Na podlagi tretjega odstavka 17. člena Zakona o informacijski varnosti (Uradni list RS, št. 30/18, 95/21, 130/22 – ZEKom-2, 18/23 – ZDU-1O in 49/23) Vlada Republike Slovenije izdaja
o varnostni dokumentaciji in varnostnih ukrepih organov državne uprave
Ta uredba podrobneje določa vsebino in strukturo varnostne dokumentacije, metodologiji za pripravo analize obvladovanja tveganj ter za določitev ključnih, krmilnih in nadzornih informacijskih sistemov in delov omrežja in pripadajočih podatkov ter minimalni obseg in vsebino varnostnih ukrepov organov državne uprave.
Izrazi, uporabljeni v tej uredbi, pomenijo:
1. Celovitost je lastnost informacij, omrežij in informacijskih sistemov, da so točni in popolni.
2. Kazalnik zlorabe je kazalnik, ki da informacijo o lastnostih zlorabe omrežij oziroma informacijskih sistemov organov državne uprave (v nadaljnjem besedilu: ODU).
3. Ključni, krmilni in nadzorni informacijski sistemi in deli omrežja ter pripadajoči podatki so informacijski sistemi in deli omrežja ter pripadajoči podatki ODU, ki so bistvenega pomena za delovanje storitev ODU.
4. Neprekinjeno poslovanje so aktivnosti, ki so potrebne za ohranjanje poslovanja organizacije v času motenj ali prekinitev normalnega delovanja.
5. Razpoložljivost je lastnost informacij, omrežij in informacijskih sistemov, da so dostopni in uporabni na pooblaščeno zahtevo.
6. Sistem upravljanja neprekinjenega poslovanja (v nadaljnjem besedilu: SUNP) je sistem upravljanja, ki temelji na strateški in taktični sposobnosti organizacije, da pripravi načrt za primere prekinitev in motenj pri poslovanju ter se nanje odzove z namenom zagotovitve storitev na sprejemljivi, vnaprej določeni ravni, ter vključuje pripravo in uporabo načrtov obnovitve in ponovne vzpostavitve delovanja informacijskih sistemov.
7. Sistem upravljanja varovanja informacij (v nadaljnjem besedilu: SUVI) je sistem upravljanja, ki omogoča celovit in koordiniran pogled na informacijska varnostna tveganja organizacije ter zagotavlja vzpostavitev, vpeljavo, delovanje, spremljanje, pregledovanje, vzdrževanje in izboljševanje varnosti omrežij in informacijskih sistemov.
8. Sredstvo je vsaka opredmetena ali neopredmetena stvar, ki ima vrednost za ODU in zato zahteva zaščito.
9. Trajanje incidenta je časovno obdobje od prekinitve ustreznega zagotavljanja storitve v smislu zaupnosti, celovitosti ali razpoložljivosti do trenutka njene ponovne vzpostavitve.
10. Uporabnik je fizična ali pravna oseba, ki uporablja posamezno storitev ODU neposredno, posredno ali s posredovanjem oziroma je odvisna od nje.
11. Zaupnost je lastnost, da informacije niso razpoložljive ali razkrite nepooblaščenim subjektom ali procesom.
II. VSEBINA IN STRUKTURA VARNOSTNE DOKUMENTACIJE
(vsebina in struktura varnostne dokumentacije)
(1) ODU vzpostavijo in vzdržujejo dokumentirana SUVI in SUNP, ki morata zajemati najmanj elemente iz prvega odstavka 17. člena Zakona o informacijski varnosti (Uradni list RS, št. 30/18, 95/21, 130/22 – ZEKom-2, 18/23 – ZDU-1O in 49/23).
(2) Varnostno dokumentacijo iz prejšnjega odstavka tega člena podpiše predstojnik ODU.
(3) Če ima ODU za zagotavljanje varnosti svojih omrežij in informacijskih sistemov že izdelano varnostno dokumentacijo na podlagi drugih predpisov, jo vsebinsko dopolni v skladu s to uredbo.
