Temeljem lanka 12. stavka 1. toke 1. i lanka 99.

Zakona o elektronikim komunikacijama

(Narodne novine br. 73/08, 90/11, 133/12 i 80/13) Vijee Hrvatske agencije za potu i
elektronike komunikacije donosi

PRAVILNIK O NAINU I ROKOVIMA PROVEDBE MJERA

ZATITE SIGURNOSTI I CJELOVITOSTI MREA I USLUGA

- neslubeni proieni tekst -

I. OPE ODREDBE

SADRAJ PRAVILNIKA

lanak 1.

Ovim Pravilnikom propisuju se nain i rokovi u kojima operatori javnih komunikacijskih

mrea moraju poduzimati sve odgovarajue mjere kako bi zajamili cjelovitost svojih mrea,
u svrhu osiguravanja neprekinutog obavljanja usluga koje se pruaju putem tih mrea, te
ureuje nain izvjeivanja Agencije od strane operatora javnih komunikacijskih mrea i
elektronikih komunikacijskih usluga o povredi sigurnosti ili gubitku cjelovitosti od
znaajnog utjecaja na rad njihovih mrea ili obavljanje njihovih usluga.

Ovaj Pravilnik usklaen je s odredbom lanka 13.a Direktive 2002/21/EC Europskog

parlamenta i Vijea o zajednikom regulatornom okviru za elektronike komunikacijske
mree i usluge koja je izmijenjena i dopunjena Direktivom 2009/140/EC.

POJMOVI I ZNAENJA

lanak 2.

(1) U smislu ovog Pravilnika pojedini pojmovi imaju sljedee znaenje:

 1. elektroniki podaci: podaci u obliku pogodnom za obradu putem informacijskog

sustava,
2. hrvatski internetski prostor: informacijski sustavi koji su u adresnom prostoru
hrvatskih operatora koji pruaju uslugu pristupa internetu,
3. informacijski sustav: komunikacijski, raunalni ili drugi elektroniki sustav u kojem se
podaci obrauju, pohranjuju ili prenose, tako da budu dostupni i upotrebljivi za
ovlatene korisnike,
4. integritet (cjelovitost) mree: skup tehnikih zahtjeva za procese, rad i izmjene u
elektronikoj komunikacijskoj mrei, u svrhu osiguravanja nesmetane uporabe
meusobno povezanih elektronikih komunikacijskih mrea, kao i pristupa tim
mreama te cjelovitosti podataka pohranjenih u elektronikoj komunikacijskoj
mrei,
5. kompromitirani informacijski sustav: posluitelj nad kojim tree osobe imaju
djelominu ili potpunu kontrolu koju najee ostvaruju iskoritavanjem ranjivosti
sustava,
6. krivotvorenje elektronikih podataka: ilegalno unitavanje, oteivanje, brisanje,
mijenjanje i/ili zamjena elektronikih podataka s drugim elektronikim podacima,
7. nedozvoljeno koritenje informacijskog sustava: ilegalno koritenje resursa
informacijskog sustava i/ili neovlateno povezivanje s informacijskim sustavom,
8. preuzimanje kontrole (brute force): pokuaj preuzimanja kontrole nad
informacijskim sustavom pogaanjem identifikacijskih, odnosno autorizacijskih
podataka korisnika koji su ovlateni za pristup informacijskom sustavu,
9. prijevara krivotvorenjem internetskih stranica (phishing): oblik prijevare na
internetu koja se najee izvodi na kompromitiranom informacijskom sustavu
krivotvorenjem internetskih stranica raznih institucija, putem elektronikih poruka i na
druge naine,
10. sigurnosni incident: dogaaj koji moe uzrokovati naruavanje sigurnosti i/ili gubitak
integriteta mree koji moe utjecati na rad elektronikih komunikacijskih mrea i/ili
usluga,
11. upravljako-kontrolni centar mree zaraenih raunala (botnet): informacijski
sustav s kojeg je mogue upravljati mreom zaraenih raunala (botnet),
12. mrea zaraenih raunala (botnet): vea skupina zaraenih korisnikih raunala na
kojima je aktivan zlonamjeran kod kojom upravlja upravljako-kontrolni centar, a koja
2

 se najee koristi kao platforma za slanje neeljene pote ili za napade uskraivanjem
usluge (denial of service attacks),
13. zlonamjerni kod ili aplikacija: programski kod s funkcijom nanoenja tete korisnicima
i/ili operatorima javnih komunikacijskih usluga koji je instaliran i aktivan na
terminalnoj opremi bez znanja korisnika,
14. zona ukradenih podataka (drop zone): informacijski sustav s funkcijom prikupljanja
ukradenih podataka.

