NACRT ZAKONA O INFORMACIONOJ BEZBEDNOSTI
NACRT ZAKONA O INFORMACIONOJ BEZBEDNOSTI
I. OSNOVNE ODREDBE
Predmet uređivanja
Član 1.
Ovim zakonom se uređuju mere zaštite od bezbednosnih rizika u informaciono-komunikacionim sistemima, odgovornosti pravnih lica prilikom upravljanja i korišćenja informaciono-komunikacionih sistema i određuju se nadležni organi za sprovođenje mera zaštite, koordinaciju između činilaca zaštite i praćenje pravilne primene propisanih mera zaštite.
Značenje pojedinih termina
Član 2.
Pojedini termini u smislu ovog zakona imaju sledeće značenje:
1) informaciono-komunikacioni sistem (IKT sistem) može biti:
(1) elektronska komunikaciona mreža u smislu zakona koji uređuje elektronske komunikacije;
(2) uređaj ili grupa međusobno povezanih uređaja, takav da se u okviru tog uređaja, odnosno u okviru barem jednog iz te grupe uređaja, vrši automatska obrada podataka u skladu sa računarskim programom;
(3) računarski podaci koji se pohranjuju, obrađuju, pretražuju ili prenose pomoću sredstava iz podtačaka (1) i (2) ove tačke, a u svrhu njihovog rada, upotrebe, zaštite ili održavanja;
2) rukovalac IKT sistema je organ javne vlasti ili organizaciona jedinica organa javne vlasti, odnosno pravno lice odgovorno za rad IKT sistema;
3) informaciona bezbednost predstavlja skup mera koje omogućavaju da IKT sistem zaštiti tajnost, integritet, raspoloživost, autentičnost i neporecivost podataka kojima se rukuje putem tog sistema, da bi taj sistem funkcionisao kako je predviđeno, kada je predviđeno i pod kontrolom ovlašćenih lica;
4) tajnost je način postupanja sa podatkom koji obezbeđuje da tokom obrade i čuvanja nije postao dostupan neovlašćenim licima;
5) integritet znači očuvanost izvornog sadržaja i kompletnosti podatka;
6) raspoloživost je svojstvo podatka koje znači da se podatkom upravlja na način koji obezbeđuje da je podatak dostupan i upotrebljiv na zahtev ovlašćenih lica onda kada im je potreban;
7) autentičnost je svojstvo podatka koje znači da se podatkom upravlja na način koji omogućava proveru i potvrdu da je podatak stvorio ili poslao onaj za koga je deklarisano da je naznačenu operaciju izvršio;
8) neporecivost predstavlja sposobnost dokazivanja da se dogodila određena radnja ili da je nastupio određeni događaj, tako da ga naknadno nije moguće poreći;
9) rizik znači mogućnost narušavanja informacione bezbednosti, odnosno mogućnost narušavanja tajnosti, integriteta, raspoloživosti, autentičnosti ili neporecivosti podataka ili narušavanja ispravnog funkcionisanja IKT sistema;
10) upravljanje rizikom je sistematičan skup mera koji uključuje planiranje, organizovanje i usmeravanje aktivnosti kako bi se obezbedilo da rizici ostanu u propisanim i prihvatljivim okvirima;
11) incident je svaka okolnost ili događaj kojim se ostvaruje nepovoljan efekat na informacionu bezbednost;
12) mere zaštite IKT sistema su tehničke i organizacione mere za upravljanje bezbednosnim rizicima IKT sistema;
13) tajni podatak znači tajni podatak u smislu propisa kojima se uređuje oblast zaštite tajnih podataka;
14) IKT sistem za rad sa tajnim podacima je IKT sistem koji je u skladu sa zakonom određen za rad sa tajnim podacima;
15) organ javne vlasti je državni organ, organ teritorijalne autonomije, organ jedinice lokalne samouprave, organizacija kojoj je povereno vršenje javnih ovlašćenja, pravno lice koje osniva državni organ, organ teritorijalne autonomije ili lokalne samouprave, kao i pravno lice koje se pretežno, odnosno u celini finansira iz budžeta;
16) služba bezbednosti je služba bezbednosti u smislu zakona kojim se uređuju osnove bezbednosno-obaveštajnog sistema Republike Srbije;
17) samostalni rukovaoci IKT sistema su ministarstvo nadležno za poslove odbrane, ministarstvo nadležno za unutrašnje poslove, ministarstvo nadležno za spoljne poslove i službe bezbednosti;
18) kompromitujuće elektromagnetno zračenje (KEMZ) predstavlja nenamerne elektromagnetne emisije prilikom prenosa, obrade ili čuvanja podataka, čijim prijemom I analizom se može otkriti sadržaj tih podataka;
19) kriptobezbednost je komponenta informacione bezbednosti koja obuhvata kriptozaštitu, upravljanje kriptomaterijalima i razvoj metoda kriptozaštite.
