|
|
|
|
|
|
|
|
1858
Na temelju članka 4. stavka 2. Zakona o Upisniku sudskih i javnobilježničkih osiguranja tražbina vjerovnika na pokretnim stvarima i pravima (»Narodne novine« broj 121/05., u daljnjem tekstu: Zakon), ministar nadležan za poslove pravosuđa donosi
I. OPĆE ODREDBE
Članak 1.
Ovim Pravilnikom uređuju se posebni standardi i tehnike zaštite poslovnih procesa, informacija, aplikacija i računarskog sustava kojima se Služba upisa koristi za obavljanje poslova određenih Zakonom i Pravilnikom o obliku i sadržaju Upisnika te unutarnjem ustrojstvu i radu Službe upisa.
Članak 2.
Za zaštitu računarskog sustava i podataka koji se vode u Službi upisa odgovarajuće se primjenjuju odrednice Nacionalnog programa informacijske sigurnosti u Republici Hrvatskoj kojeg je donijela Vlada Republike Hrvatske na 74. sjednici održanoj 31. ožujka 2005. i opći akti Financijske agencije (u nastavku: FINA) kojima se određuje zaštita računarskog sustava i podataka FINA-e.
Članak 3.
Zaštitom računarskog sustava i podataka koji se vode u Službi upisa mora se osigurati:
a) povjerljivost (osiguranje da je informacija dostupna samo onima koji imaju ovlašteni pristup istoj),
b) integritet (zaštita postojanja, točnosti i kompletnosti informacije kao i procesnih metoda) i
c) raspoloživost (osiguranje da autorizirani korisnici imaju mogućnost pristupa informaciji i pripadajućim sredstvima kada se usluga zahtijeva) informacija koje se obrađuju u Službi upisa.
II. ORGANIZACIJA SIGURNOSTI
Članak 4.
Predsjednik Uprave FINA-e imenovat će:
– koordinatora informacijske sigurnosti Službe upisa;
– vlasnike poslovnih procesa, informacija, aplikacija i računarskog sustava Službe upisa, u smislu sigurnosti i
– članove Povjerenstva za postupanje po incidentu, u koje se obavezno imenuju: koordinator za sigurnost Službe upisa, odgovorna osoba za poslovni proces upisa, predstavnik organizacijske jedinice FINA-e nadležne za računarske sustave i predstavnik organizacijske jedinice FINA-e nadležne za razvoj aplikacija.
Članak 5.
Koordinator informacijske sigurnosti Službe upisa odgovoran je za zaštitu računarskog sustava i podataka koji se vode u Službi upisa i izrađuje Plan sigurnosti računarskog sustava Službe upisa, koji mora uključivati prosudbu sigurnosnih zahtjeva, prosudbu rizika i određivanje standardnih i posebnih sigurnosnih mjera, te plan implementacije sigurnosnih mjera.
Članak 6.
Vlasnik poslovnih procesa, informacija, aplikacija i računarskog sustava Službe upisa, u smislu sigurnosti, određuje uvjete i pravo pristupa informacijama odnosno pravo korištenja aplikacija i računarskog sustava.
Članak 7.
Povjerenstvo za postupanje po incidentu odgovorno je za izradu upute za postupanje po incidentu i njezino usklađivanje s relevantnim promjenama računarskog sustava ili poslovnog procesa.
Članak 8.
Svi zaposlenici Službe upisa moraju proći obuku o sigurnosti, koja obvezno uključuje osnovne odredbe ovog Pravilnika, principe individualne odgovornosti, odgovornosti korisnika za sigurnost računarskog sustava i podataka, zaštitu korisničke zaporke te postupanje i izvješćivanje o sigurnosnim incidentima.
Članak 9.
(1) Za sve osobe koje obavljaju odgovorne funkcije u Službi upisa moraju se, u skladu s općim aktima FINA-e, za vrijeme njihove odsutnosti s radnog mjesta (godišnji odmor, bolovanje i dr.) odrediti odgovarajuće zamjene.
(2) Uputama i raspoloživom dokumentacijom mora se osigurati neometani nastavak rada.
III. UPRAVLJANJE RAČUNARSKIM SUSTAVOM
Članak 10.
(1) Prije nabave nove opreme i softvera obvezno se izrađuje specifikacija zahtjeva kojom se, osim tehničkih i poslovnih karakteristika, određuju i sigurnosni zahtjevi.
(2) Pri nabavi mora se uzeti u obzir mogućnost integracije s postojećom ili planiranom informatičkom infrastrukturom.
Članak 11.
(1) Prije implementacije u proizvodnu okolinu novi softver i oprema moraju biti testirani izvan proizvodne okoline, te, u skladu s rezultatima, odobreni.
(2) Postupak testiranja i odobravanja mora biti usuglašen između Službe upisa i organizacijske jedinice nadležne za računarski sustav odnosno organizacijske jedinice nadležne za razvoj aplikacija.
(3) Oprema i softver koji nisu odobreni ne smiju biti implementirani u proizvodnu okolinu.
Članak 12.
(1) Aktivnosti na održavanju sustava moraju se bilježiti prema vremenu, vrsti i sadržaju.
(2) Odobrena prava pristupa za izvođenje tih aktivnosti moraju biti ograničena na potreban minimum i odmah se, po završetku aktivnosti, moraju ukinuti.
(3) Radovi na sustavu moraju se pravodobno najaviti odgovornoj osobi.
(4) Nakon obavljenih aktivnosti obvezno je ponovno testirati funkcionalnost sustava.
