Uradni list

Številka 126
Uradni list RS, št. 126/2008 z dne 31. 12. 2008
Uradni list

Uradni list RS, št. 126/2008 z dne 31. 12. 2008

Kazalo

5762. Splošni akt o tajnosti, zaupnosti in varnosti elektronskih komunikacij ter hrambi in zavarovanju hranjenih podatkov, stran 17077.

Na podlagi tretjega in četrtega odstavka 117. člena Zakona o elektronskih komunikacijah (Uradni list RS, št. 13/07 – UPB1 in 102/07 – ZDRad) direktor Agencije za pošto in elektronske komunikacije Republike Slovenije izdaja
S P L O Š N I A K T
o tajnosti, zaupnosti in varnosti elektronskih komunikacij ter hrambi in zavarovanju hranjenih podatkov
I. SPLOŠNE DOLOČBE
1. člen
(vsebina)
(1) Ta splošni akt natančneje določa organizacijske ukrepe, s katerimi operaterji zagotavljajo tajnost, zaupnost in varnost elektronskih komunikacij iz 102. člena Zakona o elektronskih komunikacijah (Uradni list RS, št. 13/07 – uradno prečiščeno besedilo in 102/07 – ZDRad; v nadaljnjem besedilu: ZEKom) in zaščitijo hranjene podatke pred uničenjem izgubo ali spremembo in nepooblaščenimi ali nezakonitimi oblikami hrambe, obdelave, dostopa ali razkritja iz 107.c člena ZEKom.
(2) Zahteve tega splošnega akta veljajo za operaterje izvajalce storitev in za druge operaterje ali pogodbene tretje stranke, ki skupaj z operaterjem vzdržujejo Sistem za upravljanje varovanja informacij.
2. člen
(pojmi)
(1) Pojmi uporabljeni v tem splošnem aktu imajo naslednji pomen:
1. Varnost omrežij in informacijskih sistemov je zmožnost omrežja ali informacijskega sistema, da z določeno stopnjo gotovosti prepreči naključne dogodke ali zlonamerna dejanja, ki ogrožajo zaupnost, verodostojnost, celovitost ali razpoložljivost shranjenih ali prenesenih podatkov ter s tem povezanih storitev, ki jih ponujajo ta omrežja in sistemi ali so prek njih dostopne.
2. Sredstvo je vse, kar ima določeno vrednost za organizacijo.
3. Sistem za upravljanje varovanja informacij (v nadaljnjem besedilu: SUVI) je tisti del celotnega sistema upravljanja, ki temelji na pristopu poslovnega tveganja in zagotavlja vzpostavitev, vpeljavo, delovanje, spremljanje, pregledovanje, vzdrževanje in izboljševanje varovanja informacij. SUVI vključuje strukturo organizacije, politike, dejavnost načrtovanja, odgovornosti, postopke, procese in sredstva.
4. Incident je eden ali več neželenih dogodkov, za katere je zelo verjetno, da bodo ogrozili poslovanje organizacije. Za incidente se štejejo naravne katastrofe, vojna ali izredna stanja, izpadi električne energije, teroristična dejanja, zlonamerna dejanja posameznikov ali organizacij, okvare na elementih omrežja oziroma informacijskega sistema, človeške napake, delavske stavke itd.
5. Grožnja je možen vzrok incidenta, ki lahko povzroči škodo sredstvu, sistemu ali organizaciji.
6. Ranljivost je slabost sredstva ali skupine sredstev, ki jih lahko izrabi ena ali več groženj.
7. Obravnava tveganja je proces izbora in vpeljave ukrepov za zmanjševanje tveganja.
8. Preostalo tveganje je tveganje, ki ostane po obravnavi tveganja.
9. Analiza tveganja je sistematična uporaba informacij za prepoznavanje virov groženj, ranljivosti sredstev in ocenjevanje tveganja.
10. Lastnik sredstva je posameznik ali oseba, ki mu je vodstvo odobrilo odgovornost za nadzorovanje, razvoj, vzdrževanje, uporabo in varovanja sredstva. Izraz »lastnik« ne pomeni, da ima kakršne koli lastninske pravice v zvezi s tem sredstvom.
11. Varnostna politika je dokument s katerim vodstvo uradno izrazi splošen namen in usmeritev SUVI ter določi cilje in načela za ukrepanje pri varovanju informacij.
12. Dokumentiran postopek pomeni, da je postopek zapisan.
13. Vodstveni pregled je dokumentiran pregled, ki ga vodstvo opravi najmanj enkrat letno, da zagotovi ustreznost in učinkovitost SUVI.
