• PREDPIS
  • RAZVELJAVLJEN

Uredba o varnostni dokumentaciji in varnostnih ukrepih organov državne uprave

OBJAVLJENO V: Uradni list RS 98-2741/2023, stran 7905 DATUM OBJAVE: 15.9.2023

VELJAVNOST: od 30.9.2023 do 18.6.2025 / UPORABA: od 30.9.2023 do 18.6.2025

RS 98-2741/2023

Verzija 2 / 2

Čistopis se uporablja od 19.6.2025 do nadaljnjega. Status čistopisa na današnji dan, 15.2.2026: NEAKTUALEN.

Časovnica

Na današnji dan, 15.2.2026 je:

  • ČISTOPIS
  • NEAKTUALEN
  • UPORABA ČISTOPISA
  • OD 19.6.2025
    DO nadaljnjega
Format datuma: dan pika mesec pika leto, na primer 20.10.2025
  •  
  • Vplivi
  • Čistopisi
rev
fwd
2741. Uredba o varnostni dokumentaciji in varnostnih ukrepih organov državne uprave
Na podlagi tretjega odstavka 17. člena Zakona o informacijski varnosti (Uradni list RS, št. 30/18, 95/21, 130/22 – ZEKom-2, 18/23 – ZDU-1O in 49/23) Vlada Republike Slovenije izdaja
U R E D B O
o varnostni dokumentaciji in varnostnih ukrepih organov državne uprave

I. SPLOŠNE DOLOČBE

1. člen

(vsebina)
Ta uredba podrobneje določa vsebino in strukturo varnostne dokumentacije, metodologiji za pripravo analize obvladovanja tveganj ter za določitev ključnih, krmilnih in nadzornih informacijskih sistemov in delov omrežja in pripadajočih podatkov ter minimalni obseg in vsebino varnostnih ukrepov organov državne uprave.

2. člen

(pomen izrazov)
Izrazi, uporabljeni v tej uredbi, pomenijo:

1.

Celovitost je lastnost informacij, omrežij in informacijskih sistemov, da so točni in popolni.

2.

Kazalnik zlorabe je kazalnik, ki da informacijo o lastnostih zlorabe omrežij oziroma informacijskih sistemov organov državne uprave (v nadaljnjem besedilu: ODU).

3.

Ključni, krmilni in nadzorni informacijski sistemi in deli omrežja ter pripadajoči podatki so informacijski sistemi in deli omrežja ter pripadajoči podatki ODU, ki so bistvenega pomena za delovanje storitev ODU.

4.

Neprekinjeno poslovanje so aktivnosti, ki so potrebne za ohranjanje poslovanja organizacije v času motenj ali prekinitev normalnega delovanja.

5.

Razpoložljivost je lastnost informacij, omrežij in informacijskih sistemov, da so dostopni in uporabni na pooblaščeno zahtevo.

6.

Sistem upravljanja neprekinjenega poslovanja (v nadaljnjem besedilu: SUNP) je sistem upravljanja, ki temelji na strateški in taktični sposobnosti organizacije, da pripravi načrt za primere prekinitev in motenj pri poslovanju ter se nanje odzove z namenom zagotovitve storitev na sprejemljivi, vnaprej določeni ravni, ter vključuje pripravo in uporabo načrtov obnovitve in ponovne vzpostavitve delovanja informacijskih sistemov.

7.

Sistem upravljanja varovanja informacij (v nadaljnjem besedilu: SUVI) je sistem upravljanja, ki omogoča celovit in koordiniran pogled na informacijska varnostna tveganja organizacije ter zagotavlja vzpostavitev, vpeljavo, delovanje, spremljanje, pregledovanje, vzdrževanje in izboljševanje varnosti omrežij in informacijskih sistemov.

8.

Sredstvo je vsaka opredmetena ali neopredmetena stvar, ki ima vrednost za ODU in zato zahteva zaščito.

9.

Trajanje incidenta je časovno obdobje od prekinitve ustreznega zagotavljanja storitve v smislu zaupnosti, celovitosti ali razpoložljivosti do trenutka njene ponovne vzpostavitve.

10.

Uporabnik je fizična ali pravna oseba, ki uporablja posamezno storitev ODU neposredno, posredno ali s posredovanjem oziroma je odvisna od nje.

11.

Zaupnost je lastnost, da informacije niso razpoložljive ali razkrite nepooblaščenim subjektom ali procesom.

II. VSEBINA IN STRUKTURA VARNOSTNE DOKUMENTACIJE

3. člen

(vsebina in struktura varnostne dokumentacije)

(1)

ODU vzpostavijo in vzdržujejo dokumentirana SUVI in SUNP, ki morata zajemati najmanj elemente iz prvega odstavka 17. člena Zakona o informacijski varnosti (Uradni list RS, št. 30/18, 95/21, 130/22 – ZEKom-2, 18/23 – ZDU-1O in 49/23).

(2)

Varnostno dokumentacijo iz prejšnjega odstavka tega člena podpiše predstojnik ODU.

(3)

Če ima ODU za zagotavljanje varnosti svojih omrežij in informacijskih sistemov že izdelano varnostno dokumentacijo na podlagi drugih predpisov, jo vsebinsko dopolni v skladu s to uredbo.

4. člen

(analiza obvladovanja tveganj)
Analiza obvladovanja tveganj z določitvijo sprejemljive ravni tveganj (v nadaljnjem besedilu: analiza obvladovanja tveganj) zajema najmanj:

1.

navedbo uporabljene metodologije za izvedbo analize obvladovanja tveganj, ki mora biti primerljiva, verodostojna in ponovljiva v skladu s pravili stroke,

2.

navedbo sredstev znotraj SUVI in upravljavce teh sredstev oziroma odgovorne osebe za ta sredstva,

3.

navedbo možnih groženj tem sredstvom,

4.

navedbo ranljivosti sredstev iz 2. točke tega člena, ki bi jih grožnje iz prejšnje točke lahko prizadele,

5.

navedbo vpliva uresničitve groženj iz 3. točke tega člena na zaupnost, celovitost in razpoložljivost sredstev iz 2. točke tega člena zaradi ranljivosti iz prejšnje točke,

6.

oceno vpliva na opravljanje storitev ODU v primeru kršitve informacijske varnosti zaradi izgube zaupnosti, celovitosti ali razpoložljivosti,

7.

oceno verjetnosti, da nastane kršitev informacijske varnosti,

8.

ovrednotenje ravni tveganj,

9.

določitev in obrazložitev sprejemljive ravni tveganj,

10.

navedbo ukrepov za odpravo ali zmanjšanje tveganj nad sprejemljivo ravnjo.

5. člen

(politika neprekinjenega poslovanja)
Politika neprekinjenega poslovanja z načrtom njegovega upravljanja zajema najmanj:

1.

navedbo ciljev in načel za zagotavljanje neprekinjenega poslovanja ob upoštevanju posebnosti ODU,

2.

navedbo postopkov neprekinjenega poslovanja, ki se izdelajo na podlagi popisa poslovnih procesov,