje tveganj nad sprejemljivo ravnjo.
(politika neprekinjenega poslovanja)
Politika neprekinjenega poslovanja z načrtom njegovega upravljanja zajema najmanj:
1. navedbo ciljev in načel za zagotavljanje neprekinjenega poslovanja oziroma neprekinjenega izvajanja bistvenih storitev ob upoštevanju področnih posebnosti,
2. navedbo postopkov neprekinjenega poslovanja, ki se izdelajo na podlagi popisa poslovnih procesov,
3. oceno vpliva na poslovanje, ki zajema navedbo možnih dogodkov in incidentov, ki vplivajo na neprekinjeno poslovanje, vključno zaradi odpovedi informacijskih sistemov, pomanjkanja zaposlenih, izpada posamezne lokacije znotraj IBS in odpovedi storitev pogodbenih izvajalcev,
4. določitev minimalne ravni poslovanja,
5. navedbo ukrepov za zagotavljanje neprekinjenega poslovanja, ki se izdelajo na podlagi ocene vpliva na poslovanje iz 3. točke tega člena in minimalne ravni poslovanja iz prejšnje točke, ter
6. določitev vlog in odgovornosti za izvajanje politike neprekinjenega poslovanja in njeno posodabljanje.
(seznam ključnih, krmilnih in nadzornih informacijskih sistemov)
Seznam ključnih, krmilnih in nadzornih informacijskih sistemov in delov omrežja IBS ter pripadajočih podatkov, ki so bistvenega pomena za delovanje bistvenih storitev (v nadaljnjem besedilu: ključni, krmilni in nadzorni informacijski sistemi), zajema najmanj:
– navedbo sredstev znotraj SUVI, od katerih je odvisno zagotavljanje bistvenih storitev, in
– opredelitev ključnih, krmilnih in nadzornih informacijskih sistemov ter navedbo njihovih upravljavcev.
(načrt obnovitve delovanja informacijskih sistemov)
Načrt obnovitve in ponovne vzpostavitve delovanja informacijskih sistemov iz prejšnjega člena (v nadaljnjem besedilu: načrt obnovitve delovanja informacijskih sistemov) zajema opis odgovornosti in postopkov za obnovitev delovanja teh sistemov po dogodku, ki povzroči prekinitev njihovega delovanja.
(načrt odzivanja na incidente)
(1) Načrt odzivanja na incidente s protokolom obveščanja nacionalnega CSIRT (v nadaljnjem besedilu: načrt odzivanja na incidente) zajema najmanj:
1. opis sistema za zaznavo incidentov informacijske varnosti,
2. opis sistema za zbiranje in zavarovanje dokazov o incidentu informacijske varnosti, vključno z dnevniškimi zapisi in revizijskimi sledmi, če te obstajajo,
3. opis postopkov za odziv na incidente informacijske varnosti, obravnavo in analizo incidentov informacijske varnosti, vključno z evidentiranjem vseh odzivnih aktivnosti,
4. opis odgovornosti oseb oziroma organizacijskih enot, ki jih je treba vključiti v aktivnosti iz prejšnje točke,
5. opis postopkov in odgovornosti za poročanje o incidentih znotraj IBS in zunaj IBS ter
6. opis protokola obveščanja nacionalnega CSIRT o incidentu informacijske varnosti.
(2) Obvestilo iz 6. točke prejšnjega odstavka se pošlje nacionalnemu CSIRT na način, ki je objavljen na njegovi spletni strani, in zajema najmanj:
1. oceno števila uporabnikov, ki jih je prizadela motnja pri zagotavljanju bistvenih storitev,
2. oceno trajanja incidenta,
3. navedbo kazalnikov zlorabe, če ti obstajajo,
4. oceno geografske razširjenosti območja, na katero incident vpliva,
5. oceno morebitnega čezmejnega vpliva incidenta,
6. oceno morebitnega medpodročnega vpliva incidenta in
7. opis pomembnosti vpliva incidenta na neprekinjeno izvajanje bistvenih storitev.
(načrt varnostnih ukrepov)
(1) Pri izdelavi načrta varnostnih ukrepov za zagotavljanje zaupnosti, celovitosti in razpoložljivosti omrežja in informacijskih sistemov IBS upoštevajo:
– dokumente varnostne dokumentacije iz 4. do 8. člena te uredbe in
– posebne potrebe področja, na katerem deluje posamezni IBS.
(2) Načrt varnostnih ukrepov iz prejšnjega odstavka vsebuje navedbo ukrepov, ki so:
1. učinkoviti tako, da povečajo informacijsko varnost glede na obstoječe in predvidene grožnje,
2. prilagojeni tako, da se prizadevanja IBS usmerijo v ukrepe, ki najbolj vplivajo na njihovo informacijsko varnost, in se izogibajo podvajanjem,
3. skladni tako, da se prednostno obravnavajo osnovne in skupne varnostne ranljivosti IBS kljub področnim posebnostim, ki se lahko dopolnijo z varnostnimi ukrepi za posamezna področja,
4. sorazmerni s tveganji tako, da se izogiba čezmerni obremenitvi posameznega IBS,
5. konkretni tako, da IBS te varnostne ukrepe izvajajo in da ti ukrepi prispevajo h krepitvi njihove informacijske varnosti,
6. preverljivi tako, da se na zahtevo pristojnega organa lahko predložijo dokazila o njihovi izvedbi,
7. vključujoči tako, da so upoštevani vsi vidiki informacijske varnosti, vključno s fizično varnostjo informacijskih sistemov.
