• PREDPIS
  • RAZVELJAVLJEN

Uredba o informacijski varnosti v državni upravi

OBJAVLJENO V: Uradni list RS 29-1272/2018, stran 4270 DATUM OBJAVE: 26.4.2018

VELJAVNOST: od 11.5.2018 do 28.4.2023 / UPORABA: od 11.5.2018 do 30.4.2024

RS 29-1272/2018

Verzija 4 / 4

Čistopis se uporablja od 1.5.2024 do nadaljnjega. Status čistopisa na današnji dan, 23.2.2026: NEAKTUALEN.

Časovnica

Na današnji dan, 23.2.2026 je:

  • ČISTOPIS
  • NEAKTUALEN
  • UPORABA ČISTOPISA
  • OD 1.5.2024
    DO nadaljnjega
Format datuma: dan pika mesec pika leto, na primer 20.10.2025
  •  
  • Vplivi
  • Čistopisi
rev
fwd
1272. Uredba o informacijski varnosti v državni upravi
Na podlagi četrtega odstavka 74.a člena Zakona o državni upravi (Uradni list RS, št. 113/05 – uradno prečiščeno besedilo, 89/07 – odl. US, 126/07 – ZUP-E, 48/09, 8/10 – ZUP-G, 8/12 – ZVRS-F, 21/12, 47/13, 12/14, 90/14 in 51/16) izdaja Vlada Republike Slovenije
U R E D B O
o informacijski varnosti v državni upravi

I. SPLOŠNE DOLOČBE

1. člen

(namen in področja uporabe)

(1)

Ta uredba določa minimalne skupne zahteve glede informacijske varnosti, ki vključujejo enotne okvire upravljanja informacijske varnosti in temeljna nadzorstva za zagotavljanje informacijske varnosti v državni upravi, če uredba ne določa drugače.

(2)

Ta uredba velja za organe državne uprave (v nadaljnjem besedilu: organ). Uredba velja tudi za druge državne organe, organe lokalnih skupnosti, javne agencije in nosilce javnih pooblastil ter druge subjekte, ki se povezujejo s centralnim informacijsko-komunikacijskim sistemom (v nadaljnjem besedilu: povezani subjekt).

2. člen

(pomen izrazov)
Izrazi, uporabljeni v tej uredbi, pomenijo:

1.

analiza tveganja je proces ugotavljanja narave tveganja in določitve ravni tveganja;

2.

analiza vpliva na poslovanje je proces ugotavljanja in ovrednotenja možnih učinkov (finančnih, na zdravje in varnost, pravnih, na ugled itd.) naravnih ali od človeka povzročenih dogodkov na poslovanje;

3.

avtentikacija je jamstvo, da so zatrjevane značilnosti posamezne entitete dejansko take;

4.

avtentikacijska sredstva so informacije, ki jih uporabnik pozna (geslo, osebna identifikacijska številka ipd.), ter oprema in naprave, ki jih uporabnik ima (varnostni žeton, magnetna kartica, RFID kartica, pametna kartica, potrdilo za elektronski podpis ipd.) za enolično predstavitev v informacijskem sistemu;

5.

celovitost je lastnost informacij in informacijskih sistemov, da so točne in popolne;

6.

dnevnik dogodkov je hramba sistemskih podatkov z zapisi vseh dogodkov v času delovanja sistema;

7.

dogodek informacijske varnosti je ugotovljeno stanje informacijskega sistema, storitev ali omrežja, ki kaže na možno kršitev politike informacijske varnosti ali izpad nadzorstev, ali predhodno neznane razmere, ki lahko pomembno vplivajo na varnost;

8.

državno komunikacijsko omrežje je omrežje, namenjeno povezovanju lokalnih omrežij organov državne uprave ter dostopu do skupnih informacijskih sistemov in storitev;

9.

incident informacijske varnosti je neželen dogodek informacijske varnosti ali zaporedje neželenih dogodkov informacijske varnosti, ki lahko z veliko verjetnostjo ogrozijo poslovanje in informacijsko varnost;

10.

informacije so obdelani, organizirani, strukturirani ali v nekem sobesedilu predstavljeni podatki;

11.

