Embed Size (px)
Citation preview
Na osnovu člana 11. stav 1. tačka 1, člana 169. stav 6 Zakona o elektronskim
komunikacijama („Sl. list CG“ 40/13 i 56/13) Savjet Agencije za elektronske komunikacije i
poštansku djelatnost na sjednici održanoj xx. 07.2015. godine donio je:
PRAVILNIK
o načinu i rokovima za sprovođenje mjera zaštite sigurnosti i
integriteta elektronskih komunikacionih mreža i usluga
Sadržaj Pravilnika
Član 1.
Ovim pravilnikom propisuju se način i rokovi za sprovođenje mjera zaštite sigurnosti i
integriteta elektronskih komunikacionih mreža i usluga, kao i način obavještavanja o
povredi sigurnosti i integriteta elektronskih komunikacionih mreža i usluga.
Značenje izraza
Član 2.
Pojedini pojmovi u smislu ovog pravilnika imaju sljedeće značenje:
1. Integritet mreže: osobina mreže da održi specificirane parametre u dijelu performansi i
funkcionalnosti.
2. Kritična sredstva: elementi mreže i infrastruktura čiji bi prekid rada, vjerovatno imao
direktan i značajan uticaj na sigurnost mreža i usluga ili direktan uticaj na procesuiranje
ličnih podataka.
3. Prijetnja: događaj il i okolnost ko ja može dovesti do sigurnosnog incidenta.
4. Sigurnosne mjere: skup administrativnih, tehničkih i fizičkih zahtjeva za procese, rad i
izmjene u elektronskoj komunikacionoj mreži, u svrhu osiguranja nesmetanog pristupa
i upotrebe elektronskih komunikacionih mreža, kao i sigurnosti i integriteta podataka
sačuvanih u elektronskoj komunikacionoj mreži.
5. Sigurnosni incident: jedan ili više neželjenih ili neočekivanih događaja koji mogu uticati
na sigurnost i integritet mreža i usluga ili obradu ličnih podataka.
Mjere za zaštitu sigurnosti i integriteta mreža i usluga
Član 3.
Mjere za obezbjeđenje integriteta javne elektronske komunikacione mreže, obezbjeđenja
neprekidnog pružanja javnih elektronskih komunikacionih usluga, obezbjeđenja
sigurnosti ličnih podataka, obezbjeđenja odgovora na sigurnosne incidente, ublažavanja
uticaja sigurnosnih incidenata na rad svoje elektronske komunikacione mreže i sa njom
povezanih mreža, ublažavanja uticaja prijetnji i sigurnosnih incidenata n a korisnike
elektronskih komunikacionih usluga, zaštite korisnika od zlonamjernih aktivnosti,
elektronskih sabotaža, prevara trećih lica i zloupotreba bilo koje vrste (u daljem tekstu
sigurnosne mjere), operator je dužan da primijeni u sljedećim oblastima:
Upravljanje rizikom;
Comment [A1]: Smatramo da bi ovo trebalo da se odnosi samo na dio usluga koje operater pruža. Primjer: Operater pruža uslugu pristupa Internetu i štiti korisnike u dijelu kojim se obezbjedjuje zaštita korsiničkog pristupa Internetu. Operator nije dužan da štiti korisnika od štetnih sadžraja kojima je korisnik svjesno ili nesvjesno izložen u Internet prostoru.
Sigurnost ljudskih resursa;
Sigurnost sistema i objekata;
Upravljanje operacijama;
Upravljanje incidentima;
Upravljanje kontinuitetom poslovanja;
Nadzor, revizija i testiranje.
U okviru svake oblasti iz stava 1 ovog člana operator je dužan da ispuni odgovarajuće
sigurnosne ciljeve, preduzimanjem sigurnosnih mjera koje su navedene u Prilogu 1 ovog
pravilnika.