14. Hranjeni podatki so podatki, ki so določeni v 107.b členu ZEKom in obsegajo podatke o prometu in lokaciji ter povezane podatke, potrebne za določitev posameznika.
15. Obdelava podatkov je obdelava osebnih podatkov skladno z opredelitvijo iz 3. točke 6. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo; ZVOP-1).
(2) Ostali pojmi uporabljeni v tem splošnem aktu imajo enak pomen, kot je določen v ZEKom.
3. člen
(dokumentacija)
(1) Dokumentacija SUVI mora obsegati najmanj:
1. varnostno politiko,
2. obseg in meje SUVI,
3. navodilo za izvajanje ocene tveganja,
4. poročilo z ocene tveganja,
5. načrt za obravnavo tveganja.
(2) Dokumente iz prvega odstavka tega člena je potrebno zaščititi in nadzorovati. Operater mora vpeljati dokumentiran postopek, ki je potreben za:
1. odobritev dokumentov, preden so objavljeni,
2. dopolnjevanje dokumentov,
3. zagotavljanje uporabe zadnjih verzij dokumentov,
4. zagotovitev, da so dokumenti na razpolago tistim, ki jih potrebujejo,
5. preprečitve uporabe zastarelih dokumentov.
4. člen
(obseg in meje SUVI)
Operater mora opredeliti obseg in meje SUVI z vidika značilnosti poslovanja, organizacije, njene lokacije in zahtev ZEKom, ki obravnava tajnost, zaupnost in varnost elektronskih komunikacij ter hrambo in zavarovanje hranjenih podatkov.
5. člen
(navodilo za izvajanje ocene tveganja)
Navodilo za izvajanje ocene tveganja opredeljuje metodologijo, ki jo je operater izbral za izvajanje ocene tveganja, sprejemljivo raven tveganja, kriterije za izbor ukrepov, postopek obravnave preostalih tveganj. Metodologija za oceno tveganja mora biti izbrana tako, da bodo rezultati ocene tveganja primerljivi in ponovljivi.
6. člen
(poročilo z ocene tveganja)
(1) Namen ocene tveganja je, da se prepoznajo sredstva, ki so zajeta v SUVI, lastniki teh sredstev, grožnje tem sredstvom, ranljivosti sredstev, posledice, ki jih lahko povzroči izguba sredstev ter ukrepi za zmanjšanje tveganja na sprejemljivo raven tveganja.
(2) Poročilo z ocene tveganja je povzetek odločitev v zvezi z obravnavo tveganja in vsebuje:
1. seznam trenutnih in novih ukrepov za zmanjšanje tveganja,
2. cilje trenutnih in novih ukrepov za zmanjšanje tveganja,
3. seznam preostalih tveganj, ki so zavestno in objektivno sprejeti v skladu z navodilom za izvajanje ocene tveganja,
4. odobritev vodstva za preostala tveganja.
7. člen
(načrt za obravnavo tveganj)
(1) Načrt za obravnavo tveganj določa aktivnosti za dosego ciljev ukrepov, obseg finančnih in človeških virov, odgovornosti, prednostne naloge za upravljanje tveganj in merila za ocenjevanje učinkovitosti ukrepov.
(2) Operater mora vpeljati in izvajati načrt za obravnavo tveganj.
8. člen
(notranje presoje SUVI)
(1) Operater mora najmanj enkrat letno izvajati notranje presoje SUVI, da ugotovi ali so cilji ukrepov, ukrepi, procesi in postopki SUVI:
1. v skladu z zahtevami ZEKom,
2. učinkovito vpeljani in vzdrževani.
(2) Program presoj je potrebno načrtovati ob upoštevanju položaja in pomembnosti procesov in področij, ki so predmet notranje presoje, kot tudi ob upoštevanju rezultatov predhodnih presoj. Notranje presoje sistema morajo opraviti posamezniki, ki niso povezani s področjem podvrženem pregledu. Posamezniki morajo za izvajanje tovrstnih pregledov imeti ustrezno znanje in izkušnje.
(3) O rezultatih notranjih presoj je potrebno voditi zapise.
9. člen
(vodstveni pregled SUVI)
(1) Vodstvo operaterja mora najmanj enkrat letno pregledovati rezultate notranjih presoj, oceniti možnosti za izboljšave in potrebe po spremembi SUVI.
(2) Rezultat vodstvenega pregleda so odločitve in ukrepi za izboljšanje učinkovitosti SUVI ali morebitne spremembe SUVI.
(3) O rezultatih vodstvenega pregleda je potrebno voditi zapise.
II. HRAMBA PODATKOV
10. člen
