Pravilnik o varnostni dokumentaciji in varnostnih ukrepih izvajalcev bistvenih storitev začne veljati 1. 6. 2019

21. 05. 2019

ZInfV ureja področje informacijske varnosti in ukrepe za doseganje visoke ravni varnosti omrežij in informacijskih sistemov v Republiki Sloveniji, ki so bistvenega pomena za nemoteno delovanje države v vseh varnostnih razmerah ter zagotavljajo bistvene storitve za ohranitev ključnih družbenih in gospodarskih dejavnosti v RS. ZInfV predvideva, da so med zavezanci po tem zakonu tudi izvajalci bistvenih storitev (v nadaljnjem besedilu: IBS), ki za zagotavljanje informacijske varnosti in visoke varnosti omrežij in informacijskih sistemov vzpostavijo in vzdržujejo dokumentiran sistem upravljanja varovanja informacij ter sistem upravljanja neprekinjenega poslovanja.

S pravilnikom se tako podrobneje določa vsebino in strukturo varnostne dokumentacije, metodologiji za pripravo analize obvladovanja tveganj in za določitev ključnih, krmilnih in nadzornih informacijskih sistemov in delov omrežja ter pripadajočih podatkov ter minimalni obseg ter vsebino varnostnih ukrepov IBS.

Pravilnik skladno z 12. členom ZInfV določa, da mora varnostna dokumentacija IBS za zagotavljanje informacijske varnosti ter visoke ravni varnosti omrežij in informacijskih sistemov obsegati najmanj:

-          analizo obvladovanja tveganj z oceno sprejemljive ravni tveganj;

-          politiko neprekinjenega poslovanja z načrtom njegovega upravljanja;

-          seznam njegovih ključnih, krmilnih in nadzornih informacijskih sistemov in delov omrežja ter pripadajočih podatkov, ki so bistvenega pomena za delovanje bistvenih storitev;

-          načrt obnovitve in ponovne vzpostavitve delovanja informacijskih sistemov iz prejšnje alineje;

-          načrt odzivanja na incidente s protokolom obveščanja nacionalnega CSIRT;

-          načrt varnostnih ukrepov za zagotavljanje celovitosti, zaupnosti in razpoložljivosti omrežja in informacijskih sistemov, ki upoštevajo področne posebnosti.

Pravilnik sledi zakonu tako, da določa, da če ima IBS za zagotavljanje varnosti svojih omrežij in informacijskih sistemov že izdelano varnostno dokumentacijo na podlagi drugih predpisov, jo vsebinsko dopolni skladno s tem pravilnikom.

Pravilnik tudi določa, kako IBS pripravi analizo obvladovanja tveganj z oceno sprejemljive ravni tveganj ter kako pripravi seznam svojih ključnih, krmilnih in nadzornih informacijskih sistemov in delov omrežja ter pripadajočih podatkov, ki so bistvenega pomena za delovanje bistvenih storitev. Pri tem pravilnik še določi, da IBS ta dva postopka izvaja v rednih časovnih presledkih ali kadar so predlagane ali nastanejo bistvene spremembe v okviru sistema upravljanja informacijske varnosti, ta dva postopka pa morata biti izvedena tako, da so njuni rezultati dosledni, primerljivi in veljavni.

Pravilnik podrobneje določa tudi minimalni obseg in vsebino varnostnih ukrepov, ki jih sprejme IBS (organizacijski, logično-tehnični in tehnični ukrepi).

Nazaj

Priročnik Digitalno poslovanje z dokumenti

Priročnik vam zagotavlja:

  • s predpisi usklajeno hrambo papirne in elektronske dokumentacije,
  • stroškovno in časovno optimizirano upravljanje podatkov v vseh oblikah,
  • zakonsko skladno zaščito varovanih osebnih podatkov,
  • informacijsko varnost e-hrambe in elektronskega poslovanja.