20) kriptozaštita je primena metoda, mera i postupaka radi transformisanja podataka u oblik koji ih za određeno vreme ili trajno čini nedostupnim neovlašćenim licima;
21) kriptografski proizvod je softver ili uređaj putem koga se vrši kriptozaštita;
22) kriptomaterijali su kriptografski proizvodi, podaci, tehnička dokumentacija kriptografskih proizvoda, kao i odgovarajući kriptografski ključevi;
23) bezbednosna zona je zona u smislu propisa kojima se uređuje oblast zaštite tajnih podataka;
24) informaciona dobra obuhvataju podatke u datotekama i bazama podataka, programski kôd, konfiguraciju hardverskih komponenata, tehničku i korisničku dokumentaciju, unutrašnje opšte akte, procedure i slično.
Načela
Član 3.
Prilikom planiranja i primene mera zaštite IKT sistema treba se rukovoditi načelima:
1) načelo upravljanja rizikom – izbor i nivo primene mera se zasniva na proceni rizika, potrebi za prevencijom rizika i otklanjanja posledica rizika koji se ostvario, uključujući sve vrste vanrednih okolnosti;
2) načelo celovite zaštite – mere se primenjuju na svim organizacionim, fizičkim i tehničko-tehnološkim nivoima, kao i tokom celokupnog životnog ciklusa IKT sistema;
3) načelo stručnosti i dobre prakse – mere se primenjuju u skladu sa stručnim i naučnim saznanjima i iskustvima u oblasti informacione bezbednosti;
4) načelo svesti i osposobljenosti – sva lica koja svojim postupcima efektivno ili potencijalno utiču na informacionu bezbednost treba da budu svesna rizika i poseduju odgovarajuća znanja i veštine.
Nadležni organ
Član 4.
Organ državne uprave nadležan za bezbednost IKT sistema je ministarstvo nadležno za poslove informacionog društva (u daljem tekstu: Nadležni organ).
Telo za koordinaciju poslova informacione bezbednosti
Član 5.
U cilju ostvarivanja saradnje i usklađenog obavljanja poslova u funkciji unapređenja informacione bezbednosti, kao i iniciranja i praćenja preventivnih i drugih aktivnosti u oblasti informacione bezbednosti Vlada obrazuje Telo za koordinaciju poslova informacione bezbednosti (u daljem tekstu: Telo za koordinaciju), kao koordinaciono telo Vlade, u čiji sastav ulaze predstavnici ministarstva nadležnih za poslove informacionog društva, odbrane, unutrašnjih poslova, spoljnih poslova, pravde, predstavnici službi bezbednosti, Kancelarije Saveta za nacionalnu bezbednost i zaštitu tajnih podataka, Generalnog sekretarijata Vlade, Uprave za zajedničke poslove republičkih organa i Nacionalnog CERT-a.
Aktom Vlade bliže se uređuje organizacija i način rada Tela za koordinaciju i obrazuju se stručne radne grupe za potrebe Tela za koordinaciju.
Odgovornost za bezbednost IKT sistema
Član 6.
Rukovaoci svih IKT sistema u Republici Srbiji odgovorni su za preduzimanje odgovarajućih mera zaštite IKT sistema kojima se obezbeđuje prevencija od nastanka incidenata, odnosno prevencija i minimizacija štete od incidenata koji ugrožavaju vršenje nadležnosti i obavljanje delatnosti, a posebno u okviru pružanja usluga drugim licima.
Bliže uslove za mere iz stava 1. ovog člana uređuje Vlada na predlog Nadležnog organa, uvažavajući međunarodne standarde i standarde koji se primenjuju u odgovarajućim oblastima rada.
Obaveza dostavljanja podataka
Član 7.
Na zahtev bezbednosnih službi i ministarstva nadležnog za unutrašnje poslove, rukovalac IKT sistema je dužan da stavi na raspolaganje podatke od značaja za informacionu bezbednost, koji su službama bezbednosti i ministarstvu nadležnom za unutrašnje poslove potrebni pri obavljanju poslova iz njihove nadležnosti u skladu sa zakonom.