Članak 13.
(1) Obvezna je redovna kontrola funkcionalnosti računarskog sustava, provođenja sigurnosnih mjera i pridržavanja odredbi ovog Pravilnika.
(2) Događaji koji su relevantni za sigurnost moraju se automatski bilježiti i redovito provjeravati.
Članak 14.
(1) Razmjena informacija mora se provoditi odgovarajućim načinom prijenosa u skladu s njihovom klasifikacijom.
(2) Povjerljive informacije ili nosioci podataka mogu se razmjenjivati isključivo ako je osigurana zaštita povjerljivosti.
(3) Ako se oprema predaje izvan prostorija FINA-e, sve povjerljive informacije moraju se izbrisati ako je to moguće.
(4) Prije zbrinjavanja se elektronički nosioci podataka koji sadrže povjerljive informacije moraju na siguran način obrisati.
IV. SIGURNOSNE MJERE
Članak 15.
(1) Sve komponente računarskog sustava i aplikacije moraju se pažljivo konfigurirati i zaštititi.
(2) Ključne točke tijekom konfiguracije i postavljanja zaštite moraju se odgovarajuće dokumentirati.
(3) Zgrade i poslovne prostorije u kojima se nalaze komponente računarskog sustava moraju biti odgovarajuće zaštićene od nastanka štetnih događaja koje uzrokuju nepažnja, namjera ili viša sila.
Kontrola pristupa
Članak 16.
(1) Poslovne prostorije i računarski sustav moraju biti kontrolirani i zaštićeni od neovlaštena pristupa.
(2) Za svakog zaposlenika u Službi upisa moraju se odrediti prava ulaska u poslovne prostorije i prava pristupa računarskom sustavu i informacijama.
(3) Sva prava pristupa moraju biti određena u skladu sa zahtjevima poslovnog procesa.
Članak 17.
(1) Pristup administratora računarskom sustavu mora biti posebno određen, a korisnički račun i zaporka kojima se koristi moraju se pohraniti na sigurnome mjestu.
(2) Zamjeniku administratora dodjeljuju se poseban korisnički račun i zaporka.
(3) Posjetitelji, osobe za održavanje sustava i druge strane osobe mogu se kretati u zaštićenom području isključivo uz odgovarajuću pratnju.
Članak 18.
(1) Prostori u kojima se obrađuju povjerljive informacije moraju biti pod posebnom zaštitom. Samo određene, imenovane osobe s odobrenim pravom imaju pristup tim prostorima.
(2) Računarski sustavi u prostorijama za stranke moraju se zaštititi od neovlaštena pristupa i uvida u informacije.
Kriptografska zaštita
Članak 19.
U svrhu zaštite informacija kriptiranjem koristi se tehnologija koja je propisana općima aktima FINA-e.
Članak 20.
(1) Povjerljive i druge sigurnosnorelevantne informacije moraju se pohranjivati kriptirane.
(2) Ako se pohrane kao čitljive, pri mrežnom pristupu moraju biti zaštićene kriptiranjem.
Članak 21.
Informacije s visokim zahtjevima sigurnosti s obzirom na povjerljivost, integritet ili identifikaciju pošiljatelja, koje se prenose internetom ili elektroničkom poštom, moraju se zaštititi kriptiranjem i digitalnim potpisom.
Antivirusna zaštita
Članak 22.
(1) U sve sustave mora biti instalirana antivirusna zaštita.
(2) Obvezna je redovita nadogradnja softvera i definicija štetnog koda.
Sigurnosne kopije
Članak 23.
(1) Služba upisa dužna je osigurati redovito dnevno kopiranje podataka i njihovo čuvanje na prikladnim medijima.
(2) Sigurnosne kopije moraju se čuvati na lokaciji različitoj od mjesta na kojem se nalazi Upisnik sudskih i javnobilježničkih osiguranja tražbina vjerovnika na pokretnim stvarima i pravima.
Arhiviranje
Članak 24.
(1) Arhivirani podaci moraju se čuvati i zaštititi od neovlaštena pristupa i mogućih gubitaka u zapisu.
(2) Služba upisa mora redovito provoditi postupke provjere i osvježavanja zapisa na medijima radi očuvanja čitkosti i ispravnosti zapisa.
Plan kontinuiteta poslovanja
Članak 25.
Služba upisa obvezna je izraditi plan kontinuiteta poslovanja. Plan kontinuiteta poslovanja mora osigurati pravodoban oporavak sustava i nastavak rada.
Komunikacije
Članak 26.
Sve informacije koje se prenose elektronički (telefaks, telefon, internet i dr.) moraju se zaštititi u skladu s njihovom klasifikacijom. Pri tome treba uzeti u obzir sigurnosnorelevantne tehničke specifičnosti.
Udaljeni pristup
Članak 27.
Udaljeni pristup na internu mrežu nije dopušten i mora biti ograničen isključivo na izdvojenu mrežu namijenjenu tom načinu pristupa.
V. ZAVRŠNE ODREDBE
Članak 28.
Predsjednik Uprave FINA-e donijet će odluke o imenovanju osoba iz članka 4. ovog Pravilnika u roku od osam dana od dana njegova stupanja na snagu.
Članak 29.
Ovaj Pravilnik stupa na snagu danom objave u »Narodnim novinama«.
Klasa: 023-01/06-01/12
Urbroj: 514-03-05/3-05-2
Zagreb, 27. travnja 2006.
Ministrica
Ana Lovrin, v. r.
|
|
|
Link na brzi pregled poslovnih i internet usluga |