informacijska naprava je naprava, namenjena za zbiranje, prenos, hrambo in obdelavo podatkov;

12.

informacijska varnost je zagotavljanje (ohranjanje) zaupnosti, celovitosti in razpoložljivosti informacij;

13.

informacijski sistem so med seboj odvisni sestavni deli računalniške strojne, programske in komunikacijske opreme, ki je namenjena za obravnavo (zajemanje, procesiranje, predstavitev, hrambo, prenos ipd.) nekega informacijskega premoženja; so tudi med seboj odvisne storitve, ki zagotavljajo strežniške in omrežne vire, vire za hrambo podatkov, vire uporabniške programske opreme ipd.;

14.

informacijsko premoženje so podatki in informacije, ki jih je glede na poslovna in varnostna merila smiselno obravnavati kot celoto;

15.

izmenljivi nosilec podatkov je nosilec podatkov, ki ga je mogoče preprosto povezati z informacijsko napravo ali ločiti od nje (na primer ključ USB, polprevodniški disk, CD, DVD, trdi disk, disketa, magnetni trak ipd.);

16.

kriptografija je veda, ki z uporabo matematičnih metod omogoča zagotavljanje zaupnosti, celovitost ter overjanje podatkov in entitet;

17.

kvalificirano potrdilo za elektronski podpis je potrdilo za elektronske podpise, ki ga izda ponudnik kvalificiranih storitev zaupanja in izpolnjuje zahteve iz Uredbe (EU) št. 910/2014 Evropskega parlamenta in Sveta z dne 23. julija 2014 o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu in o razveljavitvi Direktive 1999/93/ES (UL L, št. 257 z dne 28. 8. 2014, str. 73);

18.

lastni informacijski sistem je informacijski sistem organa, za katerega pridobitev, razvoj, integracijo, spreminjanje, delovanje, vzdrževanje, varovanje in prenehanje uporabe ter varovanje informacijskih premoženj, ki jih ta informacijski sistem obravnava, je odgovoren ta organ;

19.

nadzorstvo je ukrep, ki zmanjšuje tveganje; vključuje postopke, usmeritve, naprave, prakse ali druge aktivnosti, ki zmanjšujejo tveganje;

20.

neprekinjenost poslovanja so aktivnosti, ki so potrebne za ohranjanje poslovanja organizacije v času motenja ali prekinitev normalnega delovanja;

21.

ocenitev tveganja je celotni proces ugotavljanja tveganja, analize tveganja in ovrednotenja tveganja;

22.

okrevanje je obnovitev podatkov in delovanja informacijskega sistema ter poslovanja po izpadu informacijskega sistema ali poslovanja;

23.

ovrednotenje tveganja je proces primerjanja rezultatov analize tveganja z merili tveganja, da bi ugotovili, ali je tveganje oziroma njegova velikost sprejemljiva oziroma znosna;

24.

podatki so formalizirana predstavitev dejstev, zamisli ali navodil, primernih za človeško ali strojno komunikacijo, interpretacijo ali obdelavo;

25.

potrdilo za elektronski podpis je elektronsko potrdilo, ki povezuje podatke za potrjevanje veljavnosti elektronskega podpisa s fizično osebo in potrjuje najmanj ime ali psevdonim te osebe;

26.

prenosna informacijska naprava je prenosni računalnik, dlančnik, osebni organizator, pametni telefon ali podobna prenosna elektronska naprava, ki lahko hrani, obdeluje, prikazuje ali elektronsko prenaša podatke;

27.

prenosna koda je programska koda, ki se po omrežju prenaša iz oddaljenega računalniškega sistema in se izvaja na lokalnem računalniku, navadno brez uporabnikovega posredovanja; sinonim: mobilna koda;

28.

razpoložljivost je lastnost informacij in informacijskih sistemov, da so dostopni in uporabni na pooblaščeno zahtevo;

29.

revizijska sled je dnevnik z zapisi o operacijah nad poslovnimi podatki;

30.

sistem za pomoč in prijavo napak je sistem ministrstva, ki vključuje klicni center, osebje za odziv ter informacijsko infrastrukturo za upravljanje napak in obvladovanje incidentov;

31.

storitev računalništva v javno dostopnem oblaku je digitalna storitev, ki omogoča dostop do prožnega in po obsegu prilagodljivega nabora deljivih računalniških virov in je dostopna preko interneta komurkoli, ki jo želi uporabiti ali kupiti;

32.

