Splošni akt o varnosti omrežij in storitev

2774. Splošni akt o varnosti omrežij in storitev

Na podlagi 86. člena Zakona o elektronskih komunikacijah (Uradni list RS, št. 109/12) izdaja direktor Agencije za pošto in elektronske komunikacije Republike Slovenije

S P L O Š N I A K T
o varnosti omrežij in storitev

I. SPLOŠNE DOLOČBE

1. člen

(vsebina)

Ta splošni akt določa organizacijske ukrepe, ki jih morajo sprejeti operaterji za ustrezno zagotavljanje varnosti omrežij in storitev ter celovitosti omrežij.

2. člen

(pomen izrazov)

(1)

Izrazi, uporabljeni v tem splošnem aktu, imajo naslednji pomen:

1.

Agencija je neodvisen regulativni organ, katere pristojnosti, organizacija in delovanje določa Zakon o elektronskih komunikacijah (Uradni list RS, št. 109/12, v nadaljevanju: ZEKom-1).

2.

SI-CERT je nacionalni odzivni center za omrežne incidente, ki deluje v okviru javnega zavoda Akademska in raziskovalna mreža Slovenije (ARNES).

3.

Sistem upravljanja varovanja informacij (v nadaljevanju: SUVI) je tisti del celotnega sistema upravljanja, ki temelji na pristopu poslovnega tveganja in zagotavlja vzpostavitev, vpeljavo, delovanje, spremljanje, pregledovanje, vzdrževanje in izboljševanje varnosti omrežij.

4.

Sistem upravljanja neprekinjenega poslovanja (v nadaljevanju: SUNP) je tisti del celotnega sistema upravljanja, ki temelji na strateški in taktični sposobnost operaterja, da pripravi načrt za primere incidentov in motenj pri poslovanju ter se nanje odzove, da lahko zagotovi neprekinjeno izvajanje storitev prek svojega omrežja na sprejemljivi vnaprej določeni ravni.

5.

Varnost omrežja in storitev je zmožnost javnega komunikacijskega omrežja, da z določeno stopnjo gotovosti prepreči naključne dogodke ali zlonamerna dejanja, ki ogrožajo zaupnost, verodostojnost, celovitost ali razpoložljivost shranjenih ali prenesenih podatkov ter s tem povezanih javno dostopnih komunikacijskih storitev, ki jih ponujajo ta omrežja in ali so prek njih dostopne.

6.

Celovitost omrežja je zmožnost omrežja, da z veliko verjetnostjo zagotovi neprekinjeno izvajanje storitev prek teh omrežij v primeru incidentov.

7.

Sredstvo je vse, kar ima določeno vrednost za operaterja, za njegovo dejavnost ali izvajanje storitev.

8.

Incident je eden ali več neželenih ali nepričakovanih dogodkov, za katere je zelo verjetno, da bodo ogrozili varnost omrežij in storitev ali celovitost omrežja.

9.

Grožnja je možen vzrok za incident, ki lahko povzroči škodo sredstvu, omrežju ali operaterju.

10.

Ranljivost je šibka točka sredstva ali skupine sredstev, ki jo je mogoče izrabiti z eno ali več grožnjami.

11.

Analiza varnostnih tveganj je sistematična uporaba informacij za prepoznavanje virov groženj in ranljivosti sredstev ter ocenjevanje tveganj za varnost omrežij in storitev.

12.

Analiza vpliva na poslovanje je sistematična uporaba informacij za prepoznavanje virov groženj in ranljivosti sredstev ter ocenjevanje tveganj za neprekinjeno izvajanje storitev.

13.

Obravnava tveganj je proces izbora in vpeljave ukrepov za zmanjševanje tveganj.

14.

Preostalo tveganje je tveganje, ki ostane po obravnavi tveganj.

15.

Dokumentiran postopek pomeni, da je postopek zapisan.

16.

Vodstveni pregled je dokumentiran pregled, ki ga vodstvo opravi najmanj enkrat letno, da zagotovi ustreznost in učinkovitost SUVI in SUNP.

(2)

Ostali pojmi, uporabljeni v tem splošnem aktu, imajo enak pomen, kot je določen v ZEKom-1.

3. člen

(dokumentacija)

(1)

Operater mora vzpostaviti in vzdrževati dokumentiran SUVI in SUNP, ki mora obsegati najmanj:

-

varnostno politiko in politiko neprekinjenega poslovanja,

-

obseg in meje SUVI ter SUNP,

-

navodilo za izvajanje analize in obravnave varnostnih tveganj,

-

navodilo za izvajanje analize vpliva na poslovanje in obravnave tveganj za neprekinjeno poslovanje,

-

varnostni načrt,

-

načrt za zagotavljanje celovitosti omrežja,

-

zapise o incidentih, notranjih presojah in vodstvenih pregledih SUVI in SUNP.

(2)

Za dokumente iz prvega odstavka tega člena mora operater vzpostaviti dokumentiran sistem, ki bo zagotavljal:

-

odobritev dokumentov, preden so objavljeni,

-

pregledovanje in dopolnjevanje dokumentov,

-

uporabo najnovejših verzij ustreznih dokumentov in

-

da bodo dokumenti na razpolago tistim, ki jih potrebujejo.