Sigurnosne mjere iz Priloga 1 ovog pravilnika operator je dužan da sprovede u skladu sa
odgovarajućim standardima, koji su navedeni u Prilogu 2 ovog pravilnika.
Operator koji pruža usluge telefonskih poziva i pristupa Internetu u fiksnoj elektronskoj
komunikacionoj mreži i usluge u mobilnoj elektronskoj komunikacionoj mreži, za više od
10000 korisnika, dužan je da, izgradnjom georedundantne konfiguracije odgovarajućih
elemenata mreže i sistema (Disaster Recovery Site) na teritoriji Crne Gore, obezbijedi
neprekidnost pružanja telefonske usluge, usluge SMS-a i usluge pristupa Internetu.
Praćenje sprovođenja mjera za zaštitu sigurnosti i integriteta mreža i usluga
Član 4.
Operator je dužan da, u cilju praćenja sprovođenja sigurnosnih mjera, Agenciji za
elektronske komunikacije i poštansku djelatnost (u daljem tekstu Agencija) dostavi:
1) dokumenta kojima se definišu sigurnosne mjere iz člana 3, i postupci za njihovo
sprovođenje, u roku 7 dana od njihovog usvajanja;
2) podatke o licu odgovornom za sprovođenje sigurnosnih mjera iz stava 1 člana 3
ovog pravilnika, u roku 7 dana od stupanja ovog pravilnika na snagu;
3) podatke o mjerama nadzora sigurnosti i integriteta mreža i usluga operatora od
strane organa državne uprave nadležnog za prevenciju i zaštitu rizika bezbjednosti
informacionih sistema odnosno organa uprave nadležnog za oblast računarskog
kriminala, u roku 7 dana od vršenja nadzora;
4) izvještaje o interno sprovedenim kontrolama sigurnosti i integriteta elektronskih
komunikacionih mreža i usluga i datim preporukama, u roku 7 dana od prijema
izvještaja o sprovedenim kontrolama;
5) obavještenja i izvještaje o sigurnosnim incidentima.
Agencija će vršiti kontrolu spovođenja sigurnosnih mjera iz člana 3 ovog pravilnika, od
strane operatora.
Agencija može angažovati i treća lica za vršenje kontrole iz stava 2 ovog člana.
Comment [A2]: Da li ovo znači implementaciju navedenih ISO standarda?
Comment [A3]: Zahtjev da se formira Disaster Recovery Site za sve servise, za koje operator ima vise od 10hiljada korisnika u roku od 18 mjeseci moze biti problematican sa stanovista vremena i po nasoj ocjeni ne tako neophodnih investicija za ovako malu zemlju kakva je Crna Gora. Umjesto toga smatramo najboljim rjesenjem koriscenje cloud servisa ili iznajmljivanje prostora/opreme u postojecim DRSite-ovima u nekoj od zemalja koje pripadaju istoj korporacijskoj grupi. Ovakva rjesenja vec postoje u zemljama članicama EU .Sto je takodje važno ovakva rjesenja bi se mogla realizovati u kraćem roku, a sa stanovista resursa I investicija bila bi mnogo manje zahtjevna.Ovo se moze primjeniti na bilo koji servis, od BB servisa do IMS-a.
Comment [A4]: Da li se ovdje misli na nivo politika ili kompanijskih direktiva u kojem se propisuju mjere, a ne I na dokumente nižeg ranga (npr. procedure kojima se razradjuju koraci za sprovodjenje mjera).
Comment [A5]: Potrebno je definisati navesti primjere koje vrste izvještaja su u pitanju
Obavještavanje o sigurnosnim incidentima
Član 5.
Operator je dužan da, pisanim putem obavijesti Agenciju o sigurnosnom incidentu koji je
doveo do prekida u pružanju telefonske usluge, usluge SMS-a, usluge pristupa Internetu ili
usluge distribucije audio-vizuelnih medijskih sadržaja za više od 1000 korisnika ili povrede
sigurnosti ličnih podataka korisnika.