šifriranje je postopek, pri katerem se odkrito besedilo pretvori v zakrito z uporabo šifrirnega algoritma in šifrirnega ključa;

33.

škodljiva programska oprema so vsi zlonamerni programi, na primer virusi, črvi, stranska vrata, trojanski konji, vohunsko programje;

34.

tveganje je učinek negotovosti na zastavljene cilje;

35.

ugotavljanje tveganja je proces odkrivanja, prepoznavanja in opisovanja tveganj;

36.

uporabnik je oseba, ki uporablja računalniške ali omrežne storitve;

37.

varnostna kopija je po vsebini identičen prepis podatkov, izdelan zaradi njihovega zavarovanja pred izgubo, poškodovanjem ali uničenjem;

38.

varnostni razredi so ravni razvrščanja informacijskega premoženja in informacijskih sistemov glede na možni učinek na poslovanje organa, če bi se zgodil dogodek, ki bi ogrozil to informacijsko premoženje oziroma ta informacijski sistem;

39.

varnostni žeton je majhna naprava, ki jo ima imetnik pri sebi, da jo uporabi za overitev dostopa do omrežne storitve;

40.

zaupnost je lastnost, da informacije niso razpoložljive ali razkrite nepooblaščenim subjektom ali procesom.

II. UPRAVLJANJE INFORMACIJSKE VARNOSTI

1. Vloge in odgovornosti

3. člen

(odbor za upravljanje informacijske varnosti)

(1)

Odbor za upravljanje informacijske varnosti (v nadaljnjem besedilu: odbor) usklajuje aktivnosti na področju informacijske varnosti v državni upravi.

(2)

Člani odbora so predstavniki ministrstva, pristojnega za notranje zadeve, ministrstva, pristojnega za obrambo, ministrstva, pristojnega za zunanje zadeve, ministrstva, pristojnega za finance, ministrstva, pristojnega za javno upravo (v nadaljnjem besedilu: ministrstvo), ministrstva, pristojnega za pravosodje, Policije, Slovenske varnostno-obveščevalne agencije, Urada Vlade Republike Slovenije za varovanje tajnih podatkov in Uprave Republike Slovenije za informacijsko varnost. Predsednik odbora je predstavnik ministrstva.

(3)

Odbor imenuje vlada. Ministrstvo zagotavlja pogoje za delo odbora.

(4)

Naloge odbora so:

-

obravnava programov in projektov informacijske varnosti v državni upravi,

-

seznanitev z revizijskimi poročili o razmerah na področju informacijske varnosti v posameznih organih in povezanih subjektih,

-

obravnava poročil o dogodkih in incidentih informacijske varnosti, ki vplivajo ali bi lahko vplivali na več organov, in

-

poročanje o razmerah na področju informacijske varnosti v državni upravi vladi.

(5)

Odbor uredi način svojega dela s poslovnikom.

4. člen

(naloge ministrstva)

(1)

Ministrstvo izvaja na področju informacijske varnosti naloge, ki obsegajo:

-

izvajanje varnostnih pregledov in preizkusov informacijskih sistemov,

-

zagotavljanje varnega izbrisa ali uničenja nosilcev podatkov,

-

odzivanje na incidente informacijske varnosti v državni upravi,

-

opravljanje dinamičnih analiz tveganja in incidentov informacijske varnosti ter spremljanje razmer,

-

zagotavljanje usposabljanja in ozaveščanja na področju informacijske varnosti,

-

odobravanje oddaljenega dostopa do državnega komunikacijskega omrežja uporabnikom informacijskih naprav,

-

upravljanje sistema za pomoč in prijavo napak,

-

spremljanje incidentov v organih in povezanih subjektih,

-

zagotavljanje zgodnjega opozarjanja, obveščanja in razširjanja informacij o tveganjih in incidentih informacijske varnosti organom in povezanim subjektom ter

-

izmenjevanje informacij o incidentih informacijske varnosti s skupinami za odzivanje na incidente informacijske varnosti v državi in tujini.