(splošno o hranjenih podatkih)
(1) Operater mora sprejeti in izvajati postopke in ukrepe za hrambo podatkov, ki morajo hranjene podatke zaščititi pred slučajnim ali namernim uničenjem, izgubo ali spremembo in nepooblaščenimi ali nezakonitimi oblikami hrambe, obdelave, dostopa ali razkritja.
(2) Hranjeni podatki morajo biti enake kakovosti kot podatki v omrežju.
(3) Hranjeni podatki morajo biti dosegljivi in primerni za kasnejšo uporabo za namene iz prvega odstavka 107.a člena ZEKom.
11. člen
(zavarovanje hranjenih podatkov)
(1) Postopki in tehnologija za hrambo podatkov morajo zagotavljati nadzor dostopa do hranjenih podatkov in popolno sledljivost obdelave hranjenih podatkov z zagotavljanjem celovitosti, zaupnosti in razpoložljivosti hranjenih podatkov. Vsak zajem, dostop, spreminjanje ali druga oblika obdelave hranjenih podatkov mora biti evidentirana z revizijsko sledjo.
(2) Dostop do hranjenih podatkov mora biti omejen na posameznike z ustreznimi pooblastili. Operater mora sprejeti in vzdrževati ažuren seznam pooblastil, ki omogočajo dostop do hranjenih podatkov in revizijske sledi.
(3) Informacijski sistem za hrambo podatkov mora biti ločen in neodvisen od drugih informacijskih sistemov operaterja.
(4) Informacijski sistem za hrambo podatkov mora zagotavljati zaščito zoper izgubo podatkov z rednim izdelovanjem, preverjanjem kvalitete in varnim hranjenjem varnostnih kopij. Za zavarovanje varnostnih kopij hranjenih podatkov veljajo iste zahteve kot za zavarovanje hranjenih podatkov.
(5) Pri prenosu podatkov v hrambo drugemu operaterju ali tretjim strankam preko elektronskih komunikacijskih omrežij se šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod, tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom.
12. člen
(avtentičnost in celovitost)
(1) Postopki in tehnologija za hrambo podatkov morajo onemogočati spremembo ali izbris podatkov v času hrambe (avtentičnost), zagotavljati povezanost reproducirane vsebine z vsebino izvirnih podatkov iz omrežja ter zagotavljati nespremenljivost in neokrnjenost hranjenih podatkov ter revizijske sledi (celovitost).
(2) Avtentičnost in celovitost hranjenih podatkov ter revizijske sledi v digitalni obliki morata biti zagotovljeni ves čas hrambe podatkov.
(3) Za zagotavljanje avtentičnosti ali celovitosti hranjenih podatkov se morajo uporabljati varni elektronski podpis, overjen s kvalificiranim digitalnim potrdilom in varni časovni žig registriranega overitelja ali druga sorodna tehnološka sredstva, ki omogočajo enkratno zapisovanje in večkratno branje ter zagotavljajo avtentičnost in celovitost hranjenih podatkov ter revizijskih sledi obdelave teh podatkov.
(4) Operater nosi breme dokazovanja avtentičnosti, celovitosti in preprečevanja tajenja obdelave hranjenih podatkov in revizijske sledi.
13. člen
(uničenje hranjenih podatkov)
Uničenje hranjenih podatkov na elektronskih pomnilnih medijih mora biti izvedeno tako, da jih ni mogoče delno ali v celoti obnoviti ali prebrati s pomočjo posebnih tehničnih sredstev oziroma postopkov.
III. KONČNE DOLOČBE
14. člen
(poročanje)
Operater mora vsako leto najkasneje do 31.12. za tekoče leto poslati Agenciji za pošto in elektronske komunikacije Republike Slovenije in Informacijskemu pooblaščencu Republike Slovenije obvestilo, da je redni letni vodstveni pregled za tekoče leto opravljen.
15. člen
(začetek veljavnosti)
(1) Ta splošni akt začne veljati naslednji dan po objavi v Uradnem listu Republike Slovenije.
(2) Določbe tega splošnega akta, ki se nanašajo na hrambo in zavarovanje hranjenih podatkov v zvezi z dostopom do interneta, elektronske pošte in uporabo internetne telefonije, pa se začnejo uporabljati s 15. 3. 2009.
Ljubljana, dne 24. decembra 2008
EVA 2008-2111-0137
Tomaž Simonič l.r.
direktor