Pravilnik o varnostni dokumentaciji in varnostnih...

2990. Pravilnik o varnostni dokumentaciji in varnostnih ukrepih organov državne uprave

Na podlagi tretjega odstavka 17. člena Zakona o informacijski varnosti (Uradni list RS, št. 30/18) minister za javno upravo izdaja

P R A V I L N I K
o varnostni dokumentaciji in varnostnih ukrepih organov državne uprave

I. SPLOŠNE DOLOČBE

1. člen

(vsebina)

Ta pravilnik podrobneje določa vsebino in strukturo varnostne dokumentacije, metodologiji za pripravo analize obvladovanja tveganj ter za določitev ključnih, krmilnih in nadzornih informacijskih sistemov in delov omrežja ter pripadajočih podatkov in minimalni obseg ter vsebino varnostnih ukrepov organov državne uprave.

2. člen

(pomen izrazov)

Izrazi, uporabljeni v tem pravilniku, pomenijo:

1.

Celovitost je lastnost informacij, omrežij in informacijskih sistemov, da so točni in popolni.

2.

Ključni, krmilni in nadzorni informacijski sistemi in deli omrežja ter pripadajoči podatki so informacijski sistemi in deli omrežja ter pripadajoči podatki organov državne uprave (v nadaljnjem besedilu: ODU), ki so bistvenega pomena za delovanje storitev ODU.

3.

Neprekinjeno poslovanje so aktivnosti, ki so potrebne za ohranjanje poslovanja organizacije v času motenj ali prekinitev normalnega delovanja.

4.

Razpoložljivost je lastnost informacij, omrežij in informacijskih sistemov, da so dostopni in uporabni na pooblaščeno zahtevo.

5.

Sistem upravljanja neprekinjenega poslovanja je sistem upravljanja, ki temelji na strateški in taktični sposobnosti organizacije, da pripravi načrt za primere prekinitev in motenj pri poslovanju ter se na njih odzove z namenom zagotovitve storitev na sprejemljivi, vnaprej določeni ravni ter vključuje pripravo in uporabo načrtov obnovitve in ponovne vzpostavitve delovanja informacijskih sistemov (v nadaljnjem besedilu: SUNP).

6.

Sistem upravljanja varovanja informacij je sistem upravljanja, ki omogoča celovit in koordiniran pogled na informacijska varnostna tveganja organizacije ter zagotavlja vzpostavitev, vpeljavo, delovanje, spremljanje, pregledovanje, vzdrževanje in izboljševanje varnosti omrežij in informacijskih sistemov (v nadaljnjem besedilu: SUVI).

7.

Sredstvo je vsaka opredmetena ali neopredmetena stvar, ki ima vrednost za ODU in ki zato zahteva zaščito.

8.

Trajanje incidenta je časovno obdobje od prekinitve ustreznega zagotavljanja storitve v smislu razpoložljivosti, celovitosti ali zaupnosti do trenutka njene ponovne vzpostavitve.

9.

Uporabnik je fizična ali pravna oseba, ki uporablja posamezno storitev ODU neposredno, posredno ali s posredovanjem oziroma je odvisna od nje.

10.

Zaupnost je lastnost, da informacije niso razpoložljive ali razkrite nepooblaščenim subjektom ali procesom.

II. VSEBINA IN STRUKTURA VARNOSTNE DOKUMENTACIJE

3. člen

(vsebina in struktura varnostne dokumentacije)

(1)

ODU vzpostavijo in vzdržujejo dokumentiran SUVI in SUNP, ki mora obsegati najmanj elemente iz prvega odstavka 17. člena Zakona o informacijski varnosti (Uradni list RS, št. 30/18).

(2)

Varnostno dokumentacijo iz prejšnjega odstavka tega člena podpiše predstojnik ODU.

(3)

Če ima ODU za zagotavljanje varnosti svojih omrežij in informacijskih sistemov že izdelano varnostno dokumentacijo na podlagi drugih predpisov, jo vsebinsko dopolni v skladu s tem pravilnikom.

4. člen

(analiza obvladovanja tveganj)

Analiza obvladovanja tveganj z oceno sprejemljive ravni tveganj (v nadaljnjem besedilu: analiza obvladovanja tveganj) obsega najmanj:

1.

navedbo sredstev znotraj SUVI in upravljavce teh sredstev,

2.

navedbo potencialnih groženj tem sredstvom,

3.

navedbo ranljivosti sredstev iz 1. točke tega člena, ki bi jih lahko grožnje iz prejšnje točke prizadele,

4.

navedbo vpliva uresničitve groženj iz 2. točke tega člena na razpoložljivost, celovitost in zaupnosti sredstev iz prve točke tega člena zaradi ranljivosti iz prejšnje točke,

5.

oceno vpliva na opravljanje storitev ODU v primeru kršitve informacijske varnosti zaradi izgube razpoložljivosti, celovitosti ali zaupnosti,

6.

realistično oceno verjetnosti, da pride do kršitve informacijske varnosti,

7.

ovrednotenje ravni tveganj in

8.

določitev sprejemljive ravni tveganj.

5. člen

(politika neprekinjenega poslovanja)

Politika neprekinjenega poslovanja z načrtom njegovega upravljanja (v nadaljnjem besedilu: politika neprekinjenega poslovanja) obsega najmanj:

1.

navedbo postopkov neprekinjenega poslovanja, ki se jo izdela na podlagi popisa poslovnih procesov,

2.

oceno vpliva na poslovanje, ki zajema navedbo možnih dogodkov in incidentov, ki vplivajo na neprekinjeno poslovanje, vključno zaradi odpovedi informacijskih sistemov, pomanjkanja zaposlenih, izpada posamezne lokacije znotraj ODU in odpovedi storitev pogodbenih izvajalcev,