(2)

Ministrstvo nalog od prve do pete alineje prejšnjega odstavka ne opravlja, če se nanašajo na informacijske sisteme s področja obrambe, varstva pred naravnimi in drugimi nesrečami, policije, obveščevalno-varnostne dejavnosti, preprečevanja in odkrivanja pranja denarja in financiranja terorizma ter opravljanja plačilnega prometa za proračunske uporabnike, razen v primerih, ko se ti sistemi povezujejo s centralnim komunikacijsko informacijskim sistemom državne uprave.

5. člen

(odgovorne osebe organa in povezanega subjekta)

(1)

Za informacijsko varnost znotraj organa je odgovoren predstojnik tega organa.

(2)

Za izvajanje posameznih ključnih nalog na področju informacijske varnosti znotraj organa predstojnik organa določi osebo, zadolženo za upravljanje sistema informacijske varnosti (v nadaljnjem besedilu: vodja informacijske varnosti).

(3)

Če ima organ lastne informacijske sisteme, predstojnik poleg vodje informacijske varnosti določi še:

-

osebe, odgovorne za pridobitev, razvoj, integracijo, spreminjanje, delovanje, vzdrževanje, varovanje in prenehanje uporabe posameznih informacijskih sistemov in za njihovo varovanje ter varovanje informacijskih premoženj, ki jih ti informacijski sistemi obravnavajo (v nadaljnjem besedilu: skrbnik informacijskega sistema), in

-

osebe, organizacijske enote ali organizacije, ki skrbijo za učinkovito nameščanje, konfiguriranje, integracijo, vzdrževanje in delovanje, ter izvajajo druge naloge operativnega upravljanja in varovanje posameznih informacijskih sistemov v skladu z navodili skrbnikov teh informacijskih sistemov, sprejetimi notranjimi akti organa, operativnimi navodili in sprejetimi standardi na področju informacijske varnosti (v nadaljnjem besedilu: upravljavec informacijskega sistema).

(4)

Predstojnik povezanega subjekta določi osebo, zadolženo za vprašanja informacijske varnosti (v nadaljnjem besedilu: koordinator informacijske varnosti), ki predstavlja kontaktno točko za vprašanja informacijske varnosti v povezanem subjektu.

(5)

Organi in povezani subjekti posredujejo imena in kontaktne podatke vodij in koordinatorjev informacijske varnosti ministrstvu.

6. člen

(vodja informacijske varnosti)
Vodja informacijske varnosti v posameznem organu je zadolžen za:

-

obravnavo dogodkov in incidentov informacijske varnosti,

-

preverjanje skladnosti delovanja organa s to uredbo, operativnimi navodili ter morebitnimi akti iz 16. člena te uredbe,

-

upravljanje ukrepov in postopkov varovanja informacij v informacijskih sistemih organa ter nadzor nad njimi,

-

sodelovanje pri usklajevanju poslovnih in varnostnih ciljev organa,

-

izvedbo ocenitve tveganj informacijske varnosti organa in upravljanje teh tveganj ter

-

redno poročanje predstojniku.

7. člen

(skrbnik informacijskega sistema)
Skrbnik informacijskega sistema, ki je praviloma poslovni uporabnik tega sistema, je zadolžen, da:

-

informacijski sistem in informacijsko premoženje, ki ga ta informacijski sistem obravnava, uvršča v varnostne razrede z vidika zaupnosti, celovitosti in razpoložljivosti,

-

določa stopnjo zaščite informacijskega sistema,

-

odloča o spremembah in dopolnitvah informacijskega sistema,

-

odloča, kdo in kako sme uporabljati storitve in informacije informacijskega sistema,

-

odloča o uvedbi, upravljanju in vzdrževanju priporočenih varnostnih nadzorstev ter

-

odobri prenos programske oziroma strojne opreme v obratovalno okolje.