(analiza obvladovanja tveganj)
Analiza obvladovanja tveganj z določitvijo sprejemljive ravni tveganj (v nadaljnjem besedilu: analiza obvladovanja tveganj) zajema najmanj:
1. navedbo uporabljene metodologije za izvedbo analize obvladovanja tveganj, ki mora biti primerljiva, verodostojna in ponovljiva v skladu s pravili stroke,
2. navedbo sredstev znotraj SUVI in upravljavce teh sredstev oziroma odgovorne osebe za ta sredstva,
3. navedbo možnih groženj tem sredstvom,
4. navedbo ranljivosti sredstev iz 2. točke tega člena, ki bi jih grožnje iz prejšnje točke lahko prizadele,
5. navedbo vpliva uresničitve groženj iz 3. točke tega člena na zaupnost, celovitost in razpoložljivost sredstev iz 2. točke tega člena zaradi ranljivosti iz prejšnje točke,
6. oceno vpliva na opravljanje storitev ODU v primeru kršitve informacijske varnosti zaradi izgube zaupnosti, celovitosti ali razpoložljivosti,
7. oceno verjetnosti, da nastane kršitev informacijske varnosti,
8. ovrednotenje ravni tveganj,
9. določitev in obrazložitev sprejemljive ravni tveganj,
10. navedbo ukrepov za odpravo ali zmanjšanje tveganj nad sprejemljivo ravnjo.
(politika neprekinjenega poslovanja)
Politika neprekinjenega poslovanja z načrtom njegovega upravljanja zajema najmanj:
1. navedbo ciljev in načel za zagotavljanje neprekinjenega poslovanja ob upoštevanju posebnosti ODU,
2. navedbo postopkov neprekinjenega poslovanja, ki se izdelajo na podlagi popisa poslovnih procesov,
3. oceno vpliva na poslovanje, ki zajema navedbo možnih dogodkov in incidentov, ki vplivajo na neprekinjeno poslovanje, vključno zaradi odpovedi informacijskih sistemov, pomanjkanja zaposlenih, izpada posamezne lokacije znotraj ODU in odpovedi storitev pogodbenih izvajalcev,
4. določitev minimalne ravni poslovanja,
5. navedbo ukrepov za zagotavljanje neprekinjenega poslovanja, ki se izdelajo na podlagi ocene vpliva na poslovanje iz 3. točke tega člena in minimalne ravni poslovanja iz prejšnje točke, ter
6. določitev vlog in odgovornosti za izvajanje politike neprekinjenega poslovanja ter njeno posodabljanje.
(seznam ključnih, krmilnih in nadzornih informacijskih sistemov)
Seznam informacijskih sistemov in delov omrežja ODU ter pripadajočih podatkov, ki so bistvenega pomena za delovanje storitev ODU, zajema najmanj:
– navedbo sredstev znotraj SUVI, od katerih je odvisno zagotavljanje storitev ODU, in
– seznam ključnih, krmilnih in nadzornih informacijskih sistemov in delov omrežja ter pripadajočih podatkov (v nadaljnjem besedilu: ključni sistemi) in navedbo njihovih upravljavcev.
(načrt obnovitve delovanja ključnih sistemov)
Načrt obnovitve in ponovne vzpostavitve delovanja ključnih sistemov iz prejšnjega člena (v nadaljnjem besedilu: načrt obnovitve delovanja ključnih sistemov) zajema opis odgovornosti in postopkov za obnovitev delovanja teh sistemov po dogodku, ki povzroči prekinitev njihovega delovanja.
(načrt odzivanja na incidente)
(1) Načrt odzivanja na incidente s protokolom obveščanja CSIRT organov državne uprave (v nadaljnjem besedilu: načrt odzivanja na incidente) zajema najmanj:
1. opis sistema za zaznavo incidentov informacijske varnosti,
2. opis sistema za zbiranje in zavarovanje dokazov o incidentu informacijske varnosti, vključno z dnevniškimi zapisi in revizijskimi sledmi, če te obstajajo,
3. opis postopkov za odziv na incidente informacijske varnosti, za obravnavo in analizo incidentov informacijske varnosti, vključno z evidentiranjem vseh odzivnih aktivnosti,
4. opis odgovornosti oseb oziroma organizacijskih enot, ki jih je treba vključiti v aktivnosti iz prejšnje točke,
5. opis postopkov in odgovornosti za poročanje o incidentih znotraj ODU in zunaj ODU ter
6. opis protokola obveščanja o incidentu informacijske varnosti CSIRT organov državne uprave.