Operator je dužan da obavještenje o sigurnosnom incidentu iz stava 1 ovog člana dostavi
Agenciji, u roku od 1 sata nakon pojave sigurnosnog incidenta, u skladu sa Prilogom 4 koji
je sastavni dio ovog pravilnika.
Operator je dužan da, pisanim putem Agenciji dostavi izvještaj o sigurnosnom incidentu, koji
je značajnije uticao na rad javnih elektronskih komunikacionih mreža ili pružanje
elektronskih komunikacionih usluga, u skladu sa kriterijumima za izvještavanje iz Priloga
3 koji je sastavni dio ovog pravilnika.
Operator je dužan da izvještaj o sigurnosnom incidentu iz stava 3 ovog člana dostavi
Agenciji, u roku od 3 dana od otklanjanja sigurnosnog incidenta, u skladu sa Prilogom 5,
koji je sastavni dio ovog pravilnika.
Operator može obavijestiti Agenciju i o drugim važnim sigurnosnim incidentima koji
se odnose na sigurnost i integritet javnih elektronskih komunikacionih mreža i usluga, a koji
nisu obuhvaćeni sigurnosnim incidentima iz stavova 1. i 3. ovog člana.
Operator je dužan da odmah obavijesti druge operatore u slučaju da povreda sigurnosti i
integriteta njegove mreže može značajnije uticati na rad sa njom povezanih mreža.
Prelazne i završne odredbe
Član 6.
Operator je dužan da svoj rad uskladi sa ovim pravilnikom u roku od tri mjeseca od
dana stupanja na snagu, a sa odredbom člana 3 stav 4 ovog pravilnika u roku od 18
mjeseci.
Stupanje na snagu
Član 7.
Ovaj Pravilnik stupa na snagu osmog dana od dana objavljivanja u „Službenom listu Crne
Gore“.
Comment [A6]: Smatramo da je u pitanju veoma mali broj korisnika.Postavlja se pitanje na osnovu kojih kriterijuma je odredjen ovaj broj
Comment [A7]: 1.Rok od 1 sata je suviše kratak buduci da Agencija ne radi 24 sata dnevno pa bi rok za izvještavanje mogao biti vezan za prvi naredni radni dan. 2.Umjesto pojave treba staviti klasifikacije (ili bar detekcije) incidenta. 3.Prijedlog je da se napravi razlika u roku obavještavanja izmedju incidenata višeg I nižeg nivoa (npr. >1000 korisnika I > 5000 korisnika). To znači da nema smisla stavljati kratak rok za obavještavanje za incidente nižeg nivoa.
3. Za slucaj 2 u prilogu navedeno je da je minimalno trajanje incidenta 4 sata. Da li to znači da se Agenciji javlja u roku od 1 sata nakon što proteknu 4 sata?
Comment [A8]: Potrebno objasniti primjere takvih slucajeva.
Comment [A9]: Zbog potrebe uskladjivanja sa standardima iz Priloga 2 predlažemo da se definise rok od 6 mjeseci
Comment [A10]: Potreban znatno duži rok od najmanje 3 godine zbog izuzetno zahtjevnog projekta u smislu resursa , planiranja i realizacije investicija, osim u slucaju prihvatanja predloga datog u komentaru 3 .
PRILOG 1: Sigurnosne mjere
OBLAST SIGURNOSTI SIGURNOSNE MJERE
Upravljanje rizikom
- Uspostavljanje i održavanje odgovarajućih procedura
informacione sigurnosti koja se odnosi na sigurnost
mreža, usluga i procesuiranja ličnih podataka;
(Information security policy)
- Uspostavljanje i održavanje odgovarajućeg okvira za
upravljanje rizikom, koji služi za identifikaciju i
adresiranje rizika za mreže, usluge i procesuiranje
ličnih podataka; (Governance and risk management)
- Uspostavljanje i održavanje odgovarajuće strukture
sigurnosti sa ulogama i odgovornostima; (Security
roles and responsibilities)
- Uspostavljanje i održavanje procedura sa zahtjevima
koji se tiču sigurnosti za ugovore sa trećim stranama,
kako bi se obezbijedilo da zavisnost od trećih strana ne
utiče negativno na sigurnost mreža, usluga i
procesuiranja ličnih podataka (Security of third party
assets) .