III. METODOLOGIJI ZA PRIPRAVO ANALIZE OBVLADOVANJA TVEGANJ IN ZA DOLOČITEV KLJUČNIH, KRMILNIH IN NADZORNIH INFORMACIJSKIH SISTEMOV TER PRIPADAJOČIH PODATKOV
(metodologiji za pripravo analize obvladovanja tveganj in za določitev ključnih, krmilnih in nadzornih informacijskih sistemov)
(1) IBS analizo obvladovanja tveganj pripravi tako, da:
1. navede metodologijo z opredelitvijo lestvic in atributov ocenjevanja, po kateri bo izvedel analizo obvladovanja tveganj v skladu s to uredbo,
2. izvede popis sredstev znotraj SUVI in določi njihove upravljavce oziroma odgovorne osebe za ta sredstva,
3. prepozna možne grožnje za izgubo zaupnosti, celovitosti in razpoložljivosti sredstev iz prejšnje točke,
4. prepozna ranljivost sredstev iz 2. točke tega odstavka, ki bi jih grožnje iz prejšnje točke lahko prizadele,
5. oceni stopnjo vpliva uresničitve groženj iz 3. točke tega odstavka na zaupnost, celovitost in razpoložljivost sredstev iz 2. točke tega odstavka zaradi ranljivosti iz prejšnje točke,
6. oceni primernost obstoječih ukrepov in stopnjo obvladovanja ugotovljenih tveganj s temi ukrepi,
7. ovrednoti ugotovljena tveganja glede na verjetnost nastanka tveganj in obseg negativnih posledic ob uresničitvi tveganj na zagotavljanje storitev ter
8. določi oceno sprejemljive ravni tveganja glede na vrednotenje ugotovljenih tveganj.
(2) IBS seznam svojih ključnih, krmilnih in nadzornih informacijskih sistemov pripravi tako, da:
– na podlagi popisanih sredstev znotraj SUVI iz 2. točke prejšnjega odstavka presodi, ali je zagotavljanje bistvenih storitev odvisno od posameznega sredstva znotraj SUVI, in
– na podlagi posameznih sredstev znotraj SUVI, od katerih je v skladu s prejšnjo alinejo odvisno zagotavljanje bistvenih storitev, presodi, katero od teh sredstev je bistveno za delovanje bistvene storitve.
(3) IBS izvede analizo obvladovanja tveganj ter določi ključne, krmilne in nadzorne informacijske sisteme tako, da bodo rezultati teh postopkov dosledni, primerljivi in verodostojni.
(4) IBS izvaja analizo obvladovanja tveganj ter določa ključne, krmilne in nadzorne informacijske sisteme v rednih časovnih presledkih, ali kadar so predlagane ali nastanejo bistvene spremembe v okviru SUVI.
IV. MINIMALNI OBSEG IN VSEBINA VARNOSTNIH UKREPOV
(minimalni obseg in vsebina varnostnih ukrepov)
IBS za zagotavljanje zaupnosti, celovitosti in razpoložljivosti omrežij in informacijskih sistemov na podlagi varnostne dokumentacije iz 3. člena te uredbe pripravijo ter izvajajo organizacijske, logično-tehnične in tehnične varnostne ukrepe, ki zagotavljajo najmanj:
1. podporo vodstva IBS pri zagotavljanju informacijske varnosti, vključno z vključevanjem področja informacijske varnosti v letni načrt poslovanja IBS,
2. integriteto kadrov v povezavi z informacijsko varnostjo pred zaposlitvijo, med zaposlitvijo in ob prenehanju ali spremembi zaposlitve,
3. notranji pregled SUVI in SUNP najmanj enkrat letno, in kadar so predlagane ali nastanejo bistvene spremembe, ki vplivajo na zaupnost, celovitost oziroma razpoložljivost omrežij in informacijskih sistemov, v daljših rednih časovnih presledkih pa le, če je to potrebno zaradi upoštevanja posebnosti področja delovanja IBS,
4. upravljanje ključnih, krmilnih in nadzornih informacijskih sistemov in delov omrežja ter pripadajočih podatkov, ki so bistvenega pomena za delovanje bistvenih storitev, z določitvijo ustrezne odgovornosti za njihovo zaščito,
5. ohranjanje dnevniških zapisov o delovanju ključnih, krmilnih in nadzornih informacijskih sistemov in delov omrežja iz prejšnje točke,
6. upravljanje prometa in komunikacij,
7. opredelitev varnostnih zahtev za ključne dobavitelje IBS,
8. fizično in tehnično varovanje dostopov do prostorov, kjer so ključni, krmilni in nadzorni informacijski sistemi IBS,
9. varnostne mehanizme v posamezni aplikativni programski opremi za izvajanje dejavnosti IBS,
10. preverjanje identitete uporabnikov,
11. upravljanje in preprečevanje izrabe tehničnih ranljivosti,
12. zagotavljanje ravni dostopnosti informacij in upravljanje pooblastil za dostop,
13. zaščito pred zlonamerno programsko kodo,
14. evidentiranje dejavnosti ključnih, krmilnih in nadzornih informacijskih sistemov in delov omrežja ter pripadajočih podatkov, njihovih uporabnikov in administratorjev ter
15. zaznavanje poskusov vdorov in preprečevanje incidentov.
V. PREHODNE IN KONČNE DOLOČBE
IBS že izdelano varnostno dokumentacijo in varnostne ukrepe uskladi s to uredbo v šestih mesecih od njene uveljavitve.
Z dnem uveljavitve te uredbe se preneha uporabljati Pravilnik o varnostni dokumentaciji in varnostnih ukrepih izvajalcev bistvenih storitev (Uradni list RS, št. 32/19 in 95/21 – ZInfV-A).
Ta uredba začne veljati petnajsti dan po objavi v Uradnem listu Republike Slovenije.
Št. 00704-3/2023
Ljubljana, dne 19. januarja 2023
EVA 2022-1544-0003
Vlada Republike Slovenije