II. BEZBEDNOST IKT SISTEMA OD POSEBNOG ZNAČAJA
IKT sistemi od posebnog značaja
Član 8.
IKT sistemi od posebnog značaja su sistemi koji se koriste u:
1) obavljanju poslova u organima javne vlasti;
2) obavljanju delatnosti od opšteg interesa;
3) obavljanju poslova finansijskih institucija;
4) obavljanju poslova u zdravstvenoj zaštiti;
5) obavljanju delatnosti pružanja usluga informacionog društva kojima se omogućavaju druge usluge informacionog društva.
Vlada, na predlog ministarstva nadležnog za poslove informacionog društva, bliže uređuje listu poslova i delatnosti iz stava 1. ovog člana.
Mere zaštite IKT sistema od posebnog značaja
Član 9.
Rukovaoci IKT sistema od posebnog značaja dužni su da preduzimaju odgovarajuće mere zaštite IKT sistema.
Merama zaštite IKT sistema se obezbeđuje prevencija od nastanka incidenata, odnosno prevencija i minimizacija štete od incidenata koji ugrožavaju vršenje nadležnosti i obavljanje delatnosti, a posebno u okviru pružanja usluga drugim licima.
Bliže uslove za mere iz stava 1. ovog člana uređuje Vlada na predlog Nadležnog organa, uvažavajući međunarodne standarde i standarde koji se primenjuju u odgovarajućim oblastima rada.
Akt o bezbednosti IKT sistema od posebnog značaja
Član 10.
Rukovalac IKT sistema od posebnog značaja dužan je da donese akt o bezbednosti IKT sistema.
Akt o bezbednosti IKT sistema određuje mere zaštite IKT sistema, a naročito principe, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti ovog sistema, kao i ovlašćenja i odgovornosti u vezi sa ovom bezbednošću i resursima tog sistema.
Akt o bezbednosti IKT sistema mora da bude usklađen s promenama u okruženju i u samom IKT sistemu.
Rukovalac IKT sistema od posebnog značaja dužan je da vrši internu proveru IKT sistema najmanje jednom godišnje i o tome sačini izveštaj.
Bliže uslove za sadržaj akta o bezbednosti IKT sistema, način interne provere IKT sistema i sadržaj izveštaja o internoj proveri IKT sistema uređuje Vlada na predlog Nadležnog organa.
Poveravanje aktivnosti u vezi sa IKT sistemom od posebnog značaja trećim licima
Član 11.
Rukovalac IKT sistema od posebnog značaja može poveriti aktivnosti u vezi sa IKT sistemom trećim licima, u kom slučaju je obavezan da uredi odnos sa tim licima na način koji obezbeđuje preduzimanje mera zaštite tog IKT sistema u skladu sa zakonom.
Aktivnostima iz stava 1. ovog člana (u daljem tekstu: poverene aktivnosti) smatraju se sve aktivnosti koje uključuju obradu, čuvanje, odnosno mogućnost pristupa podacima kojima raspolaže rukovalac IKT sistema od posebnog značaja, a odnose se na njegovo poslovanje, kao i aktivnosti razvoja, odnosno održavanja softverskih i hardverskih komponenti od kojih neposredno zavisi njegovo ispravno postupanje prilikom vršenja poslova iz nadležnosti, odnosno pružanja usluga.
Pod trećim licem iz stava 1. ovog člana smatra se i privredni subjekat koji je imovinskim i upravljačkim odnosima (lica sa učešćem, članice grupe društava kojoj taj privredni subjekt pripada i dr.) povezan sa rukovaocem IKT sistema od posebnog značaja.
Poveravanje aktivnosti vrši se na osnovu ugovora zaključenog između rukovaoca IKT sistema od posebnog značaja i lica kome se te aktivnosti poveravaju ili posebnim propisom.
Rukovalac IKT sistema od posebnog značaja odgovara u celini za bezbednost IKT sistema i preduzimanje mera zaštite IKT sistema i u slučaju kada su određene aktivnosti u vezi sa tim IKT sistemom poverene trećim licima.
Član 12.
Izuzetno od odredaba člana 11, ukoliko su aktivnosti u vezi sa IKT sistemom poverene propisom, tim propisom se mogu drugačije urediti obaveze i odgovornosti rukovaoca IKT sistema od posebnog značaja u vezi poverenih aktivnosti.