Sigurnost ljudskih
resursa
- Obezbijediti odgovarajuću provjeru osoblja
(zaposlenih, ugovarača i korisnika treće strane) kada je
to potrebno za njihove dužnosti i odgovornosti
(Background checks);
- Obezbijediti da osoblje ima dovoljno znanja o
sigurnosti, a takođe, obezbijediti i redovnu obuku na
temu sigurnosti (Security knowledge and training);
- Uspostaviti i održavati odgovarajuće procedure za
upravljanje promjene osoblja ili za promjene njihovih
uloga i odgovornosti (Personnel changes);
- Uspostaviti i održavati disciplinske procedure za
zaposlene koji prekrše politike sigurnosti ili imati šire
procedure koje pokrivaju sigurnosne prekršaje čije
kršenje je izazvalo osoblje. (Handling violations);
Sigurnost sistema i
objekata
- Uspostaviti i održavati odgovarajuću fizičku sigirnost i
sigurnost uslova u objektima (Physical and
environmental security of facilities);
- Uspostaviti i održavati odgovarajuću sigurnost
snadbijevanja (električnom energijom, naftnim
derivatima-gorivom, klimatizacijom itd) za objekte
(Security of supplies);
- Uspostaviti i održavati odgovarajuće (logičke) kontrole
pristupa mreži i informacionim sistemima, kako bi se
spriječio nedozvoljeni pristup, izmjena ili brisanje
podataka na tim sistemima (Access control to network
and information systems);
- Uspostaviti i održavati integritet mreže i informacionih
sistema, radi zaštite od trojanaca, “code injections” i
drugih malvera koji mogu promijeniti njihovu
funkcionalnost (Integrity of network and information
systems);
- Uspostaviti i održavati odgovarajuće procedure o
povjerljivosti i integritetu sadržaja komunikacija i
metapodataka o komunikacijama (Confidentiality of
communications).
Upravljanje operacijama
- Uspostaviti i održavati operativne procedure za
funkcionisanje kritičnih mrežnih i informacionih
sistema od strane osoblja (Operational procedures);
- Uspostaviti procedure za upravljanje promjenama za
kritične mrežne i informacione sisteme, kako bi se
umanjili incidenti koji su prouzrokovani promjenama
(Change management);
- Uspostaviti i održavati procedure za upravljanje
sredstvima i kontrolu konfiguracije u cilju upravljanja
raspoloživošću kritičnih sredstava i konfiguracija
kritičnih mrežnih i informacionih sistema (Asset
management).
Upravljanje incidentima
- Uspostaviti i održavati procedure za upravljanje
sigurnosnim incidentima, kao i njihovo prosljeđivanje
prema odgovarajućem osoblju (Incident management
procedures);
- Uspostaviti i održavati odgovarajuće kapacitete za
detekciju sigurnosnih incidentata (Incident detection
capability);
- Uspostaviti i održavati odgovarajuće procedure za
izvještavanje i objavljivanje o incidentima, uzimajući u
obzir nacionalno zakonodavstvo za izvještavanje
državnih institucija o incidentima (Incident reporting
and communication);
Upravljanje
kontinuitetom
poslovanja
- Uspostaviti i održavati planove za vanredne situacije i
strategiju za obezbjeđenje kontinuiteta u priužanju
mreža i usluga (Service continuity strategy and
contingency plans);
- Uspostaviti i održavati odgovarajuće “disaster
recovery” kapacitete za vraćanje u rad mreža i usluga u
slučaju prirodnih i/ili velikih katastrofa (Disaster
recovery capabilities).