(2) Obvestilo iz 6. točke prejšnjega odstavka se pošlje CSIRT organov državne uprave na način, ki je objavljen na njegovi spletni strani in zajema najmanj:
1. oceno števila uporabnikov, ki jih je prizadela motnja pri zagotavljanju bistvenih storitev,
2. oceno trajanja incidenta,
3. navedbo kazalnikov zlorabe, če ti obstajajo,
4. oceno geografske razširjenosti območja, na katero incident vpliva,
5. oceno morebitnega medresorskega vpliva incidenta in
6. opis pomembnosti vpliva incidenta na neprekinjeno izvajanje storitev ODU.
(3) Opis protokola obveščanja iz 6. točke prvega odstavka tega člena se lahko smiselno uporabi za obveščanje pristojnega nacionalnega organa za informacijsko varnost, če ima ODU lastne zmogljivosti vsaj na ravni varnostno-operativnega centra.
(načrt varnostnih ukrepov)
(1) Pri izdelavi načrta varnostnih ukrepov za zagotavljanje zaupnosti, celovitosti in razpoložljivosti omrežja in informacijskih sistemov ODU upoštevajo:
– dokumente varnostne dokumentacije iz 3. do 8. člena te uredbe in
– posebne potrebe delovnega področja ODU.
(2) Načrt varnostnih ukrepov iz prejšnjega odstavka vsebuje navedbo ukrepov, ki so:
1. učinkoviti tako, da povečajo informacijsko varnost glede na obstoječe in predvidene grožnje,
2. prilagojeni tako, da se prizadevanja ODU usmerijo v ukrepe, ki najbolj vplivajo na njihovo informacijsko varnost, in se izogibajo podvajanjem,
3. skladni tako, da se prednostno obravnavajo osnovne in skupne varnostne ranljivosti ODU, ki se lahko dopolnijo z varnostnimi ukrepi za posamezna delovna področja,
4. sorazmerni s tveganji tako, da se izogiba čezmerni obremenitvi posameznega ODU,
5. konkretni tako, da ODU te varnostne ukrepe izvajajo in da ti ukrepi prispevajo h krepitvi njihove informacijske varnosti,
6. preverljivi tako, da se na zahtevo pristojnega organa lahko predložijo dokazila o njihovi izvedbi,
7. vključujoči tako, da so upoštevani vsi vidiki informacijske varnosti, vključno s fizično varnostjo informacijskih sistemov.
III. METODOLOGIJI ZA PRIPRAVO ANALIZE OBVLADOVANJA TVEGANJ IN ZA DOLOČITEV KLJUČNIH SISTEMOV
(metodologiji za pripravo analize obvladovanja tveganj in za določitev ključnih sistemov)
(1) ODU analizo obvladovanja tveganj pripravi tako, da:
1. navede metodologijo z opredelitvijo lestvic in atributov ocenjevanja, po kateri bo izvedel analizo obvladovanja tveganj v skladu s to uredbo,
2. izvede popis sredstev znotraj SUVI in določi njihove upravljavce oziroma odgovorne osebe za ta sredstva,
3. prepozna možne grožnje za izgubo zaupnosti, celovitosti in razpoložljivosti sredstev iz prejšnje točke,
4. prepozna ranljivosti sredstev iz 2. točke tega odstavka, ki bi jih grožnje iz prejšnje točke lahko prizadele,
5. oceni stopnjo vpliva uresničitve groženj iz 3. točke tega odstavka na zaupnost, celovitost in razpoložljivost sredstev iz 2. točke tega odstavka zaradi ranljivosti iz prejšnje točke,
6. oceni primernost obstoječih ukrepov in stopnjo obvladovanja ugotovljenih tveganj s temi ukrepi,
7. ovrednoti ugotovljena tveganja glede na verjetnost nastanka tveganj in obseg negativnih posledic ob uresničitvi tveganj na zagotavljanje storitev ter
8. določi sprejemljivo raven tveganj, glede na vrednotenje ugotovljenih tveganj.