MJERE ZA ZATITU SIGURNOSTI I INTEGRITETA MREA I USLUGA

lanak 3.

(1) Operatori su obvezni provesti odgovarajue tehnike i ustrojstvene mjere za osiguranje

sigurnosti i integriteta svojih javnih komunikacijskih mrea i/ili usluga. Te mjere moraju
osigurati neprekidno pruanje javnih komunikacijskih usluga putem mrea, kao i stupanj
sigurnosti, odgovarajui na prijetnje i sprjeavajui sigurnosne incidente ili ublaavajui
njihov utjecaj na rad javne komunikacijske mree, mreno povezivanje kao i/ili na javne
komunikacijske usluge korisnika.

(2) U mjere pod stavkom 1. moraju biti ukljuene i procedure za upravljanje rizicima,
sigurnosni zahtjevi za osoblje, sigurnost sustava i prostora, upravljanje postupcima,
upravljanje sigurnosnim incidentima, upravljanje kontinuitetom poslovanja te nadzor i
testiranje sigurnosti.

(3) Popis minimalnih mjera iz stavka 1. i 2. ovog lanka i referentnih normi za njihovo
provoenje prikazan je u Dodatku 1.

(4) Osim navedenih referentnih normi iz Dodatka 1. operatori mogu primijeniti i druge
odgovarajue norme u svrhu ostvarivanja mjera iz ovog lanka.

(5) Operatori su obvezni elektronikim putem jednom godinje, najkasnije do kraja mjeseca
sijenja dostaviti Agenciji dokumentiranu sigurnosnu politiku za prethodnu godinu koja
obuhvaa poduzete mjere sigurnosti i pripadajue norme.

(6) Operatori su obvezni kontinuirano provoditi minimalne proaktivne mjere na internetu

definirane u Dodatku 4 kako bi se smanjila mogunost pojave incidenta te se pridravati
3

 reaktivnih mjera definiranih u Dodatku 5 koje su potrebne za rjeenje pojedinog

incidenta.

(7) Nadleno tijelo iz dodatka 5 ovog pravilnika moe prijaviti otkriveni incident operatoru,
ukoliko je isti u nadlenosti operatora. Operator je obvezan u tom sluaju postupati prema
reaktivnim mjerama iz dodatka 5 ovog pravilnika.

(NN br. 33/13., 20.3.2013. izmjena stavaka 2. i 3. u lanku 3.)

OBAVJETAVANJE AGENCIJE O SIGURNOSNIM INCIDENTIMA

lanak 4.

(1) Operatori su obvezni obavijestiti Agenciju:

1. u sluaju neovlatenog povezivanja s javnom komunikacijskom mreom ili dijelom

mree te u sluaju krenja sigurnosti ili integriteta javnih komunikacijskih usluga,
koji su znaajnije utjecali na obavljanje djelatnosti javnih komunikacijskih mrea
i/ili usluga sukladno kriterijima za izvjeivanje iz Dodatka 2.,

2. u sluaju pojave sigurnosnih incidenata vezanih uz internet sukladno kriterijima za

izvjeivanje iz Dodatka 2., uzimajui u obzir da se isti odnose na posluiteljske
sustave operatora koji pruaju usluge smjetaja informacijskog sadraja i servisa
(hosting services), vlastite javne usluge te na korisnike sustave za koje je
operator zaprimio prijavu o sigurnosnom incidentu.

(2) O sigurnosnim incidentima iz stavka 1. operatori moraju obavijestiti Agenciju bez

odgode, im su podaci dostupni, i to putem obrasca propisanog u Dodatku 3. ovog
Pravilnika:

1. u roku od najvie 1 sat nakon ispunjavanja kriterija za izvjeivanje, odnosno isteka

minimalnog trajanja sigurnosnog incidenta iz Dodatka 2,

2. u roku od najvie 1 sat nakon otklanjanja sigurnosnog incidenta,

3. u roku od najvie 20 dana od dana otklanjanja sigurnosnog incidenta.