Nadzor, revizija i
testiranje
- Uspostaviti i održavati sisteme i funkcije nadzora i
logovanja kritičnih mrežnih i komunikacionih sistema
(Monitoring and logging policies);
- Uspostaviti i održavati procedure za testiranje i
uvježbavanje planova za vanredne situacije i
obebjeđivanje backupa, kada je potrebno u sardanji sa
trećim stranama (Exercise contingency plans);
- Uspostavljanje i održavanje procedura za testiranje
mrežnih i informacionih sistema, posebno u
slučajevima povezivanja sa novom mrežom ili
informacionim sistemom (Network and information
systems testing);
- Uspostavljanje i održavanje odgovarajućih procedura
za obavljanje sigurnosnih procjena i testova mrežnih i
informacionih sistema (Security assessments);
- Uspostaviti i održavati procedure za nadzor
usklađenosti sa standardima i zakonskim obavezama
(Compliance monitoring).
PRILOG 2: Standardi za sprovođenje sigurnosnih mjera
OBLAST SIGURNOSTI REFERENTNI STANDARDI
Upravljanje rizikom
MEST ISO/IEC 27001
MEST ISO/IEC 27002
MEST ISO/IEC 27005
MEST ISO/IEC 27011
Sigurnost ljudskih resursa
MEST ISO/IEC 27001
MEST ISO/IEC 27002
MEST ISO/IEC 27011
Sigurnost sistema i objekata
MEST ISO/IEC 27001
MEST ISO/IEC 27002
MEST ISO/IEC 27011
Upravljanje operacijama
MEST ISO/IEC 27001
MEST ISO/IEC 27002
MEST ISO/IEC 27011
Upravljanje incidentima
MEST ISO/IEC 27001
MEST ISO/IEC 27002
MEST ISO/IEC 27011
Upravljanje kontinuitetom poslovanja ISO/IEC 22301
MEST ISO/IEC 27011
Nadzor, revizija i testiranje
MEST ISO/IEC 27001
MEST ISO/IEC 27002
MEST ISO/IEC 27011
PRILOG 3:
Kriterijumi za obavještavanje o sigurnosnom incidentu
Sigurnosni incident
Minimum krajnjih
korisnika obuhvaćenih
sigurnosnim incidentom
Minimalno
trajanje sigurnosnog
incidenta
Nemogućnost mreže da prima, ili
usmjerava pozive prema brojevima
hitnih službi
1 korisnik
nezavisno od
trajanja
Onemogućena usluga telefonskih
poziva u fiksnoj
Mreži
1 000 korisnika
4 sata
Onemogućena usluga telefonskih
poziva u fiksnoj
Mreži
5 000 korisnika
1 sat
Onemogućena usluga telefonskih
poziva i SMS u mobilnoj mreži
1 000 korisnika
4 sata
Onemogućena usluga telefonskih
poziva i SMS u mobilnoj mreži 5 000 korisnika
1 sat
Onemogućena usluga pristupa
internetu 1 000 korisnika
4 sata
Onemogućena usluga pristupa
internetu 5 000 korisnika
1 sat
Onemogućena usluga distribucije audio
vizuelnih sadržaja 1 000 korisnika
4 sata
Onemogućena usluga distribucije audio
vizuelnih sadržaja 5 000 korisnika
1 sat
Povreda ličnih podataka korisnika
1 korisnik
nezavisno od
trajanja
Comment [A11]: u mobilnoj telefoniji nije moguće vezati incident sa brojem korisnika zbog specificnosti tehnologije. Ovo moze biti jedino stvar procjene ; Navedeni limiti za broj korisnika su mali I treba ih znacajno povecati (30% mreze ili slicno)
Comment [A12]: Predlažemo promijenu formulacije tako da glasi: ,,Afektirana usluga, ili Posljedica sigurnosnog incidenta’’
Comment [A13]: Potrebno je pojasniti kako se ovo moze detektovati, odnosno ko prijavljuje/ (zalba krajnjeg korinika npr.)