(2) ODU seznam svojih ključnih sistemov pripravi tako, da:
– na podlagi popisanih sredstev znotraj SUVI iz 2. točke prejšnjega odstavka presodi, ali je zagotavljanje storitev ODU odvisno od posameznega sredstva znotraj SUVI, in
– na podlagi posameznih sredstev znotraj SUVI, od katerih je v skladu s prejšnjo alinejo odvisno zagotavljanje storitev ODU, presodi, katero od teh sredstev je bistveno za delovanje storitve ODU.
(3) ODU izvede analizo obvladovanja tveganj ter določi ključne sisteme tako, da bodo rezultati teh postopkov dosledni, primerljivi in verodostojni.
(4) ODU izvaja analizo obvladovanja tveganj in določa ključne sisteme v rednih časovnih presledkih ali kadar so predlagane ali nastanejo bistvene spremembe v okviru SUVI.
IV. MINIMALNI OBSEG IN VSEBINA VARNOSTNIH UKREPOV
(minimalni obseg in vsebina varnostnih ukrepov)
ODU za zagotavljanje zaupnosti, celovitosti in razpoložljivosti omrežij in informacijskih sistemov na podlagi varnostne dokumentacije iz 3. člena te uredbe pripravijo ter izvajajo organizacijske, logično-tehnične in tehnične varnostne ukrepe, ki zagotavljajo najmanj:
1. podporo predstojnika ODU pri zagotavljanju informacijske varnosti, vključno z vključevanjem področja informacijske varnosti v letni program dela ODU,
2. integriteto kadrov v povezavi z informacijsko varnostjo pred zaposlitvijo, med zaposlitvijo in ob prenehanju ali spremembi zaposlitve,
3. notranji pregled SUVI in SUNP najmanj enkrat letno in kadar so predlagane ali nastanejo bistvene spremembe, ki vplivajo na zaupnost, celovitost oziroma razpoložljivost omrežij in informacijskih sistemov,
4. upravljanje ključnih sistemov z določitvijo odgovornosti za njihovo zaščito,
5. ohranjanje dnevniških zapisov o delovanju ključnih sistemov iz prejšnje točke,
6. upravljanje prometa in komunikacij,
7. opredelitev varnostnih zahtev za ključne dobavitelje,
8. fizično in tehnično varovanje dostopov do prostorov, kjer so ključni sistemi,
9. varnostne mehanizme v posamezni aplikativni programski opremi za izvajanje dejavnosti ODU,
10. preverjanje identitete uporabnikov,
11. upravljanje in preprečevanje izrabe tehničnih ranljivosti,
12. zagotavljanje ravni dostopnosti informacij in upravljanje pooblastil za dostop,
13. zaščito pred zlonamerno programsko kodo,
14. evidentiranje dejavnosti ključnih sistemov, njihovih uporabnikov in administratorjev ter
15. zaznavanje poskusov vdorov in preprečevanje incidentov.
V. PREHODNI IN KONČNA DOLOČBA
ODU že izdelano varnostno dokumentacijo in varnostne ukrepe uskladi s to uredbo v šestih mesecih od njene uveljavitve.
Z dnem uveljavitve te uredbe se preneha uporabljati Pravilnik o varnostni dokumentaciji in varnostnih ukrepih organov državne uprave (Uradni list RS, št. 68/19 in 95/21 – ZInfV-A).
Ta uredba začne veljati petnajsti dan po objavi v Uradnem listu Republike Slovenije.
Št. 00704-232/2022
Ljubljana, dne 13. septembra 2023
EVA 2022-1544-0004
Vlada Republike Slovenije
Luka Mesec
podpredsednik