Obaveštavanje Nadležnog organa o incidentima
Član 13.
Rukovaoci IKT sistema od posebnog značaja obavezni su da obaveste Nadležni organ o incidentima u IKT sistemima koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti.
Izuzetno od stava 1, rukovaoci IKT sistema za rad sa tajnim podacima obaveštenja iz stava 1. upućuju organu nadležnom za obezbeđenje primene standarda i propisa u oblasti zaštite tajnih podataka, finansijske institucije obaveštenja upućuju Narodnoj banci Srbije, a telekomunikacioni operatori regulatornom telu za elektronske komunikacije.
Odredbe st. 1 i 2. ovog člana ne odnose se na samostalne rukovaoce IKT sistema. Listu incidenata i način obaveštavanja iz stava 1. bliže uređuje Nadležni organ.
Ako je incident od interesa za javnost, Nadležni organ, odnosno organ iz stava 2. kome se upućuju obaveštenja o incidentima, može naložiti njegovo objavljivanje.
Ako je incident vezan za izvršenje krivičnih dela koja se gone po službenoj dužnosti, Nadležni organ, odnosno organ iz stava 2. kome se upućuju obaveštenja o incidentima, obaveštava nadležno javno tužilaštvo, odnosno ministarstvo nadležno za unutrašnje poslove.
Ako je incident povezan sa narušavanjem prava za zaštitu podataka o ličnosti, Nadležni organ, odnosno organ iz stava 2. kome se upućuju obaveštenja o incidentima, o tome obaveštava i Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti.
Ovlašćenja Nadležnog organa
Član 14.
Nadležni organ ima ovlašćenja da ispita da li rukovaoci IKT sistema od posebnog značaja dosledno sprovode obaveze propisane od čl. 8. do čl. 13. ovog zakona.
Nadležni organ u pogledu ovlašćenja iz stava 1. ovog člana može zahtevati od rukovalaca IKT sistema od posebnog značaja da dostave sve neophodne informacije o svom IKT sistemu, interne akte o bezbednosti IKT sistema i izveštaje o internoj proveri IKT sistema.
Odredbe st. 1. i 2. ovog člana ne odnose se na IKT sisteme samostalnih rukovalaca i IKT sisteme za rad sa tajnim podacima.
Međunarodna saradnja i rana upozorenja o rizicima i incidentima
Član 15.
Nadležni organ je dužan da uspostavi i održava međunarodnu bilateralnu i multilateralnu saradnju na polju bezbednosti IKT sistema, a pogotovo da pruži rana upozorenja o rizicima i incidentima koji ispunjavaju najmanje jedan od sledećih uslova:
1. brzo rastu ili imaju tendenciju da postanu visoki rizici;
2. prevazilaze ili mogu da prevaziđu nacionalne kapacitete;
3. mogu da imaju negativan uticaj na više od jedne države.
Ukoliko je incident u vezi sa izvršenjem krivičnog dela, po dobijanju obaveštenja od Nadležnog organa, ministarstvo nadležno za unutrašnje poslove će u zvaničnoj proceduri proslediti prijavu nadležnom telu Evropske policijske kancelarije (EUROPOL).
III. PREVENCIJA I ZAŠTITA OD BEZBEDNOSNIH RIZIKA U IKT SISTEMIMA U REPUBLICI SRBIJI
Nacionalni centar za prevenciju bezbednosnih rizika u IKT sistemima (Nacionalni CERT)
Član 16.
Nacionalni centar za prevenciju bezbednosnih rizika u IKT sistemima (u daljem tekstu: Nacionalni CERT) obavlja poslove koordinacije prevencije i zaštite od bezbednosnih rizika u IKT sistemima u Republici Srbiji na nacionalnom nivou.
Za poslove Nacionalnog CERT-a nadležna je Regulatorna agencija za elektronske komunikacije i poštanske usluge.
Član 17.
Nacionalni CERT prikuplja i razmenjuje informacije o rizicima za bezbednost IKT sistema, kao i događajima koji ugrožavaju bezbednost IKT sistema i u vezi toga obaveštava, upozorava i savetuje lica koja upravljaju IKT sistemima u Republici Srbiji, kao i javnost, a posebno:
1. prati stanje o incidentima na nacionalnom nivou,
2. pruža rana upozorenja, uzbune i najave i informiše relevantna lica o rizicima i incidentima,
3. reaguje po prijavljenim incidentima, tako što pruža savete na osnovu raspoloživih informacija licima koja su pogođena incidentom i preduzima druge potrebne mere iz svoje nadležnosti na osnovu saznanja iz prijave,
4. kontinuirano izrađuje analize rizika i incidenata, koje čini javno dostupnim,
5. podiže svest kod građana, privrednih subjekata i organa javne vlasti o značaju informacione bezbednosti, o rizicima i merama zaštite, uključujući sprovođenje kampanja u cilju podizanja te svesti,
6. vodi evidenciju Posebnih CERT-ova.