PRILOG 4:
Obavještenje o sigurnosnom incidentu
Operator
Datum i vrijeme nastanka
sigurnosnog incidenta
Datum i vrijeme
utvrđivanja sigurnosnog
incidenta
Način utvrđivanja
sigurnosnog incidenta
Vrsta usluge koju obuhvata
sigurnosni incident
Fiksna telefonija: □ PSTN □ IMS □ VoIP □ DRUGO
Fiksni Internet: □ xDSL □ FTTx □ KDS □ DRUGO
Mobilna telefonija: □ GSM □ UMTS □ LTE □ DRUGO
Mobilni Internet: □ GPRS/EDGE □ UMTS □ LTE □ DRUGO
Zemaljska radiodifuzija: □ Zemaljska TV □ Zemaljski radio
Distribucija AVM sadžaja: □ KDS □ IPTV □ Satelitski □ MMDS □ DRUGO
Drugo
Opis sigurnosnog incidenta
Broj obuhvaćenih korisnika
BROJ OBUHVAĆENIH KORISNIKA
Fiksna telefonija: _______________________
Fiksni Internet: _______________________
Mobilna telefonija: _______________________
Mobilni Internet: _______________________
Zemaljska radiodifuzija: _______________________
Distribucija AVM sadžaja: _______________________
Drugo: ______________________
Uticaj na hitne službe □ DA □ NE
Uticaj na interkonekciju
(u zemlji i inostranstvu) □ DA □ NE
Da li je došlo do povrede
ličnih podataka korisnika?
□ DA □ NE
U slučaju da je odgovor DA, opisati prirodu i sadržaj otkrivenih ličnih
podataka korisnika
Comment [A14]: Prijedlog je da se obrazac pojednostavi, imajuci u vidu da je prioritet OTKLANJANJE incidenta, a rok za Obavjestenje o istom je prekratak.
Aktivnosti koje su
preduzete za rješavanje
sigurnosnog incidenta
Subjekti koji su obavješteni
o sigurnosnom incidentu
Procijenjeno vrijeme
otklanjanja sigurnosnog
incidenta
Ostale važne informacije
Ime i kontakt podaci lica
koje je zaduženo za
davanje informacija o
incidentu (tel., e-mail)
Datum i vrijeme dostave
obavještenja
PRILOG 5:
Izvještaj o sigurnosnom incidentu
Operator
Datum i vrijeme nastanka
sigurnosnog incidenta
Datum i vrijeme
utvrđivanja sigurnosnog
incidenta
Način utvrđivanja
sigurnosnog incidenta
Opis sigurnosnog incidenta
Vrsta usluge koju obuhvata
sigurnosni incident
Fiksna telefonija: □ PSTN □ IMS □ VoIP □ DRUGO
Fiksni Internet: □ xDSL □ FTTx □ KDS □ DRUGO
Mobilna telefonija: □ GSM □ UMTS □ LTE □ DRUGO
Mobilni Internet: □ GPRS/EDGE □ UMTS □ LTE □ DRUGO
Zemaljska radiodifuzija: □ Zemaljska TV □ Zemaljski radio
Distribucija AVM sadžaja: □ KDS □ IPTV □ Satelitski □ MMDS □ DRUGO
Drugo
Vrijeme trajanja
sigurnosnog incidenta i
broj obuhvaćenih korisnika
TRAJANJE BROJ OBUHVAĆENIH KORISNIKA
Fiksna telefonija: _____________ _______________________
Fiksni Internet: _____________ _______________________
Mobilna telefonija: _____________ _______________________
Mobilni Internet: _____________ _______________________
Zemaljska radiodifuzija:_____________ _______________________
Distribucija AVM sadžaja: _________ _______________________
Drugo: _____________ ______________________
Uticaj na hitne službe □ DA □ NE
Uticaj na interkonekciju
(u zemlji i inostranstvu) □ DA □ NE
Da li je došlo do povrede
ličnih podataka korisnika?
