• PREDPIS
  • RAZVELJAVLJEN

Uredba o varovanju tajnih podatkov v komunikacijsko informacijskih sistemih

OBJAVLJENO V: Uradni list RS 48-2603/2007, stran 6649 DATUM OBJAVE: 1.6.2007

VELJAVNOST: od 16.6.2007 do 25.4.2022 / UPORABA: od 16.6.2007 do 25.4.2022

RS 48-2603/2007

Verzija 3 / 3

Čistopis se uporablja od 26.4.2022 do nadaljnjega. Status čistopisa na današnji dan, 21.2.2026: NEAKTUALEN.

Časovnica

Na današnji dan, 21.2.2026 je:

  • ČISTOPIS
  • NEAKTUALEN
  • UPORABA ČISTOPISA
  • OD 26.4.2022
    DO nadaljnjega
Format datuma: dan pika mesec pika leto, na primer 20.10.2025
  •  
  • Vplivi
  • Čistopisi
rev
fwd
2603. Uredba o varovanju tajnih podatkov v komunikacijsko informacijskih sistemih
Na podlagi petega odstavka 39. člena Zakona o tajnih podatkih (Uradni list RS, št. 50/06 – uradno prečiščeno besedilo) izdaja Vlada Republike Slovenije
U R E D B O
o varovanju tajnih podatkov v komunikacijsko informacijskih sistemih

I. SPLOŠNE DOLOČBE

1. člen

(namen uredbe)

(1)

Ta uredba določa fizične, organizacijske in tehnične ukrepe ter postopke varovanja tajnih podatkov v komunikacijskih in informacijskih sistemih, ki jih morajo upoštevati in izvajati vsi organi in organizacije iz drugega in tretjega odstavka 1. člena Zakona o tajnih podatkih (Uradni list RS, št. 50/06 – uradno prečiščeno besedilo; v nadaljnjem besedilu: zakon).

(2)

Pri varovanju tajnih podatkov drugih držav ali mednarodnih organizacij v komunikacijskih in informacijskih sistemih se poleg ali namesto ukrepov, predpisanih s to uredbo, izvajajo tudi drugi ukrepi, določeni z mednarodno pogodbo ali sprejetimi mednarodnimi obveznostmi.

2. člen

(namen fizičnih, organizacijskih in tehničnih ukrepov ter postopkov varovanja)

(1)

Namen fizičnih, organizacijskih in tehničnih ukrepov ter postopkov varovanja tajnih podatkov je, da se vzpostavi sistem minimalnih standardov, postopkov in tehničnih ukrepov, ki ustreza stopnji tajnosti tajnih podatkov v komunikacijskih in informacijskih sistemih ter onemogoča njihovo razkritje nepooblaščenim osebam.

(2)

S fizičnimi, organizacijskimi in tehničnimi ukrepi ter postopki varovanja v komunikacijskih in informacijskih sistemih, v katerih se obravnavajo tajni podatki (v nadaljnjem besedilu: sistemi), se zagotavljajo tajnost, celovitost in razpoložljivost teh podatkov ter celovitost in razpoložljivost samih sistemov.

(3)

Z ukrepi in postopki iz prejšnjega odstavka se v sistemih preprečujejo dostop do tajnih podatkov nepooblaščenim uporabnikom, razkritje tajnih podatkov nepoklicanim osebam, možnost za zavrnitev dostopa do tajnih podatkov pooblaščenim uporabnikom ter zloraba, nepooblaščena sprememba ali izbris tajnih podatkov.

(4)

Za izvajanje ukrepov in postopkov varovanja tajnih podatkov v posameznem sistemu je odgovoren predstojnik organa ali organizacije.

(5)

Za vzpostavitev, vodenje in vzdrževanje sistema predstojnik organa ali organizacije imenuje upravljavca sistema.

3. člen

(pomen izrazov)
Posamezni izrazi, uporabljeni v tej uredbi, imajo naslednji pomen:

-

informacijska varnost zajema določanje in uporabo ukrepov varovanja tajnih podatkov, ki se obravnavajo s pomočjo komunikacijskih, informacijskih in drugih elektronskih sistemov pred naključno ali namerno izgubo tajnosti, celovitosti ali razpoložljivosti ter ukrepov za preprečevanje izgube celovitosti in razpoložljivosti samih sistemov;

-

varnostno dovoljenje za delovanje sistema je pisni sklep, s katerim se dovoljuje obravnavanje tajnih podatkov v sistemu in ki potrjuje izvajanje vseh ukrepov in postopkov za zagotavljanje varnega delovanja sistema;