Nacionalni CERT neposredno sarađuje sa Nadležnim organom, Posebnim CERT-ovima u Republici Srbiji, sličnim organizacijama u drugim zemljama, sa javnim i privrednim subjektima, CERT-ovima samostalnih rukovaoca IKT sistema, kao i sa CERT-om republičkih organa.
Nacionalni CERT promoviše usvajanje i korišćenje propisanih i standardizovanih pravila za:
1. upravljanje i saniranje rizika i incidenata,
2. klasifikaciju informacija o rizicima i incidentima,
3. klasifikaciju ozbiljnosti incidenata i rizika
4. definiciju formata i modela podataka za razmenu informacija o rizicima i incidentima i definiciju pravila po kojima će se imenovati značajni sistemi. Način rada Nacionalnog CERT-a bliže propisuje Vlada, na predlog Nadležnog organa.
Član 18.
Nadzor nad radom Nacionalnog CERT-a vrši Nadležni organ, koji periodično proverava da li Nacionalni CERT raspolaže odgovarajućim resursima, njegova ovlašćenja i učinak uspostavljenih procesa za upravljanje sigurnosnim incidentima.
Posebni centri za prevenciju bezbednosnih rizika u IKT sistemima
Član 19.
Poseban centar za prevenciju bezbednosnih rizika u IKT sistemima (u daljem tekstu: Poseban CERT) obavlja poslove prevencije i zaštite od bezbednosnih rizika u IKT sistemima u okviru određenog pravnog lica, grupe pravnih lica, oblasti poslovanja i slično.
Poseban CERT je pravno lice ili organizaciona jedinica u okviru pravnog lica, koje je upisano u evidenciju posebnih CERT-ova koju vodi Nacionalni CERT.
Upis u evidenciju posebnih CERT-ova vrši se na osnovu prijave pravnog lica u okviru koga se nalazi poseban CERT.
Bliže uslove za upis u evidenciju iz stava 3. donosi Nadležni organ.
Centar za bezbednost IKT sistema u republičkim organima (CERT republičkih organa)
Član 20.
Centar za bezbednost IKT sistema u republičkim organima (u daljem tekstu: CERT republičkih organa) obavlja poslove koji se odnose na zaštitu od incidenata u IKT sistemima republičkih organa, izuzev IKT sistema samostalnih rukovaoca.
Poslove CERT-a republičkih organa obavlja Uprava za zajedničke poslove republičkih organa.
Poslovi CERT-a republičkih organa obuhvataju:
1) zaštitu IKT sistema Računarske mreže republičkih organa (u daljem tekstu: RMRO);
2) koordinaciju i saradnju sa rukovaocima IKT sistema koje povezuje RMRO u prevenciji incidenata, otkrivanju incidenata, prikupljanju informacija o incidentima i otklanjanju posledica incidenata;
3) izdavanje stručnih preporuka za zaštitu IKT sistema republičkih organa, osim IKT sistema za rad sa tajnim podacima.
Vlada, na predlog ministarstva nadležnog za poslove informacionog društva, uređuje mere zaštite IKT sistema u republičkim organima.
Član 21.
Samostalni rukovaoci IKT sistema su u obavezi da formiraju sopstvene centre za bezbednost IKT sistema radi upravljanja incidentima u svojim sistemima.
Centri iz stava 1. ovog člana međusobno razmenjuju informacije o incidentima, kao i sa nacionalnim CERT-om i sa CERT-om republičkih organa, a po potrebi i sa drugim organizacijama.
IV. KRIPTOBEZBEDNOST I ZAŠTITA OD KOMPROMITUJUĆEG ELEKTROMAGNETNOG ZRAČENJA
Nadležnost
Član 22.
Ministarstvo nadležno za poslove odbrane je nadležno za poslove informacione bezbednosti koji se odnose na odobravanje kriptografskih proizvoda, distribuciju kriptomaterijala i zaštitu od kompromitujućeg elektromagnetnog zračenja i poslove i zadatke u skladu sa zakonom i propisima donetim na osnovu zakona.