□ DA □ NE
U slučaju da je odgovor DA, opisati prirodu i sadržaj otkrivenih ličnih
podataka korisnika
Osnovni uzrok
□ Sistemske greške
□ Ljudske greške
□ Zlonamjerne radnje
□ Prirodni fenomeni
□ Greška treće strane
□ Uzrok nije utvrđen
Početni uzrok
□ Prekid kabla
□ Krađa kabla
□ Poplava
□ Obilne snježne padavine
□ Oluja
□ Prekid napajanja
□ Električni udar
□ Fizički napad
□ Kibernetički napad
□ Loše održavanje
□ Preopterećenje
□ Iscrpljene zalihe goriva
□ Proceduralna greška
□ Greška hardvera
□ Programska greška
□ Ljudska greška
□ Drugo _____________________________
□ Uzrok nije utvrđen
Sistemi obuhvaćeni
početnim uzrokom
□ Bazne stanice i upravljački sistemi (npr. BTS, NodeB, RNC)
□ Mobilni komutacioni sistemi (npr. MSC, VLR, SGSN, GGSN)
□ Korisnički i lokacioni registri (npr. HLR, HSS, AuC)
□ Komutacioni sistemi (npr. lokalne centrale, svičevi, DSLAM)
□ Sistemi prenosa (npr. SDH, WDM)
□ Interkonekcija
□ Međunarodna mreža
□ Sistem napajanja (npr. transformatori, mreža napajanja)
□ Rezervno napajanje (npr. dizel generatori, baterije)
□ Sistemi hlađenja
□ Ulični kabineti
□ Centar za razmjenu poruka
□ Adresni serveri (DHCP, DNS)
□ Backbone mreža
□ Lokalna mreža (npr. optička, bakarna)
□ Drugo _____________________________
Rješavanje sigurnosnog
incidenta i opis preduzetih
mjera (opis aktivnosti koje
su preduzete nakon
utvrđivanja incidenta za
rješavanje incidenta)
Mjere preduzete nakon
otklanjanja sigurnosnog
incidenta (opis preduzetih
aktivnosti od
strane operatora za
smanjivanje vjerovatnoće
ponavljanja incidenta ili
uticaja incidenta)
Dugoročne mjere
Ostale važne informacije
Ime i kontakt podaci lica
koje je zaduženo za
davanje informacija o
incidentu (tel., e-mail)
Datum dostave izvještaja
Obrazloženje
Pravni osnov za izradu akta
Agencija za elektronske komunikacije i poštansku djelatnost je pripremila nacrt Pravilnika o
načinu i rokovima za sprovođenje mjera zaštite sigurnosti i integriteta elektronskih
komunikacionih mreža i usluga u skladu sa svojim nadležnostima propisanim članom 169
Zakona o elektronskim komunikacijama (“Sl. list CG” br. 40/13 i 56/13).
Usaglašenost sa propisima EU
Odredbe ovog nacrta pravilnika u osnovi predstavljaju implementaciju odredbi člana 13a
Okvirne direktive (Directive 2002/21/EC), odnosno Direktive 2009/140/EC kojom je
izmijenjena okvirna direktiva.
S obzirom da nacrt Pravilnika o načinu i rokovima za sprovođenje mjera zaštite sigurnosti i
integriteta elektronskih komunikacionih mreža i usluga u većem dijelu predstavlja tehnički
propis, njegov sadržaj je usaglašen sa odredbama crnogorskih i međunarodnih
(MEST/ISO/IEC i ISO/IEC) standarda kao i sa propisima koje je usvojila Evropska agencija
za bezbednost mreža i informacionih sistema (ENISA).