(3) Operatori su obvezni osigurati Agenciji podatke za kontakt sukladno Dodatku 3 u svrhu
brze razmjene informacija o sigurnosnim incidentima izmeu operatora i Agencije, te pruiti
potrebne tehnike informacije Agenciji radi praenja sigurnosti i integriteta javnih
komunikacijskih mrea.

(4) Sve obavijesti o sigurnosnim incidentima moraju se dostavljati Agenciji upotrebom

protokola za siguran prijenos podataka ili u ifriranom obliku elektronikim putem na adresu
elektronike pote incidenti@hakom.hr ili na drugi prikladan nain sukladno obrascu iz
Dodatka 3.

(5) Agencija moe zatraiti dopunu izvjea iz stavka 2 u svrhu praenja odreenog
sigurnosnog incidenta, kako bi se bolje razumjela priroda nastalog sigurnosnog incidenta.

(6) Operator moe obavijestiti Agenciju i o drugim, po miljenju operatora, vanim

sigurnosnim incidentima koji se odnose na sigurnost i integritet javnih komunikacijskih mrea
i/ili usluga, a koji nisu obuhvaeni sigurnosnim incidentima iz stavka 1.

OBAVJETAVANJE DRUGIH SUBJEKATA O SIGURNOSNIM INCIDENTIMA

lanak 5.

(1) Operatori su obvezni :

1. odmah obavijestiti korisnike javnih komunikacijskih usluga o znaajnijem prekidu

pruanja javnih komunikacijskih mrea i/ili usluga, sukladno kriterijima za
izvjeivanje iz Dodatka 2,

2. obavijestiti druge operatore o mjerama koje mogu biti poduzete od strane korisnika
javnih komunikacijskih usluga kako bi se uklonila prijetnja sigurnosnog incidenta,
koje se odnose na terminalnu opremu korisnika, navodei mogue trokove vezane uz
provoenje takvih mjera.

ZAVRNE ODREDBE
lanak 6.

Pravilnik o nainu i rokovima provedbe mjera zatite sigurnosti i cjelovitosti mrea i usluga
stupa na snagu est (6) mjeseci od dana objave u Narodnim novinama.

PRIJELAZNE I ZAVRNE ODREDBE PRAVILNIKA

O IZMJENI PRAVILNIKA O NAINU I ROKOVIMA PROVEDBE MJERA ZATITE
SIGURNOSTI I CJELOVITOSTI MREA I USLUGA
(NN br. 126/13)

Ovaj Pravilnik stupa na snagu osmog (8) dana od dana objave u Narodnim novinama.

DODATAK 1
MINIMALNE MJERE SIGURNOSTI

Minimalne mjere sigurnosti Referentne norme Opis

ISO 27005 opisuje procedure za

upravljanje rizicima. ISO 27002 u
poglavlju 5. opisuje politiku
informacijske sigurnosti, procedure
Procedure za upravljanje ISO 27001/2 i ISO za upravljanje rizicima i kontrolu
rizicima 27005 treih strana (dobavljae usluga
(hardvera i softvera)), kao to su
sigurnosni zahtjevi i postupak
nabave za nadogradnju ili
kupovinu informacijskog sustava.

ISO 27001/2 u poglavlju 8. opisuje

sigurnosne provjere osoblja,
Sigurnosni zahtjevi za sigurnosne uloge i odgovornosti,
ISO 27001/2
osoblje sigurnosno znanje i
osposobljavanje te promjene
osoblja.

ISO 27001 u poglavlju 9. opisuje

Sigurnost sustava i prostora ISO 27001/2 fiziku sigurnost prostora, IT
opreme i kontrolu okoline.

 ISO 27001 u poglavlju 10. opisuje

operativne procedure, uloge,
Upravljanje postupcima ISO 27001/2
klasifikaciju, kontrolu pristupa i
kontrolu promjene.