Poslovi i zadaci
Član 23.
U skladu sa ovim zakonom, ministarstvo nadležno za poslove odbrane:
1) organizuje i realizuje naučnoistraživački rad u oblasti kriptografske bezbednosti i zaštite od KEMZ;
2) razvija, implementira, verifikuje i klasifikuje kriptografske algoritme;
3) istražuje, razvija, verifikuje i klasifikuje sopstvene kriptografske proizvode i rešenja zaštite od KEMZ;
4) verifikuje i klasifikuje domaće i strane kriptografske proizvode i rešenja zaštite od KEMZ;
5) definiše procedure i kriterijume za evaluaciju kriptografskih bezbednosnih rešenja;
6) vrši funkciju nacionalnog organa za odobrenja kriptografskih proizvoda i obezbeđuje da ti proizvodi budu odobreni u skladu sa odgovarajućim propisima;
7) vrši funkciju nacionalnog organa za zaštitu od KEMZ;
8) u okviru akreditacije IKT sistema vrši proveru sa aspekta kriptobezbednosti i zaštite od KEMZ;
9) vrši funkciju nacionalnog organa za distribuciju kriptomaterijala i definiše upravljanje, rukovanje, čuvanje, distribuciju i evidenciju kriptomaterijala u skladu sa propisima;
10) planira i koordinira izradu kriptoparametara, distribuciju kriptomaterijala i zaštite od kompromitujućeg elektromagnetnog zračenja u saradnji sa samostalnim rukovaocima IKT sistema;
11) formira i vodi centralni registar verifikovanog i distribuiranog kriptomaterijala;
12) formira i vodi registar izadatih odobrenja za kriptografske proizvode;
13) izrađuje elektronske sertifikate za kriptografske sisteme zasnovane na infrastrukturi javnih ključeva (Public Key Infrastructure – PKI),
14) predlaže donošenje propisa iz oblasti kriptobezbednosti i zaštite od KEMZ na osnovu ovog zakona;
15) vrši poslove stručnog nadzora u vezi kriptobezbednosti i zaštite od KEMZ;
16) pruža stručnu pomoć nosiocu inspekcijskog nadzora informacione bezbednosti u oblasti kriptobezbednosti i zaštite od KEMZ;
17) pruža usluge uz naknadu pravnim i fizičkim licima, izvan sistema javne vlasti, u oblasti kriptobezbednosti i zaštite od KEMZ prema propisu Vlade na predlog ministra odbrane;
18) sarađuje sa domaćim i međunarodnim organima i organizacijama u okviru nadležnosti uređenih ovim zakonom.
Kompromitujuće elektromagnetno zračenje
Član 24.
Ukoliko je u okviru IKT sistema predviđeno rukovanje podacima koji su određeni kao tajni, u skladu sa zakonom, u IKT sistemu se, radi sprečavanja narušavanja informacione bezbednosti, primenjuju mere zaštite od kompromitujućeg elektromagnetnog zračenja.
Mere zaštite od KEMZ mogu primenjivati na sopstvenu inicijativu i rukovaoci IKT sistema kojima to nije zakonska obaveza.
Za sve tehničke komponente sistema (uređaje, komunikacione kanale i prostore) kod kojih postoji rizik od KEMZ, a što bi moglo dovesti do narušavanja informacione bezbednosti iz stava 1. ovog člana, vrši se provera zaštićenosti od KEMZ i procena rizika za oticanje tajnih podataka putem KEMZ.
Proveru zaštićenosti od KEMZ vrši ministarstvo nadležno za poslove odbrane. Samostalni rukovaoci IKT sistema mogu vršiti proveru KEMZ za sopstvene potrebe.
Bliže uslove za proveru KEMZ i način procene rizika od oticanja podataka putem KEMZ uređuje Vlada, na predlog ministarstva nadležnog za poslove odbrane.
Obaveza primene metoda kriptozaštite
Član 25.
Mere kriptozaštite primenjuju se kada se tajni podaci prenose sredstvima elektronske komunikacije izvan bezbednosne zone koja je utvrđena za čuvanje i postupanje sa odgovarajućim podacima.
Mere krištozaštite se mogu primeniti i za podizanje stepena zaštite tajnih podataka koji se čuvaju, kao i za zaštitu integriteta, autentičnosti i neporecivosti podataka.