Razlozi za donošenje Pravilnika
Elektronske komunikacione mreže treba uvijek da budu sigurne, pouzdane i raspoložive
korisnicima, a povjerljivost podataka koji se prikupljaju, prenose i čuvaju ne smije biti
ugrožena. Nemogućnost da se ispune ovi zahtjevi umanjuje povjerenje korisnika i njihovu
spremnost da u punoj mjeri prihvate i koriste pogodnosti elektronskih komunikacionih
usluga. Zbog toga, kao realnost, treba prihvatiti činjenicu da je sigurnost elektronskih
komunikacija kritičan faktor društvenog i ekonomskog razvoja i da treba intenzivirati
aktivnosti na provjeri i povećanju sigurnosti elektronskih komunikacionih mreža.
S obzirom, da u Crnoj Gori ne postoji propis koji bi na adekvatan način tretirao
problematiku sigurnosti elektronskih komunikacionih mreža evidentna je potreba za
donošenjem pravilnika koji bi obradio ovu tematiku.
U skladu sa članom 169 Zakona o elektronskim komunikacijama, Agencija za elektronske
komunikacije i poštansku djelatnost je ovlašćena da propiše način i rokove za sprovođenje
mjera koje je operator dužan da preduzme u cilju sprečavanja i umanjivanja uticaja
sigurnosnih incidenata na korisnike usluga povezane elektronske komunikacione mreže, a
posebno radi obezbjeđivanja sigurnosti usluga i zaštite korisnika od zlonamjernih aktivnosti,
elektronskih sabotaža, prevara trećih lica i zloupotreba bilo koje vrste.
Obrazloženje predloženih rješenja
Članovi u nacrtu Pravilnika o načinu i rokovima za sprovođenje mjera zaštite sigurnosti i
integriteta elektronskih komunikacionih mreža i usluga definišu sljedeće:
U članu 1 je utvrđen sadržaj Pravilnika;
U članu 2 se definišu značenja izraza koji se koriste u tekstu Pravilnika;
U članu 3 su navedene oblasti i mjere za zaštitu sigurnosti i integriteta mreža i
usluga, kao i obaveza određenih operatora da izgrade Disaster Recovery Site;
U članu 4 se propisuje način praćenja i sprovođenja mjera za zaštitu sigurnosti i
integriteta mreža i usluga;
U članu 5 se propisuje obaveza obavještavanja o sigurnosnim incidentima;
U članu 6 su definisane prelazne i završne odredbe;
U članu 7 se definiše datum stupanja na snagu ovog Pravilnika;
U Prilogu 1 je naveden spisak sigurnosnih mjera;
U Prilogu 2 je data lista međunarodnih standarda koje operatori treba da primijene u
skladu sa odredbama nacrta pravilnika;
U Prilogu 3 su dati kriterijumi za obavještavanje o sigurnosnom incidentu;
U Prilogu 4 je propisana forma obavještenja o sigurnosnom incidentu;
U Prilogu 5 je propisana forma izvještaja o sigurnosnom incidentu sa podacima koji
se dostavljaju.
Korišćeni propisi i dokumenta
Prilikom pripreme nacrta ovog pravilnika utvrdili smo da je samo nekoliko regulatornih
tijela u sektoru elektronskih komunikacija donijelo ovakve propise tako da je korišćenje
uporednih iskustava prilikom izrade ovog pravilnika bilo ograničeno.
Za pripremu teksta Pravilnika o načinu i rokovima za sprovođenje mjera zaštite sigurnosti i
integriteta elektronskih komunikacionih mreža i usluga Agencija je koristila sljedeće propise
i dokumente:
Zakon o elektronskim komunikacijama („Sl. list CG", br. 40/13, 56/13);
ENISA: Technical Guideline on Security measures for Article 4 and Article 13a;
ENISA: Technical Guideline on Incident Reporting;
ENISA: Guideline on Threats and Assets;
MEST ISO/IEC 27001, MEST ISO/IEC 27002, MEST ISO/IEC 27005, MEST ISO/IEC
27011, ISO/IEC 22301.