ISO 27002 u poglavlju 13. opisuje

Upravljanje sigurnosnim
ISO 27001/2 upravljanje sigurnosnim
incidentima
incidentima

Upravljanje kontinuitetom ISO 22301 opisuje upravljanje

ISO 22301
poslovanja kontinuitetom poslovanja

Nadzor je opisan u poglavlju 10.

ISO 27001/2, dok su testiranje
Nadzor i testiranje sigurnosti ISO 27001/2 sigurnosti, usklaenost nadzora i
obavjetavanje opisani u poglavlju
15. ISO 27001/2.

DODATAK 2
SIGURNOSNI INCIDENTI VEZANI UZ INTERNET

Sigurnosni incidenti Opis sigurnosnih incidenata

Upravljako-kontrolni Uspostavljanje upravljako-kontrolnog centara mree zaraenih

centar mree zaraenih raunala (botnet) na informacijskom sustavu. Informacijski
raunala (botnet) sustav moe biti kompromitiran ili nekompromitiran.

Informacijski sustav s funkcijom prikupljanja ukradenih

podataka, odnosno zona ukradenih podataka (drop zone).
Informacijski sustav moe biti kompromitiran ili
nekompromitiran

Kompromitirani
informacijski sustav Kompromitirani informacijski sustav s uslugom distribucije
zlonamjernog koda putem internetskih stranica ili na druge
naine

Kompromitirani informacijski sustav s krivotvorenim stranicama

za krau osobnih ili drugih podataka, odnosno prijevara
krivotvorenjem internetskih stranica (phishing)

 Neovlateni pokuaji koritenja usluga na informacijskim

Nedozvoljene mrene
sustavima pogaanjem identifikacijskih korisnikih podataka
aktivnosti
preuzimanjem kontrole (brute force)

Napadi uskraivanjem
Napadi uskraivanjem usluge na javne informacijske sustave,
usluge (denial of service
pojedine usluge ili mrenu infrastrukturu operatora
attacks)

Korisnika raunala u Sudjelovanje zaraenog korisnikog raunala u hrvatskom

sustavu mree zaraenih adresnom prostoru operatora koji prua uslugu pristupa internetu
raunala (botnet) u ulozi lana mree zaraenih raunala (botnet)

Neovlatene promjene stranica i ostali sigurnosni incidenti

Ostali sigurnosni incidenti
vezani uz kompromitirane informacijske sustave

KRITERIJI ZA IZVJEIVANJE

Minimalno
Minimum krajnjih
trajanje
Sigurnosni incidenti korisnika obuhvaenih
sigurnosnog
sigurnosnim incidentom
incidenta

Mreno onemoguavanje, primanja,

ostvarivanja ili tonog usmjeravanja
1 korisnik neovisno o trajanju
poziva prema hitnim slubama (npr. 112,
193)

Onemoguena govorna usluga u

80 000 korisnika 4 sata
nepokretnoj mrei

Onemoguena govorna usluga u

240 000 korisnika 1 sat
nepokretnoj mrei

Onemoguena govorna usluga u

255 000 korisnika 4 sata
pokretnoj mrei

Onemoguena govorna usluga u 765 000 korisnika 1 sat

 pokretnoj mrei

Onemoguena usluga pristupa internetu 60 000 korisnika 4 sata

Onemoguena usluga pristupa internetu 180 000 korisnika 1 sat

(NN br. 126/13., 16.10.2013. izmjena u Dodatku 2. briu se sigurnosni incidenti

Onemoguena SMS usluga u pokretnoj mrei i Onemoguena usluga elektronike pote )

KRITERIJI ZA IZVJEIVANJE SIGURNOSNIH INCIDENATA VEZANIH UZ

INTERNET

Sigurnosni incidenti Minimalno trajanje sigurnosnog incidenta

Upravljako-kontrolni centar
Potrebno je prijaviti svaki upravljako-kontrolni centar
mree zaraenih raunala
neovisno o trajanju
(botnet)

Kompromitirani informacijski
Zlonamjerna funkcionalnost je aktivna due od 12 sati
sustav

Prijevara krivotvorenjem
internetskih stranica Zlonamjerna aktivnost je prisutna due od 8 sati
(phishing)

Potrebno je prijaviti svaki sluaj uspjenog

Nedozvoljene mrene aktivnosti kompromitiranja informacijskog sustava neovisno o
trajanju

