Splošni akt o tajnosti, zaupnosti in varnosti...

5762. Splošni akt o tajnosti, zaupnosti in varnosti elektronskih komunikacij ter hrambi in zavarovanju hranjenih podatkov

Na podlagi tretjega in četrtega odstavka 117. člena Zakona o elektronskih komunikacijah (Uradni list RS, št. 13/07 – UPB1 in 102/07 – ZDRad) direktor Agencije za pošto in elektronske komunikacije Republike Slovenije izdaja

S P L O Š N I A K T
o tajnosti, zaupnosti in varnosti elektronskih komunikacij ter hrambi in zavarovanju hranjenih podatkov

I. SPLOŠNE DOLOČBE

1. člen

(vsebina)

(1)

Ta splošni akt natančneje določa organizacijske ukrepe, s katerimi operaterji zagotavljajo tajnost, zaupnost in varnost elektronskih komunikacij iz 102. člena Zakona o elektronskih komunikacijah (Uradni list RS, št. 13/07 – uradno prečiščeno besedilo in 102/07 – ZDRad; v nadaljnjem besedilu: ZEKom) in zaščitijo hranjene podatke pred uničenjem izgubo ali spremembo in nepooblaščenimi ali nezakonitimi oblikami hrambe, obdelave, dostopa ali razkritja iz 107.c člena ZEKom.

(2)

Zahteve tega splošnega akta veljajo za operaterje izvajalce storitev in za druge operaterje ali pogodbene tretje stranke, ki skupaj z operaterjem vzdržujejo Sistem za upravljanje varovanja informacij.

2. člen

(pojmi)

(1)

Pojmi uporabljeni v tem splošnem aktu imajo naslednji pomen:

1.

Varnost omrežij in informacijskih sistemov je zmožnost omrežja ali informacijskega sistema, da z določeno stopnjo gotovosti prepreči naključne dogodke ali zlonamerna dejanja, ki ogrožajo zaupnost, verodostojnost, celovitost ali razpoložljivost shranjenih ali prenesenih podatkov ter s tem povezanih storitev, ki jih ponujajo ta omrežja in sistemi ali so prek njih dostopne.

2.

Sredstvo je vse, kar ima določeno vrednost za organizacijo.

3.

Sistem za upravljanje varovanja informacij (v nadaljnjem besedilu: SUVI) je tisti del celotnega sistema upravljanja, ki temelji na pristopu poslovnega tveganja in zagotavlja vzpostavitev, vpeljavo, delovanje, spremljanje, pregledovanje, vzdrževanje in izboljševanje varovanja informacij. SUVI vključuje strukturo organizacije, politike, dejavnost načrtovanja, odgovornosti, postopke, procese in sredstva.

4.

Incident je eden ali več neželenih dogodkov, za katere je zelo verjetno, da bodo ogrozili poslovanje organizacije. Za incidente se štejejo naravne katastrofe, vojna ali izredna stanja, izpadi električne energije, teroristična dejanja, zlonamerna dejanja posameznikov ali organizacij, okvare na elementih omrežja oziroma informacijskega sistema, človeške napake, delavske stavke itd.

5.

Grožnja je možen vzrok incidenta, ki lahko povzroči škodo sredstvu, sistemu ali organizaciji.

6.

Ranljivost je slabost sredstva ali skupine sredstev, ki jih lahko izrabi ena ali več groženj.

7.

Obravnava tveganja je proces izbora in vpeljave ukrepov za zmanjševanje tveganja.

8.

Preostalo tveganje je tveganje, ki ostane po obravnavi tveganja.

9.

Analiza tveganja je sistematična uporaba informacij za prepoznavanje virov groženj, ranljivosti sredstev in ocenjevanje tveganja.

10.

Lastnik sredstva je posameznik ali oseba, ki mu je vodstvo odobrilo odgovornost za nadzorovanje, razvoj, vzdrževanje, uporabo in varovanja sredstva. Izraz »lastnik« ne pomeni, da ima kakršne koli lastninske pravice v zvezi s tem sredstvom.

11.

Varnostna politika je dokument s katerim vodstvo uradno izrazi splošen namen in usmeritev SUVI ter določi cilje in načela za ukrepanje pri varovanju informacij.

12.

Dokumentiran postopek pomeni, da je postopek zapisan.

13.

Vodstveni pregled je dokumentiran pregled, ki ga vodstvo opravi najmanj enkrat letno, da zagotovi ustreznost in učinkovitost SUVI.

14.

Hranjeni podatki so podatki, ki so določeni v 107.b členu ZEKom in obsegajo podatke o prometu in lokaciji ter povezane podatke, potrebne za določitev posameznika.

15.

Obdelava podatkov je obdelava osebnih podatkov skladno z opredelitvijo iz 3. točke 6. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo; ZVOP-1).

(2)

Ostali pojmi uporabljeni v tem splošnem aktu imajo enak pomen, kot je določen v ZEKom.

3. člen

(dokumentacija)

(1)

Dokumentacija SUVI mora obsegati najmanj:

1.

varnostno politiko,

2.

obseg in meje SUVI,