Mere kriptozaštite se mogu primeniti i prilikom prenosa i čuvanja podataka koji nisu označeni kao tajni u skladu sa zakonom koji uređuje tajnost podataka, kada je na osnovu zakona ili drugog pravnog akta potrebno ograničiti pristup podacima i radi zaštite integriteta, autentičnosti i neporecivosti podataka.
Mere kriptozaštite koje se primenjuju za zaštitu tajnosti, integriteta, autentičnosti i neporecivosti podataka klasifikuju se u skladu sa zakonom koji reguliše tajnost podataka, zakonom koji reguliše zaštitu podataka o ličnosti i drugim zakonima koji ograničavaju ili na drugi način uslovljavaju pristup podacima.
Vlada, na predlog ministarstva nadležnog za poslove odbrane uređuje tehničke uslove za kriptografske algoritme, parametre, protokole i informaciona dobra u oblasti kriptozaštite koji se u Republici Srbiji koriste u kriptografskim proizvodima radi zaštite tajnosti, integriteta, autentičnosti, odnosno neporecivosti podataka.
Odobrenje za kriptografski proizvod
Član 26.
Kriptografski proizvodi koji se koriste za zaštitu prenosa i čuvanja podataka koji su određeni kao tajni, u skladu sa zakonom, moraju biti verifikovani i odobreni za korišćenje.
Vlada, na predlog ministarstva nadležnog za poslove odbrane, bliže uređuje uslove koje moraju da ispunjavaju kriptografski proizvodi iz stava 1. ovog člana.
Izdavanje odobrenja za kriptografski proizvod
Član 27.
Odobrenje za kriptografski proizvod izdaje ministarstvo nadležno za poslove odbrane, na zahtev rukovaoca IKT sistema, proizvođača kriptografskog proizvoda ili drugog zainteresovanog lica.
Odobrenje za kriptografski proizvod se može odnositi na pojedinačni primerak kriptografskog proizvoda ili na određeni model kriptografskog proizvoda koji se serijski proizvodi.
Odobrenje za kriptografski proizvod može imati rok važenja.
Ministarstvo nadležno za poslove odbrane rešava po zahtevu za izdavanje odobrenja za kriptografski proizvod u roku od 60 dana od dana podnošenja urednog zahteva, koji se može produžiti u slučaju posebne složenosti provere najviše za još 90 dana.
Ministarstvo nadležno za poslove odbrane vodi registar izdatih odobrenja za kriptografski proizvod.
Ministarstvo nadležno za poslove odbrane objavljuje javnu listu odobrenih modela kriptografskih proizvoda za sve modele kriptografskih proizvoda za koje je u zahtevu za izdavanje odobrenja naglašeno da model kriptografskog proizvoda treba da bude na javnoj listi i ako je zahtev podneo proizvođač ili lice ovlašćeno od strane proizvođača predmetnog kriptografskog proizvoda.
Ministarstvo nadležno za poslove odbrane prethodno izdato odobrenje za kriptografski proizvod može povući ili promeniti uslove iz st. 3. i 4. ovog člana iz razloga novih saznanja vezanih za tehnička rešenja primenjena u proizvodu, a koja utiču na ocenu stepena zaštite koji pruža proizvod.
Vlada, na predlog ministarstva nadležnog za poslove odbrane, bliže uređuje sadržaj zahteva za izdavanje odobrenja za kriptografski proizvod, uslove za izdavanje odobrenja za kriptografski proizvod, način izdavanja odobrenja, naknadu za izdavanje odobrenja i sadržaj registra izdatih odobrenja za kriptografski proizvod.
Opšte odobrenje za korišćenje kriptografskih proizvoda
Član 28.
Opšte odobrenje za korišćenje kriptografskih proizvoda imaju samostalni rukovaoci IKT sistema.
Samostalni rukovaoci IKT sistema koji imaju opšte odobrenje za korišćenje kriptografskih proizvoda samostalno ocenjuju stepen zaštite koji pruža svaki pojedinačni kriptografski proizvod koji se koristi u IKT sistemu tog organa, a u skladu sa propisanim uslovima i uslovima iz opšteg odobrenja.
Registri u kriptozaštiti
Član 29.
Samostalni rukovaoci IKT sistema koji imaju opšte odobrenje za korišćenje kriptografskih proizvoda ustrojavaju i vode registre kriptografskih proizvoda, kriptomaterijala, pravila i propisa i kadra kriptozaštite.