Potrebno je prijaviti napade na terminalnu opremu

Napadi uskraivanjem usluge korisnika koji traju due od 30 minuta, a neovisno o
(denial of service attacks) trajanju napade na infrastrukturu operatora koji prua
uslugu pristupa internetu

Korisnika raunala u sustavu

Potrebno je jednom mjeseno prijaviti prosjean broj
mree zaraenih raunala
zaraenih raunala za prethodni mjesec
(botnet)

Ostali sigurnosni incidenti Prijava po procjeni operatora davatelja usluga

DODATAK 3

PREDLOAK ZA IZVJEIVANJE SIGURNOSNIH INCIDENATA

Potrebni
Popunjava operator
podaci

Naziv

operatora

Datum
podnoenja
izvjetaja

Datum i
vrijeme
nastanka/otkriv
anje
sigurnosnog
incidenta

Nepokretna telefonija: PSTN DSL OPTIKA KABELSKA DRUGO___

Vrsta usluge
koju obuhvaa Nepokretni Internet: DSL OPTIKA KABELSKA DRUGO _________

sigurnosni Pokretna telefonija: GSM UMTS LTE DRUGO _______________

incident
Pokretni Internet: GPRS/EDGE UMTS LTE DRUGO ___________

Drugo ______________

TRAJANJE BROJ OBUHVAENIH KORISNIKA

Vrijeme Nepokretna telefonija: _______________ _________________

trajanja
Nepokretni internet:_________________ _________________
sigurnosnog
incidentaibroj Pokretna telefonija:__________________ _________________
obuhvaenih
korisnika Pokretni internet:___________________ __________________

Drugo:____________________________ __________________

Utjecaj na DA
hitne slube NE

Utjecaj na
meupoveziva
nje (u DA
tuzemstvu i NE
10

inozemstvu)

Sistemske greke

Ljudska greka

Izvorni uzrok Zlonamjerne radnje

Prirodni fenomen

Greka tree strane

Poetni uzrok Presjek kabela

Kraa kabela

Poplava

Obilne snjene padaline

Oluja

Prekid napajanja

Elektrini udar

Fiziki napad

Kibernetiki napad

Loa promjena

Loe odravanje

Preoptereenje

Iscrpljene zalihe goriva

Proceduralna greka

Greka hardvera

Programska greka

Ljudska greka

Nita

Bez informacija

Drugo____________________________________
11

Posljedini Presjek kabela

uzrok
Kraa kabela

Poplava

Obilne snjene padaline

Oluja

Prekid napajanja

Elektrini udar

Fiziki napad

Kibernetiki napad

Loa promjena

Loe odravanje

Preoptereenje

Iscrpljene zalihe goriva

Proceduralna greka

Greka hardvera

Programska greka

Ljudska greka

Nita

Bez informacija

Drugo ____________________________________

Imovina Bazne stanice i upravljaki sklopovi (npr. BTS, NodeB, RNC)

obuhvaena
poetnim Mobilno prospajanje (npr. MSC, VLR, SGSN, GGSN)
uzrokom Korisniki i lokacijski registri (npr. HLR, HSS, AuC)

Prospojnici (npr. lokalne centrale, usmjerivai, DSLAM)

Prijenosni vorovi (npr. SDH, WDM)

Jezgrena mrea (npr. svjetlovodna jezgra, agregacijska mrea)

12

 Meukonekcije (npr. IXPs, IP transit)

Sustav napajanja (npr. transformatori, mrea napajanja)

Rezervno napajanje (npr. dizel generatori, baterije)

Sustav hlaenja

Ulini kabineti

Centar za razmjenu poruka

Prospojni centar (npr. MSC, VLR)

Internacionalna temeljna mrea (npr. podvodni kabeli, internetske

toke razmjene, internacionalne meukonekcije)

Adresni serveri (DHCP, DNS)

Mrena okosnica operatora (backbone) (npr. svjetlovodna, bakrena)

Podruna mrea (npr. svjetlovodna)

Bez informacija

Drugo______________________________________

Opis
sigurnosnog
incidenta

Rjeavanje
sigurnosnog
incidenta i opis
poduzetih
mjera (opis
aktivnosti koje
su poduzete
nakon otkria
incidenta za
rjeavanje
incidenta)

Mjere
poduzete
nakon
otklanjanja
sigurnosnog

13

incidenta (opis
poduzetih
aktivnosti od
strane
operatora za
smanjivanje
vjerojatnosti
ponavljanja
incidenta ili
utjecaja
incidenta)

Dugorone

mjere

Kontakt podaci
za praenje
procesa

Ostale vane
informacije

(NN br. 126/13., 16.10.2013. izmijenjen Dodatak 3.)