-

ključne sestavine sistema so strežniki, usmerjevalniki in delilniki prometa, oprema za upravljanje in nadzor, aktivna oprema za prenos podatkov v nešifrirani obliki, oprema za šifrirno zaščito podatkov, varnostne pregrade, oprema za odkrivanje in zaščito pred vdori, oprema za izdelavo varnostnih kopij;

-

varnostni način delovanja sistema nam pove, kako se izvaja nadzor dostopa do sistema. Razlikujemo tri varnostne načine delovanja: neselektiven, selektiven in dvojno selektiven. Razlikujejo se glede na potrebno dovoljenje uporabnikov za dostop do tajnih podatkov in pravico po vedenju;

-

kritični informacijski varnostni dogodek je vsak dogodek, ki ima ali bi lahko imel za posledico nerazpoložljivost sistema ali njegovih ključnih sestavin, razkritje varovanih podatkov ali izgubo oziroma nezaželeno spremembo podatkov, uničenje ali izgubo opreme in sredstev;

-

neželeno elektromagnetno sevanje je sevanje, ki se nekontrolirano razširja in omogoča odtekanje tajnih podatkov;

-

širše varnostno okolje sistema (ŠVO) je celotna okolica objekta, v katerem je nameščen sistem;

-

ožje varnostno okolje sistema (OVO) je objekt, v katerem je nameščen sistem;

-

elektronsko varnostno okolje sistema (EVO) je programska in strojna oprema sistema.

4. člen

(varnostna odobritev sistema)

(1)

Vsak predstojnik organa ali organizacije mora pred začetkom obravnavanja tajnih podatkov v sistemu s pisnim sklepom potrditi izvajanje vseh ukrepov in postopkov za zagotovitev varnega delovanja sistema (v nadaljnjem besedilu: varnostno dovoljenje za delovanje sistema).

(2)

Pred izdajo varnostnega dovoljenja za delovanje sistema, v katerem se obravnavajo podatki stopnje tajnosti ZAUPNO ali višje, mora predstojnik organa ali organizacije od Urada Vlade Republike Slovenije za varovanje tajnih podatkov dobiti mnenje o varnostni ustreznosti sistema. Uradu Vlade Republike Slovenije za varovanje tajnih podatkov se pred izdajo mnenja o varnostni ustreznosti sistema omogoči varnostni pregled sistema, s katerim preveri izpolnjevanje ukrepov in postopkov za zagotovitev varnega delovanja sistema.

(3)

Organ ali organizacija mora o izdaji varnostnega dovoljenja za delovanje sistema obvestiti Urad Vlade Republike Slovenije za varovanje tajnih podatkov.

(4)

Urad Vlade Republike Slovenije za varovanje tajnih podatkov vodi evidenco vseh varnostnih dovoljenj za delovanje sistemov.

(5)

Ob vsaki spremembi sistema, ki ima oziroma bi lahko imela posledice za varnost v sistemu obravnavanih tajnih podatkov (širitev sistema, tehnološke spremembe, uvajanje novih tehnologij ali storitev itd.), mora upravljavec sistema ponovno izvesti postopek varnostne odobritve sistema.

5. člen

(dokumenti, potrebni za izdajo varnostnega dovoljenja za delovanje sistema)

(1)

Vsak upravljavec sistema mora v postopku izdaje varnostnega dovoljenja za delovanje sistema pripraviti:

-

načrt varovanja sistema, ki vsebuje opis sistema, načrt sestavin in povezav sistema, varnostne zahteve sistema, varnostna okolja, varnostne protiukrepe in varnostno upravljanje sistema;

-

oceno varnostnih tveganj, ki vsebuje oceno trenutnega stanja sistema z oceno stopnje tveganja;

-

varnostna navodila za delo v sistemu, ki vsebujejo varnostno upravljanje in organiziranost varnosti sistema, informacijska varnost, načrtovanje ukrepov ob nepredvidenih dogodkih, upravljanje in spreminjanje konfiguracije/nastavitev sistema, splošna varnostna navodila za uporabnike in odgovorno osebje.

(2)

Struktura in vsebina varnostnih dokumentov sistema iz prejšnjega odstavka sta opredeljeni v prilogah 4, 5 in 6 te uredbe.

(3)

V postopku izdaje varnostnega dovoljenja za delovanje sistema, v katerem se obravnavajo podatki stopnje tajnosti ZAUPNO ali višje, morajo biti dokumenti iz prvega odstavka tega člena priloženi k zahtevi za pridobitev mnenja Urada Vlade Republike Slovenije za varovanje tajnih podatkov.

(4)

Dokumente iz prvega odstavka tega člena je treba stalno dopolnjevati, najmanj enkrat letno pa pregledati in preveriti ustreznost ukrepov in postopkov, ki so z njimi določeni.

6. člen

(določitev varnostnega načina delovanja sistema)