• PREDPIS
  • RAZVELJAVLJEN

Pravilnik o varnostni dokumentaciji in varnostnih ukrepih izvajalcev bistvenih storitev

OBJAVLJENO V: Uradni list RS 32-1440/2019, stran 3898 DATUM OBJAVE: 17.5.2019

VELJAVNOST: od 1.6.2019 do 15.6.2021 / UPORABA: od 1.6.2019 do 6.2.2023

RS 32-1440/2019

Verzija 3 / 3

Čistopis se uporablja od 7.2.2023 do nadaljnjega. Status čistopisa na današnji dan, 15.2.2026: NEAKTUALEN.

Časovnica

Na današnji dan, 15.2.2026 je:

  • ČISTOPIS
  • NEAKTUALEN
  • UPORABA ČISTOPISA
  • OD 7.2.2023
    DO nadaljnjega
Format datuma: dan pika mesec pika leto, na primer 20.10.2025
  •  
  • Vplivi
  • Čistopisi
rev
fwd
1440. Pravilnik o varnostni dokumentaciji in varnostnih ukrepih izvajalcev bistvenih storitev
Na podlagi tretjega odstavka 12. člena Zakona o informacijski varnosti (Uradni list RS, št. 30/18) minister za javno upravo izdaja
P R A V I L N I K
o varnostni dokumentaciji in varnostnih ukrepih izvajalcev bistvenih storitev

I. SPLOŠNE DOLOČBE

1. člen

(vsebina)
Ta pravilnik podrobneje določa vsebino in strukturo varnostne dokumentacije, metodologijo za pripravo analize obvladovanja tveganj ter za določitev ključnih, krmilnih in nadzornih informacijskih sistemov in delov omrežja ter pripadajočih podatkov in minimalni obseg ter vsebino varnostnih ukrepov izvajalcev bistvenih storitev.

2. člen

(pomen izrazov)
Izrazi, uporabljeni v tem pravilniku, pomenijo:

1.

Celovitost je lastnost informacij, omrežij in informacijskih sistemov, da so točni in popolni.

2.

Neprekinjeno poslovanje so aktivnosti, ki so potrebne za ohranjanje poslovanja organizacije v času motenj ali prekinitev normalnega delovanja.

3.

Razpoložljivost je lastnost informacij, omrežij in informacijskih sistemov, da so dostopni in uporabni na pooblaščeno zahtevo.

4.

Sistem upravljanja neprekinjenega poslovanja je sistem upravljanja, ki temelji na strateški in taktični sposobnosti organizacije, da pripravi načrt za primere prekinitev in motenj pri poslovanju ter se na njih odzove z namenom zagotovitve storitev na sprejemljivi, vnaprej določeni ravni ter vključuje pripravo in uporabo načrtov obnovitve in ponovne vzpostavitve delovanja informacijskih sistemov (v nadaljnjem besedilu: SUNP).

5.

Sistem upravljanja varovanja informacij je sistem upravljanja, ki omogoča celovit in koordiniran pogled na informacijska varnostna tveganja organizacije ter zagotavlja vzpostavitev, vpeljavo, delovanje, spremljanje, pregledovanje, vzdrževanje in izboljševanje varnosti omrežij in informacijskih sistemov (v nadaljnjem besedilu: SUVI).

6.

Sredstvo je vsaka opredmetena ali neopredmetena stvar, ki ima vrednost za izvajalca bistvenih storitev (v nadaljnjem besedilu: IBS) in ki zato zahteva zaščito.

7.

Trajanje incidenta je časovno obdobje od prekinitve ustreznega zagotavljanja storitve v smislu razpoložljivosti, celovitosti ali zaupnosti do trenutka njene ponovne vzpostavitve.

8.

Uporabnik je fizična ali pravna oseba, ki uporablja posamezno bistveno storitev neposredno, posredno ali s posredovanjem oziroma je odvisna od nje.

9.

Zaupnost je lastnost, da informacije niso razpoložljive ali razkrite nepooblaščenim subjektom ali procesom.

II. VSEBINA IN STRUKTURA VARNOSTNE DOKUMENTACIJE

3. člen

(vsebina in struktura varnostne dokumentacije)

(1)

IBS vzpostavijo in vzdržujejo dokumentiran SUVI in SUNP, ki mora obsegati najmanj elemente iz prvega odstavka 12. člena Zakona o informacijski varnosti (Uradni list RS, št. 30/18).

(2)

Varnostno dokumentacijo iz prejšnjega odstavka podpiše zakoniti zastopnik IBS.

(3)

Če ima IBS za zagotavljanje varnosti svojih omrežij in informacijskih sistemov že izdelano varnostno dokumentacijo na podlagi drugih predpisov, jo vsebinsko dopolni v skladu s tem pravilnikom.

4. člen

(analiza obvladovanja tveganj)
Analiza obvladovanja tveganj z oceno sprejemljive ravni tveganj (v nadaljnjem besedilu: analiza obvladovanj tveganj) obsega najmanj:

1.

navedbo sredstev znotraj SUVI in upravljavce teh sredstev,

2.

navedbo potencialnih groženj tem sredstvom,

3.

navedbo ranljivosti sredstev iz 1. točke tega člena, ki bi jih lahko grožnje iz prejšnje točke prizadele,

4.

navedbo vpliva uresničitve groženj iz 2. točke tega člena na razpoložljivost, celovitost in zaupnost sredstev iz 1. točke tega člena zaradi ranljivosti iz prejšnje točke,

5.

oceno vpliva na opravljanje bistvenih storitev v primeru kršitve informacijske varnosti zaradi izgube razpoložljivosti, celovitosti ali zaupnosti,

6.

realistično oceno verjetnosti, da pride do kršitve informacijske varnosti,

7.

ovrednotenje ravni tveganj in

8.

določitev sprejemljive ravni tveganj.

5. člen

(politika neprekinjenega poslovanja)
Politika neprekinjenega poslovanja z načrtom njegovega upravljanja (v nadaljnjem besedilu: politika neprekinjenega poslovanja) obsega najmanj:

1.

navedbo postopkov neprekinjenega poslovanja, ki se jo izdela na podlagi popisa poslovnih procesov,

2.

oceno vpliva na poslovanje, ki zajema navedbo možnih dogodkov in incidentov, ki vplivajo na neprekinjeno poslovanje, vključno zaradi odpovedi informacijskih sistemov, pomanjkanja zaposlenih, izpada posamezne lokacije znotraj IBS in odpovedi storitev pogodbenih izvajalcev,