DODATAK 4
MINIMALNE PROAKTIVNE MJERE KOJE JE POTREBNO PROVODITI PRIJE
POJAVE SIGURNOSNIH INCIDENATA NA INTERNETU

Sigurnosni incidenti Proaktivna mjera

Upravljako-kontrolni centar 1. Redovno informiranje krajnjih korisnika na

mree zaraenih raunala vidnom mjestu o nainima zaraze i ulozi
(botnet) upravljako-kontrolnog centra mree zaraenih
raunala (botnet)
Kompromitirani informacijski 1. Kontinuirano aurirati operativni sustav i
sustav instalirane aplikacije koje su u vlasnitvu
operatora i za koje korisnik nema
administratorske ovlasti
2. Onemoguiti sve mrene usluge koje nisu
neophodne za rad informacijskog sustava
14


Nedozvoljene mrene aktivnosti
Napadi uskraivanjem usluge
(denial of service attacks)
Korisnika raunala u sustavu
mree zaraenih raunala
(botnet)
DODATAK 5
MINIMALNE REAKTIVNE MJERE KOJE JE POTREBNO PROVODITI NAKON
POJAVE SIGURNOSNIH INCIDENATA NA I NTERNETU
Tip sigurnosnog incidenta
Upravljako-kontrolni centar mree
zaraenih raunala (botnet)
3. Operator mora redovito informirati korisnika,
koji je vlasnik virtualnog privatnog sustava, o
potrebi provoenja mjera navedenih u tokama 1
i 2 na informacijskim sustavima na kojima
korisnik ima administratorske ovlasti
4. Opcionalno implementirati tehnike mjere za
zatitu web sjedita od moguih kompromitacija
WAF (Web Application Firewall) i/ili IPS
(Intrusion Prevention System) za zatitu svih
usluga
1. Implementacija mjera zatite od automatiziranog
napada pogaanjem lozinki
1. Implementacija tehnikih mjera za mjerenje i
analizu strukture i anomalija prometa u mrei
2. Razraen plan o nainima filtriranja zloudnog
prometa pri napadima uskraivanjem usluge
1. Redovno informiranje krajnjih korisnika na
vidnom mjestu o nainima zaraze, ulozi mree
zaraenih raunala (botnet) i nainima zatite
od zaraze zloudnim kodom
Reaktivna mjera
1. U suradnji sa nadlenim tijelom sukladno
vaeem Zakonu o informacijskoj sigurnosti
analizirati i ukloniti kontrolno-upravljaki centar
15

Kompromitirani 1. Ukloniti zlonamjernu aplikaciju i po potrebi u

informacijski sustav skladu sa Zakonom o informacijskoj sigurnosti u
suradnji s nadlenim tijelom analizirati
kompromitirani sustav i zlonamjernu aplikaciju.

1. U sluaju uspjenog napada, odnosno pogoenih

Nedozvoljene mrene aktivnosti korisnikih identifikacijskih podataka, postupak je
isti kao kod grupe incidenata
Kompromitirani informacijski sustav

1. Analizirati strukturu malicioznog prometa

2. Ovisno o rezultatu analize strukture

malicioznog prometa, poduzeti mogue mjere za
Napadi uskraivanjem usluge (denial
filtriranje prometa
of service attacks)
3. Po potrebi zatraiti od nadlenog tijela sukladno
vaeem Zakonu o informacijskoj sigurnosti
koordinaciju sa nadlenim tijelima u drugim
dravama

Korisnika raunala u sustavu mree

1. Informirati korisnike o postojanju i tipu zaraze na
zaraenih raunala (botnet)
njihovom raunalu

16