Registar stranih kriptomaterijala vodi Kancelarija Saveta za nacionalnu bezbednost i zaštitu tajnih podataka, u skladu sa ratifikovanim međunarodnim sporazumima.
Vlada, na predlog ministarstva nadležnog za poslove odbrane, bliže uređuje vođenje registara iz st. 1. ovog člana.
V. USLOVI ZA UNUTRAŠNJU ORGANIZACIJU
Član 30.
Rukovaoci IKT sistema za rad sa tajnim podacima i samostalni rukovaoci IKT sistema će formirati organizacione jedinice za informacionu bezbednost u čijem je delokrugu:
1. izrada potrebne bezbednosne dokumentacije;
2. izbor, testiranje i implementacija tehničkih mera zaštite, opreme i programa;
3. izbor, testiranje i implementacija mera zaštite od KEMZ;
4. nadzor implementacije i primene bezbednosnih procedura;
5. upravljanje i korišćenje kriptografskih proizvoda;
6. sprovođenje bezbednosne analize u cilju procene rizika;
7. bezbednosna obuka zaposlenih.
VI. INSPEKCIJA ZA INFORMACIONU BEZBEDNOST
Poslovi inspekcije za informacionu bezbednost
Član 31.
Inspekcija za informacionu bezbednost vrši inspekcijski nadzor nad primenom ovog zakona i radom rukovaoca IKT sistema od posebnog značaja, osim samostalnih rukovaoca IKT sistema i IKT sistema za rad sa tajnim podacima.
Poslove inspekcije za informacionu bezbednost obavlja ministarstvo nadležno za poslove informacionog društva preko inspektora za informacionu bezbednost.
U okviru inspekcijskog nadzora rada rukovaoca IKT sistema, inspektor za informacionu bezbednost utvrđuje da li su ispunjeni uslovi propisani ovim zakonom i propisima donetim na osnovu ovog zakona.
Član 32.
Samostalni rukovaoci IKT sistema odrediće posebna lica za inspekcijski nadzor sopstvenih IKT sistema.
Lica za inspekcijski nadzor samostalnih rukovaoca IKT sistema izveštaj o nađenom stanju podnose rukovodiocu samostalnog rukovaoca IKT sistema.
Ovlašćenja inspektora za informacionu bezbednost
Član 33.
Inspektor za informacionu bezbednost ovlašćen je da u postupku sprovođenja nadzora, pored preduzimanja radnji na koje je ovlašćen inspektor u vršenju inspekcijskog nadzora utvrđenih zakonom, preduzme i sledeće radnje:
1) pregleda opremu koja je deo informacionog sistema, prostorije u kojima se ta oprema koristi, kao i tehničku dokumentaciju vezanu za opremu, softverske proizvode, računarsku mrežu i druge elemente IKT sistema;
2) da uzima izjave i po potrebi pisana izjašnjenja od rukovodioca rukovaoca IKT sistema i zaposlenih lica o činjenicama i podacima značajnim za potpuno utvrđivanje činjeničnog stanja;
3) da zahteva dostavljanje potrebnih izveštaja, podataka, akata i druge potrebne dokumentacije i odredi primeren rok za dostavljanje.
Inspektor za informacionu bezbednost je ovlašćen da u postupku sprovođenja nadzora pored nalaganja mera na koje je ovlašćen inspektor u postupku vršenja inspekcijskog nadzora utvrđenih zakonom, zabrani korišćenje neadekvatnih postupaka, tehničkih sredstava i usluga i ostavi rok za otklanjanje nepravilnosti.
VII. OSTALE ODREDBE
Kaznene odredbe
Član 34.
Novčanom kaznom u iznosu od 50.000,00 do 2.000.000,00 dinara kazniće se pravno lice za prekršaj ako:
1) ne postupi u skladu sa nalogom inspektora za informacionu bezbednost;
2) ne primeni mere određene Planom mera i internim pravilima;
Za prekršaj iz stava 1. ovog člana kazniće se i odgovorno lice novčanom kaznom u iznosu od 5.000,00 do 150.000,00 dinara.
VIII. PRELAZNE I ZAVRŠNE ODREDBE
Rokovi za donošenje podzakonskih akata
Član 35.
Podzakonska akta predviđena ovim zakonom doneće se u roku od 12 meseci od dana stupanja na snagu ovog zakona.
Stupanje na snagu
Član 36.
Ovaj zakon stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije".
Izvor: Vebsajt Ministartvo trgovine, turizma i telekomunikacija, 03.07.2015.