8. člen

(upravljavec informacijskega sistema)
Upravljavec informacijskega sistema je zadolžen za:

-

uvedbo varnostnih nadzorstev v informacijski sistem, ki ga upravlja, in njihovo upravljanje v skladu z navodili skrbnika tega informacijskega sistema,

-

spremljanje informacijske varnosti v posameznih informacijskih sistemih in odzivanje na dogodke in incidente informacijske varnosti,

-

poročanje o dogodkih in incidentih informacijske varnosti v skladu z določbami o obvladovanju incidentov informacijske varnosti v tej uredbi in

-

sodelovanje v programih usposabljanja in ozaveščanja na področju informacijske varnosti.

2. Tveganja informacijske varnosti

9. člen

(ocenitev tveganj informacijske varnosti)

(1)

Organ na podlagi ocenitve tveganj informacijske varnosti uvede ustrezne ukrepe za preprečitev ali omilitev neželenih učinkov in zagotovi nenehno izboljševanje.

(2)

Organ izvaja ocenitve tveganj informacijske varnosti najmanj enkrat letno in kadar so predlagane ali nastanejo bistvene spremembe v informacijskih sistemih in delovnih procesih, pri čemer upošteva merila za sprejem tveganj in merila za izvajanje ocenitve tveganj informacijske varnosti.

(3)

Organ hrani dokumentirane informacije o ugotovitvah ocenitev tveganj in obravnave tveganj informacijske varnosti.

(4)

Na podlagi ugotovitev ocenitve tveganja organ vzpostavi nova ali prilagodi obstoječa upravljavska, operativna in tehnična nadzorstva.

(5)

Ocenitev tveganja se izvaja v skladu z enotno metodologijo upravljanja tveganj informacijske varnosti v državni upravi, ki se objavi na spletni strani ministrstva.

3. Popis in razvrščanje informacijskega premoženja in informacijskih sistemov

10. člen

(popis informacijskega premoženja in informacijskih sistemov)

(1)

Organ prepozna in popiše svoje informacijsko premoženje in informacijske sisteme.

(2)

Popis informacijskega premoženja in informacijskih sistemov mora biti natančen, ažuren in usklajen z drugimi popisi.

(3)

Vsakemu informacijskemu premoženju in informacijskemu sistemu se dodeli skrbnik.

(4)

Popis informacijskega premoženja in informacijskih sistemov se izvaja v skladu z enotno metodologijo popisovanja informacijskega premoženja in informacijskih sistemov v državni upravi, ki se objavi na spletni strani ministrstva.

11. člen

(razvrščanje, označevanje in zaščita informacijskega premoženja in informacijskih sistemov)

(1)

Organ zagotovi, da je njegovo informacijsko premoženje ustrezno zaščiteno v skladu z njegovim pomenom zanj, zato se informacijsko premoženje razvrsti v varnostne razrede glede na vrednost, pomembnost in občutljivost za nepooblaščeno razkritje, spreminjanje ali razpoložljivost.

(2)

Informacijske sisteme se razvrsti v varnostne razrede v skladu z razvrstitvijo informacijskih premoženj, ki jih ti sistemi hranijo, obdelujejo ali drugače obravnavajo oziroma ščitijo.

(3)

Razvrstitvena shema s poimenovanjem varnostnih razredov, merila za uvrščanje informacijskega premoženja in sistemov v posamezni varnostni razred ter postopki razvrščanja in označevanja so v prilogi, ki je sestavni del te uredbe.

4. Ozaveščanje in usposabljanje

12. člen

(programi ozaveščanja in usposabljanja)

(1)

Organi in povezani subjekti zagotavljajo, da se vsi njihovi uslužbenci vključujejo v programe ozaveščanja in usposabljanja s področja informacijske varnosti.

(2)

V programih ozaveščanja in usposabljanja se uslužbenci organa in povezanih subjektov:

-

seznanijo s svojimi vlogami in odgovornostmi na področju informacijske varnosti,

-

seznanijo z varnostnimi zahtevami in

-

naučijo izvajati svoje varnostne naloge.

(3)

Uslužbenci organa in povezanih subjektov, ki opravljajo naloge razvoja in upravljanja informacijskih sistemov, se poleg splošnih usposabljanj s področja informacijske varnosti usposabljajo tudi na specifičnih področjih informacijske varnosti glede na naloge, ki jih opravljajo.

(4)

Gradivo za osnovno usposabljanje in ozaveščanje na področju informacijske varnosti pripravlja in vzdržuje ministrstvo ter je na voljo za uporabo na ministrstvu in na spletni strani ministrstva.

