Professional Documents
Culture Documents
Pravilnik o Načinu I Rokovima Provedbe Mjera Zastite Sigurnosti I Cjelovitosti Mreza I Usluga-Nesluzbeni Procisceni Tekst
Pravilnik o Načinu I Rokovima Provedbe Mjera Zastite Sigurnosti I Cjelovitosti Mreza I Usluga-Nesluzbeni Procisceni Tekst
I. OPE ODREDBE
SADRAJ PRAVILNIKA
lanak 1.
POJMOVI I ZNAENJA
lanak 2.
se najee koristi kao platforma za slanje neeljene pote ili za napade uskraivanjem
usluge (denial of service attacks),
13. zlonamjerni kod ili aplikacija: programski kod s funkcijom nanoenja tete korisnicima
i/ili operatorima javnih komunikacijskih usluga koji je instaliran i aktivan na
terminalnoj opremi bez znanja korisnika,
14. zona ukradenih podataka (drop zone): informacijski sustav s funkcijom prikupljanja
ukradenih podataka.
lanak 3.
(2) U mjere pod stavkom 1. moraju biti ukljuene i procedure za upravljanje rizicima,
sigurnosni zahtjevi za osoblje, sigurnost sustava i prostora, upravljanje postupcima,
upravljanje sigurnosnim incidentima, upravljanje kontinuitetom poslovanja te nadzor i
testiranje sigurnosti.
(3) Popis minimalnih mjera iz stavka 1. i 2. ovog lanka i referentnih normi za njihovo
provoenje prikazan je u Dodatku 1.
(4) Osim navedenih referentnih normi iz Dodatka 1. operatori mogu primijeniti i druge
odgovarajue norme u svrhu ostvarivanja mjera iz ovog lanka.
(5) Operatori su obvezni elektronikim putem jednom godinje, najkasnije do kraja mjeseca
sijenja dostaviti Agenciji dokumentiranu sigurnosnu politiku za prethodnu godinu koja
obuhvaa poduzete mjere sigurnosti i pripadajue norme.
(7) Nadleno tijelo iz dodatka 5 ovog pravilnika moe prijaviti otkriveni incident operatoru,
ukoliko je isti u nadlenosti operatora. Operator je obvezan u tom sluaju postupati prema
reaktivnim mjerama iz dodatka 5 ovog pravilnika.
lanak 4.
(3) Operatori su obvezni osigurati Agenciji podatke za kontakt sukladno Dodatku 3 u svrhu
brze razmjene informacija o sigurnosnim incidentima izmeu operatora i Agencije, te pruiti
potrebne tehnike informacije Agenciji radi praenja sigurnosti i integriteta javnih
komunikacijskih mrea.
(5) Agencija moe zatraiti dopunu izvjea iz stavka 2 u svrhu praenja odreenog
sigurnosnog incidenta, kako bi se bolje razumjela priroda nastalog sigurnosnog incidenta.
lanak 5.
2. obavijestiti druge operatore o mjerama koje mogu biti poduzete od strane korisnika
javnih komunikacijskih usluga kako bi se uklonila prijetnja sigurnosnog incidenta,
koje se odnose na terminalnu opremu korisnika, navodei mogue trokove vezane uz
provoenje takvih mjera.
ZAVRNE ODREDBE
lanak 6.
Pravilnik o nainu i rokovima provedbe mjera zatite sigurnosti i cjelovitosti mrea i usluga
stupa na snagu est (6) mjeseci od dana objave u Narodnim novinama.
Ovaj Pravilnik stupa na snagu osmog (8) dana od dana objave u Narodnim novinama.
DODATAK 1
MINIMALNE MJERE SIGURNOSTI
DODATAK 2
SIGURNOSNI INCIDENTI VEZANI UZ INTERNET
Kompromitirani
informacijski sustav Kompromitirani informacijski sustav s uslugom distribucije
zlonamjernog koda putem internetskih stranica ili na druge
naine
Napadi uskraivanjem
Napadi uskraivanjem usluge na javne informacijske sustave,
usluge (denial of service
pojedine usluge ili mrenu infrastrukturu operatora
attacks)
KRITERIJI ZA IZVJEIVANJE
Minimalno
Minimum krajnjih
trajanje
Sigurnosni incidenti korisnika obuhvaenih
sigurnosnog
sigurnosnim incidentom
incidenta
pokretnoj mrei
Upravljako-kontrolni centar
Potrebno je prijaviti svaki upravljako-kontrolni centar
mree zaraenih raunala
neovisno o trajanju
(botnet)
Kompromitirani informacijski
Zlonamjerna funkcionalnost je aktivna due od 12 sati
sustav
Prijevara krivotvorenjem
internetskih stranica Zlonamjerna aktivnost je prisutna due od 8 sati
(phishing)
DODATAK 3
Potrebni
Popunjava operator
podaci
Naziv
operatora
Datum
podnoenja
izvjetaja
Datum i
vrijeme
nastanka/otkriv
anje
sigurnosnog
incidenta
Drugo ______________
Drugo:____________________________ __________________
Utjecaj na DA
hitne slube NE
Utjecaj na
meupoveziva
nje (u DA
tuzemstvu i NE
10
inozemstvu)
Sistemske greke
Ljudska greka
Prirodni fenomen
Kraa kabela
Poplava
Oluja
Prekid napajanja
Elektrini udar
Fiziki napad
Kibernetiki napad
Loa promjena
Loe odravanje
Preoptereenje
Proceduralna greka
Greka hardvera
Programska greka
Ljudska greka
Nita
Bez informacija
Drugo____________________________________
11
Poplava
Oluja
Prekid napajanja
Elektrini udar
Fiziki napad
Kibernetiki napad
Loa promjena
Loe odravanje
Preoptereenje
Proceduralna greka
Greka hardvera
Programska greka
Ljudska greka
Nita
Bez informacija
Drugo ____________________________________
12
Sustav hlaenja
Ulini kabineti
Bez informacija
Drugo______________________________________
Opis
sigurnosnog
incidenta
Rjeavanje
sigurnosnog
incidenta i opis
poduzetih
mjera (opis
aktivnosti koje
su poduzete
nakon otkria
incidenta za
rjeavanje
incidenta)
Mjere
poduzete
nakon
otklanjanja
sigurnosnog
13
incidenta (opis
poduzetih
aktivnosti od
strane
operatora za
smanjivanje
vjerojatnosti
ponavljanja
incidenta ili
utjecaja
incidenta)
Dugorone
mjere
Kontakt podaci
za praenje
procesa
Ostale vane
informacije
DODATAK 4
MINIMALNE PROAKTIVNE MJERE KOJE JE POTREBNO PROVODITI PRIJE
POJAVE SIGURNOSNIH INCIDENATA NA INTERNETU
DODATAK 5
15
16