5. Dokumentacija informacijske varnosti

13. člen

(obvezni dokumenti)
Organ, ki ima lastne informacijske sisteme, pripravi in sprejme naslednja dokumenta informacijske varnosti o upravljanju in izvajanju postopkov informacijske varnosti v organu:

-

operativna navodila in

-

načrt neprekinjenosti poslovanja in okrevanja po nenadnem dogodku, ki povzroči škodo večjih razsežnosti.

14. člen

(operativna navodila)

(1)

Za zagotovitev pravilnega in varnega izvajanja nalog upravljavcev in uporabnikov informacijskega sistema se izdelajo operativna navodila.

(2)

Operativna navodila vsebujejo opise postopkov za upravljanje, uporabo in varovanje informacijskega sistema.

(3)

Operativna navodila se izdelajo pred prenosom informacijskega sistema v obratovalno okolje in se jih da na voljo vsem uporabnikom, ki jih potrebujejo.

(4)

Operativna navodila se redno posodabljajo.

15. člen

(načrt neprekinjenosti poslovanja in okrevanja po nenadnem dogodku, ki povzroči škodo večjih razsežnosti)

(1)

Organ izdela, redno preverja in vzdržuje načrt neprekinjenosti poslovanja. Načrt neprekinjenosti poslovanja je zbirka postopkov in informacij, ki so pripravljene in vzdrževane tako, da se lahko uporabijo v izrednih razmerah. Načrt vsebuje najmanj:

-

opis vlog in odgovornosti uslužbencev organa v postopkih zagotavljanja neprekinjenosti poslovanja,

-

seznam ključnih poslovnih in podpornih funkcij in procesov,

-

oceno tveganja,

-

opis ukrepov za zagotavljanje neprekinjenosti poslovanja,

-

opis postopkov odziva v sili in logistike ter

-

opis postopkov okrevanja po nenadnem dogodku, ki povzroči škodo večjih razsežnosti.

(2)

Načrt neprekinjenosti poslovanja se preverja ob vsaki večji spremembi poslovanja in informacijskih sistemov oziroma najmanj enkrat letno ter se po potrebi dopolnjuje.

(3)

Upravljavci informacijskega sistema skupaj s skrbnikom in uporabniki informacijskega sistema redno izvajajo simulacije izpadov informacijskega sistema, njegovih delov ali posameznih delovnih postaj ter preverjajo zmožnost obnovitve.

(4)

O preverjanju načrta neprekinjenosti poslovanja se vodijo zapisi. O izsledkih se redno poroča predstojniku organa.

16. člen

(specifične potrebe informacijske varnosti)
Zaradi specifičnih potreb informacijske varnosti lahko organ sprejme akt, s katerim določi prilagoditve varnostnih zahtev po tej uredbi tem specifičnim potrebam.

6. Obvladovanje incidentov informacijske varnosti

17. člen

(postopki obvladovanja incidentov informacijske varnosti)
Organ in povezani subjekt vzpostavita postopke za:

-

spremljanje, zaznavanje, analiziranje in poročanje o dogodkih in incidentih informacijske varnosti,

-

beleženje aktivnosti obvladovanja incidentov in

-

odziv na incidente, vključno s postopki za stopnjevanje ukrepov informacijske varnosti, postopki za nadzorovano obnovo po incidentu in komunikacijo z notranjimi ali zunanjimi osebami ali organizacijami.

18. člen

(zaznava dogodkov in incidentov informacijske varnosti)

(1)

Organ in povezani subjekt vzpostavita postopke za zaznavo dogodkov in incidentov informacijske varnosti v informacijskem sistemu in delovnem okolju.

(2)

Kjer je mogoče in smiselno, se uvedejo samodejni sistemi za zaznavo, beleženje in analizo dogodkov in incidentov informacijske varnosti.

19. člen

(obveščanje in priglasitev dogodkov informacijske varnosti)

(1)

Uslužbenec organa oziroma povezanega subjekta nemudoma obvesti vodjo informacijske varnosti oziroma koordinatorja informacijske varnosti o dogodku informacijske varnosti, če zazna: