SADRŽAJ | ŽUPANIJA | GRADOVI | OPĆINE | OSTALO | ARHIVA | TRAŽILICA | IMPRESSUM


 
Godina XIV. - broj 46. Ponedjeljak, 4. prosinca 2006.
GRAD OPATIJA
60

58.

Na temelju članka članka 48. stavka 1. točke 3. Zakona o područnoj i lokalnoj (regionalnoj) samoupravi (»Narodne novine«, broj 33/01, 60/01 i 129/05) i članka 58. podstavka 5. Statuta Grada Opatije (»Službene novine« Primorsko-goranske županije, broj 23/01) Poglavarstvo Grada Opatije, na sjednici održanoj 21. studenoga 2006. godine, donosi

PRAVILNIK
o sigurnosti Informacijskog sustava Grada Opatije

I. OPĆE ODREDBE

Članak 1.

Ovim se Pravilnikom uređuju:

- ciljevi zaštite sigurnosti Informacijskog sustava Grada Opatije (u nastavku teksta: IS),

- organizacija zaštite sigurnosti,

- mjere i sredstva zaštite sigurnosti,

- provedba mjera i sredstava zaštite sigurnosti,

- odgovornost zbog nepridržavanja mjera i sredstava zaštite sigurnosti.

Članak 2.

Pojedini pojmovi koji se koriste u ovom Pravilniku imaju sljedeće značenje:

1. Account - mrežno ime ili identitet korisnika koji radi na računalu priključenom na mrežu računala.

2. Administrator - autorizirani korisnik sa specijalnim ovlastima za rad sa računalom, računalnim programima, bazama podataka, s ovlastima pristupa do računala kao samostalne radne jedinice ili kao jedinice na mreži, a za potrebe administriranja i nadzora nad bazama podataka te administriranja, nadzora i upravljanja računalnom i mrežnom opremom.

3. Aplikacija - program ili skup programa dizajniranih za pružanje podrške poslovnom procesu.

4. Autentifikacija podataka - postupak kod kojega se ispituje je li korisnik (njegova poruka) autentična, tj. da li se radi upravo o poruci koja se očekuje. Potvrda da nitko nije nešto dodavao u poruku niti mijenjao poruku. Postupak je takav da se na strani pošiljatelja dodaje dodatna informacija poruci koja ovisi o sadržaju poruke, a na prijemnoj strani se to verificira.

5. Autorizacija - postupak kod kojega najčešće programska podrška (software) ispituje da li je oprema ili korisnik koji pristupa autoriziran, tj. da li mu je dozvoljen pristup.

6. Autorizirani korisnik - korisnik koji je uspješno »prošao« postupak autorizacije, tj. korisnik kojemu je sustav autorizacije dozvolio pristup.

7. Digitalni certifikat - potvrda u elektroničkom obliku koji povezuje podatke za verificiranje elektroničkog potpisa s nekom osobom i potvrđuje identitet te osobe. Certifikat je, u smislu Zakona o elektroničkom potpisu, svaka elektronička potvrda kojom se potvrđuje identitet potpisnika u postupcima razmjene elektroničkih zapisa. Kvalificirani certifikat je svaka elektronička potvrda kojom davatelj usluga izdavanja kvalificiranih certifikata potvrđuje napredni elektronički potpis.

8. Dokumenti - svi pisani sastavci (akti, tablice, grafikoni, nacrti, crteži, i slično).

9. Elektronička pošta (e-mail) - protokol na Internetu, koji omogućuje korisnicima slanje tekstualnih poruka s računala na računalo. Kao dodatak tekstualnoj poruci mogu se poslati sve vrste dokumenata u elektronskom formatu: kolor fotografije, filmovi, animacije, dokumenti itd.

10. Elektronički potpis - skup podataka u elektroničkom obliku koji su pridruženi ili su logički povezani s drugim podacima u elektroničkom obliku i koji služe za identifikaciju potpisnika i vjerodostojnost potpisanog elektroničkog dokumenta.

11. Elektronički zapis - cjelovit skup podataka koji su elektronički generirani, poslati, primljeni ili sačuvani na elektroničkom, magnetnom, optičkom ili drugom mediju. Sadržaj elektroničkog zapisa uključuje sve oblike pisanog i drugog teksta, podatke, slike i crteže, karte, zvuk, glazbu, govor te računalne baze podataka.

12. Klijent - računalo koje otvara i koristi programe i aplikacije sa servera ili preuzima s njega programe i podatke.

13. Korisnik - korisnik informacijskog sustava je osoba koja koristi računalnu opremu, računalne programe i baze podataka, koja razvija programe i aplikacije za podršku poslovnom procesu, koja kreira, organizira i održava baze podataka te koja koristi računalo kao samostalnu radnu stanicu ili kao radnu stanicu na mreži.

14. Lozinka (password) - jedinstveni red znakova koje zna samo korisnik.

15. Mreža - mrežna infrastruktura za podršku informacijskom sustavu obuhvaća sve mrežne poslužitelje (poslužitelje baza podataka, web poslužitelje, poslužitelje za administriranje i nadzor mreže, za primanje i slanje elektroničke pošte i sl), radne stanice s pripadajućom perifernom opremom, mrežnu i komunikacijsku opremu za povezivanje lokalnih radnih stanica u lokalne mreže i izdvojenih, dislociranih radnih stanica kojima se omogućuje pristup do zajednički baza podataka.

16. Napredan elektronički potpis - elektronički potpis koji pouzdano jamči identitet potpisnika i koji je povezan isključivo s potpisnikom, nedvojbeno identificira potpisnika, nastaje korištenjem sredstava kojima potpisnik može samostalno upravljati i koja su isključivo pod nadzorom potpisnika te sadržava izravnu povezanost s podacima na koje se odnosi i to na način koji nedvojbeno omogućava uvid u bilo koju izmjenu izvornih podataka. Napredan elektronički potpis ima istu pravnu snagu i zamjenjuje vlastoručni potpis, odnosno vlastoručni potpis i otisak pečata ako je izrađen u skladu s odredbama Zakona o elektroničkom potpisu.

17. Operacijski sustav - skup osnovnih programa i alata koji pokreću računalo, upravljaju svim procesima u računalu, fizičkim i programskim dijelovima računala te uređuju njihovu komunikaciju.

18. Podaci - elektronički zapisi, dokumenti, njihovi sadržaji i prilozi, kao i usmena priopćenja i informacije povjerljive naravi, iznijeti u radu tijela gradske uprave Grada Opatije.

19. Poslužitelji - računala ili programski paketi koji omogućavaju specifičnu vrstu usluge za klijent programe koji se vrte na drugim računalima.

20. Radna stanica - računalo s pripadajućom perifernom opremom na kojem korisnik koristi računalne programe i baze podataka, razvija programe i aplikacije za podršku poslovnom procesu, kreira, organizira i održava baze podataka, bez obzira da li ga koristi kao samostalnu radnu stanicu ili kao radnu stanicu na mreži.

21. Služba - Služba za upravni razvitak, odnosno gradsko upravno tijelo u čijem je djelokrugu upravljanje IS-om.

22. Softver - softver ili programska podrška za rad računala je niz instrukcija i podataka pohranjenih u elektroničkom obliku u računalu.

23. Tajna - podatak koji je na temelju važećih propisa određen tajnim, bez obzira je li napisan rukom, osobnim računalom, strojem, tiskan, stenografiran, šifriran, filmiran, fotokopiran, snimljen na magnetnoj vrpci, disketi i drugim magnetnim medijima.

24. Vatrozid (firewall) - sigurnosna zaštita, filter koji ograničava pristup/prolaz neautoriziranim korisnicima za zaštitu lokalne mreže od neovlaštenog pristupa iz vanjskog svijeta te za sprečavanje nedozvoljenog prometa mrežom iznutra prema van.

25. Virus - kompjutorski virusi su kratki programi, čija je odlika brzo razmnožavanje, odnosno multipliciranje i izvršavanje određenih primarnih komandi, a virusi novije generacije prilikom kopiranja još i mutiraju, mijenjajući svoj osnovni source, odnosno prave štetu po sistemu.

II. CILJEVI ZAŠTITE SIGURNOSTI IS-a

Članak 3.

Ciljevi zaštite sigurnosti IS-a u smislu ovoga Pravilnika jesu:

- očuvanje i zaštita integriteta IS-a,

- reguliranje dostupnosti podacima,

- zaštita povjerljivosti podataka.

Članak 4.

IS Grada Opatije potrebno je štititi od:

- elementarnih nepogoda,

- požara,

- prekida ili neurednog napajanja električnom energijom,

- neovlaštenog pristupa i korištenja podataka i/ili programa,

- krađe opreme,

- krađe podataka i/ili programa,

- namjernog uništenja opreme i/ili podataka i/ili programa,

- zaraze računalnim virusom,

- neovlaštenog korištenja resursa,

- sprečavanja drugih u korištenju resursa,

- slučajnog gubitka podataka i/ili programa,

- kvara opreme.

Otklanjanje opasnosti iz stavka 1 ovoga članka osigurava se utvrđivanjem organizacije zaštite sigurnosti, mjera i sredstva zaštite sigurnosti, provedbe mjera i sredstava zaštite sigurnosti te utvrđivanja odgovornosti zbog nepridržavanja mjera i sredstava zaštite sigurnosti.

Članak 5.

IS, u smislu ovoga Pravilnika, obuhvaća informacijske sustave tijela Gradske uprave na svim lokacijama i zajedničke baze podataka IS-a.

Očuvanje i zaštitu integriteta IS-a Grad Opatija osigurava primjenom ovoga Pravilnika nad svim informacijskim sustavima i bazama podataka iz stavka 1. ovoga članka.

Članak 6.

Dostupnost podacima IS-a utvrđuje se organizacijom, mjerama i sredstvima zaštite sigurnosti utvrđenim ovim Pravilnikom te drugim propisima koji uređuju navedenu materiju.

Članak 7.

Na pitanja povezana sa pristupom podacima IS-a i njihovom zaštitom, koja nisu uređena ovim Pravilnikom, primjenjuju se zakoni koji uređuju zaštitu podataka i informacijsku sigurnost, kao i na temelju tih zakona donijeti podzakonski propisi.

III. ORGANIZACIJA ZAŠTITE SIGURNOSTI

1. Područje obuhvata zaštite

Članak 8.

Organizacijom zaštite sigurnosti, u smislu ovoga Pravilnika, obuhvaćeni su:

- zgrade,

- prostorije,

- mrežna infrastruktura,

- poslužitelji,

- radne stanice,

- operacijski sustavi,

- aplikacije,

- podaci i baze podataka i

- neumreženi sustavi IS-a.

Članak 9.

Mjere i sredstva zaštite sigurnosti IS-a Grada Opatije utvrđene ovim Pravilnikom primjenjuju se nad svim objektima iz članka 8. ovoga Pravilnika.

2. Načini korištenja IS-a

Članak 10.

Osobna računala, samostojeća ili povezana u lokalne mreže, s pripadajućim programima i podacima, kao i ostala informatička oprema smiju se koristiti isključivo za potrebe posla i u okviru ovlaštenja za obavljanje poslova.

Članak 11.

Korisnici informatičke opreme dužni su pridržavati se pravila za korištenje informatičke opreme i provoditi sve predviđene procedure i tehničke upute za korištenje informatičke opreme.

Članak 12.

Tehničke zahvate na informatičkoj opremi (promjena konfiguracije, zamjena pojedinih dijelova opreme) smiju obavljati samo za to ovlaštene osobe Službe ili ovlašteni serviseri uz nadzor djelatnika Službe.

Korisnicima informatičke opreme je zabranjeno obavljati tehničke zahvate iz prethodnog stavka ovoga članka.

Članak 13.

Korisnik smije koristiti samo odgovarajući potrošni materijal (diskete, papir, trake, tinte za pisače i slično) i poštivati propisane procedure kod nabave i zamjene kako ne bi nastale štete na informatičkoj opremi.

3. Ažurna evidencija svih računalnih i mrežnih resursa

Članak 14.

Služba je nadležna za vođenje ažurne evidencije o računalnim i mrežnim resursima IS-a Grada Opatije.

Svako premještanje računala ili njihovih perifernih uređaja s jedne lokacije na drugu odobrava, izvodi i evidentira ovlaštena osoba Službe.

Zastarjela oprema može se zamijeniti ili staviti izvan upotrebe samo od strane ovlaštene osobe Službe.

Članak 15.

Premještanje računala i zamjenu zastarjele opreme izvodi ovlaštena osoba Službe.

4. Korisnici IS-a

Članak 16.

Korisnik IS-a je svaka osoba koja koristi računalnu opremu, računalne programe i baze podataka, koja razvija programe i aplikacije za podršku poslovnom procesu, koja kreira, organizira i održava baze podataka te koristi računalo kao samostalnu radnu stanicu ili kao radnu stanicu na mreži.

Članak 17.

Korisnicima IS-a iz članka 18. ovoga Pravilnika Služba dodjeljuje ovlasti za korištenje IS-a, u skladu sa zahtjevima posla kojeg obavljaju, a po pribavljenom mišljenju pročelnika gradskoga upravnog tijela pretpostavljenog odnosnom korisniku.

5. Administratori IS-a

Članak 18.

Administrator IS-a je autorizirani korisnik sa specijalnim ovlastima za rad s računalom, računalnim programima, bazama podataka, s ovlastima pristupa do računala kao samostalne radne jedinice ili kao jedinice na mreži, a za potrebe administriranja i nadzora nad bazama podataka te administriranja, nadzora i upravljanja računalnom i mrežnom opremom.

Članak 19.

Administratoru IS-a iz članka 18. ovoga Pravilnika Služba dodjeljuje ovlasti za korištenje IS-a, u skladu sa zahtjevima posla kojeg obavlja.

6. Instalacija strojne i programske opreme

Članak 20.

Nabava i instalacija strojne i programske informatičke opreme obavlja se isključivo uz odobrenje Službe.

Služba propisuje tehničke i radne karakteristike koje treba zadovoljiti informatička oprema i standardni uvjeti okoline sa stanovišta sigurnosti, gdje se ona instalira.

Članak 21.

Instaliranje novih programa i izmjene postojećih programa smiju obavljati samo za to ovlaštene osobe Službe ili ovlašteni serviseri uz nadzor djelatnika Službe, uz pisani nalog.

Na poslužitelje ili osobna računala smije se instalirati samo programska podrška i podaci koje odobri ili nabavi Služba.

7. Održavanje sustava od strane vanjskih organizacija

Članak 22.

Održavanje sustava od strane drugih pravnih osoba provodi se uz odobrenje Službe.

Svaka osoba koja po bilo kojoj osnovi obavlja u Gradu Opatiji privremene ili povremene poslove, ili poslove temeljem posebnog ugovora, dužna je pridržavati se odredaba ovoga Pravilnika. Zaposleni u pravnim osobama koji obavljaju određene poslove za Grad Opatiju, za vrijeme obavljanja tih poslova, dužni su provoditi mjere zaštite sigurnosti utvrđene ovim Pravilnikom.

Članak 23.

Služba je dužna upoznati osobe navedene u članku 24. s odredbama ovoga Pravilnika pri davanju odobrenja za korištenje resursa IS-a.

8. Priključivanje i isključivanje poslužitelja i radnih stanica na mrežu

Članak 24.

Korisnicima je zabranjeno priključivanje i isključivanje poslužitelja i radnih stanica na lokalnu mrežu bez ovlaštenja Službe.

9. Rad na daljinu (teleworking)

Članak 25.

Bez prethodnog odobrenja Službe korisnicima je zabranjeno:

- povezivanje osobnih računala na Internet ili na neku drugu mrežu ili komunikacijski priključak izvan IS-a,

- spajanje računala izvan IS-a na računala i računalne sustave Grada Opatije.

Članak 26.

O svim uočenim nepravilnostima u radu i korištenju informatičke opreme zaposlenik Grada Opatije je dužan odmah izvijestiti osobu odgovornu za provedbu mjera zaštite sigurnosti i provedbu sigurnosne politike.

IV. MJERE I SREDSTVA ZAŠTITE SIGURNOSTI

Članak 27.

Prijetnje IS-u imaju za posljedicu smanjenje resursa, ograničavanje resursa, privremeni prestanak rada IS-a, gubitak podataka, gubitak programa i podataka ili potpuni gubitak IS-a.

1. Pristupna prava korisnika

Članak 28.

Dodjela pristupnih prava korisnika provodi se s ciljem omogućavanja ispravnog korištenja programa, podataka i resursa IS-a Grada Opatije.

Radi provođenja mjere dodjele pristupnih prava korisnicima mreže, aplikacija i baza podataka IS-a pohranjenih u računalima, potrebno je provoditi sljedeće radnje:

1. Služba je dužna organizirati i provjeravati autentičnost korisnika koji pristupaju mreži računalnih sustava,

2. Služba je dužna organizirati pristup i provesti kontrolu pristupa svim računalnim sustavima Grada Opatije samo ovlaštenim zaposlenicima primjereno zahtjevima posla kojeg obavljaju,

3. Služba je dužna provesti sve nadopune, brisanja i promjene u organizaciji i kontroli pristupa računalnim sustavima u skladu s odobrenim zahtjevom krajnjeg korisnika,

4. Služba je dužna voditi i održavati ažurnim popis administrativnih pristupnih kodova i lozinki te čuvati taj popis na sigurnom mjestu,

5. Služba je dužna onemogućiti anonimni pristup bilo koje vrste do radnih stanica,

6. Služba je dužna kontrolirati modemske i slične priključke na mrežu, a instalaciju novih modema odobrava Služba za upravni razvitak,

7. Služba je dužna pratiti sva događanja na mreži,

8. korisnik računalnog sustava je odgovoran za sve računalne transakcije izvršene uz uporabu njegove korisničke identifikacije i lozinke,

9. zabranjeno je obznanjivati lozinke drugima te se lozinka mora promptno promijeniti ako postoji sumnja da je postala poznata drugima,

10. zabranjeno je pohranjivati lozinku na mjesto gdje je do nje lako doći,

11. ne smiju se koristiti lozinke koje se mogu lako pamtiti, lako odgonetnuti ili probiti od strane drugih,

12. lozinke moraju sadržavati najmanje sedam znakova i to kombinaciju slova, brojki i simbola,

13. korisnik mora odjaviti svoj account kada prestaje s radom na računalu na duže vrijeme,

14. službenik zadužen za kadrovsku evidenciju Grada Opatije je dužan bez odgode obavijestiti projektanta informacijskog sustava o tome da li nekom djelatniku prestaje radni odnos u Gradu Opatiji ili se raspoređuje na rad u drugi odjel gradske uprave, kako bi se mogla opozvati njegova ovlaštenja za pristup resursima,

15. radna stanica se mora ugasiti kada nije u upotrebi (npr. preko noći).

2. Vatrozid

Članak 29.

Vatrozid se primjenjuje s ciljem organizacije i kontrole prometa mrežom te sprječavanja nedozvoljenog prometa mrežom.

Radi provođenja mjera organizacije, kontrole i zaštite prometa mrežom, Služba je dužna:

1. primijeniti vatrozid za organizaciju i kontrolu prometa podacima između vanjskog svijeta i unutrašnjeg dijela mreže,

2. primijeniti vatrozid za sprječavanje nedozvoljenog prometa mrežom iznutra prema van,

3. primijeniti vatrozid za sprječavanje nedozvoljenog prometa mrežom iz vanjskog svijeta prema unutrašnjem dijelu mreže,

4. primijeniti vatrozid za sprečavanje nedozvoljenog prometa zaštićenim segmentom lokalne mreže od ostale lokalne mreže.

3. Internet i elektronička pošta

Članak 30.

Sigurno korištenje Interneta i elektroničke pošte provodi se u cilju sprečavanja zaraze računalnim virusom, slučajnog gubitka programa i/ili podataka, krađe programa i/ili podataka, neovlaštenog pristupa i korištenja podataka i/ili programa, neovlaštenog korištenja resursa, sprečavanja drugih u korištenju resursa te namjernog uništenja opreme i/ili programa i/ili podataka.

Radi sigurnog korištenja Interneta i elektroničke pošte potrebno je provoditi sljedeće radnje:

1. dozvoljena je komunikacija putem Interneta koja se obavlja iz profesionalnih razloga i koja ne utječe negativno na produktivnost,

2. dozvoljeno je korištenje web preglednika za prikupljanje poslovnih informacija s komercijalnih web adresa,

3. dozvoljeno je korištenje Interneta za pristup bazama podataka radi pronalaženja poslovnih informacija,

4. dozvoljeno je korištenje elektroničke pošte u svrhu ostvarivanja poslovnih kontakata,

5. obavezno je čuvanje elektroničke pošte koja je značajna za poslovni proces,

6. korisnik Interneta i elektroničke pošte snosi odgovornost za sadržaj svih tekstova, zvučnih zapisa ili slika koje objavljuje ili šalje putem Interneta,

7. uz svaku komunikaciju putem Interneta mora biti naznačeno ime djelatnika koji je obavlja,

8. zabranjeno je slanje i prosljeđivanje lančane elektroničke pošte, tj. poruka koje uključuju naputke za prosljeđivanje poruka drugima,

9. zabranjeno je obavljanje privatnih i osobnih poslova uz korištenje resursa IS-a,

10. zabranjeno je slanje bilo kakvog sadržaja koji je ofanzivan, koji primatelju može stvoriti neprilike ili štetu, ili je obmanjujući,

11. antivirusna zaštita mora biti obavezno aktivirana kod prijama elektroničke pošte i pridruženih datoteka,

12. zabranjeno je pokretanje izvršnih datoteka ako se ne zna o čemu se radi i da li je izvor pouzdan.

4. Protuvirusna zaštita

Članak 31.

Protuvirusna zaštita provodi se u cilju sprečavanja zaraze računalnim virusom, slučajnog gubitka programa i/ili podataka, krađe programa i/ili podataka, neovlaštenog pristupa i korištenja podataka i/ili programa, neovlaštenog korištenja resursa, sprečavanja drugih u korištenju resursa te namjernog uništenja opreme i/ili programa i/ili podataka.

Radi provođenja protuvirusne zaštite potrebno je provoditi sljedeće radnje:

1. Služba je dužna instalirati i održavati antivirusne programe na svim poslužiteljima i radnim stanicama Grada Opatije redovitim ažuriranjem u pogledu novih vrsta virusa,

2. Služba je dužna konfigurirati antivirusni program tako da vrši antivirusno skeniranje svih ulaznih objekata,

3. Služba je dužna odgovoriti na sve napade računalnih virusa, uništiti svaki otkriveni virus te dokumentirati svaki incident,

4. zabranjeno je namjerno unositi računalne viruse u računala Grada Opatije,

5. svatko tko sumnja da je njegovo računalo zaraženo virusom mora odmah isključiti računalo i o tome obavijestiti odgovornu osobu za provedbu mjera zaštite sigurnosti.

5. Korištenje softvera

Članak 32.

Sigurno korištenje softvera provodi se u cilju sprečavanja zaraze računalnim virusom, slučajnog gubitka programa i/ili podataka, krađe programa i/ili podataka, neovlaštenog pristupa i korištenja podataka i/ili programa, neovlaštenog korištenja resursa, sprečavanja drugih u korištenju resursa te namjernog uništenja opreme i/ili programa i/ili podataka.

Radi provođenja zaštite softvera potrebno je provoditi sljedeće radnje:

1. pridržavati se odredbi propisa koji uređuju autorska i srodna prava,

2. pridržavati se licencnih ugovora o korištenju autorski zaštićenog softvera,

3. Služba je dužna voditi evidenciju o svim licencama softvera u posjedu Grada Opatije,

4. Služba je dužna periodično, a najmanje jednom godišnje, izvršiti uvid u računala u posjedu Grada Opatije kako bi verificirao da je instaliran samo softver za čije korištenje je Grad Opatija ovlašten,

5. samo licencirani softver i softver u vlasništvu Grada Opatije smije se instalirati na računalima Grada Opatije,

6. zabranjena je instalacija bilo kakvog softvera za koji se nema dozvola Službe,

7. zabranjena je izmjena bilo kakvog softvera za koju se nema dozvola Službe,

8. zabranjena je deinstalacija bilo kojeg softvera instaliranog na računalu bez dozvole Službe.

6. Zaštita podataka

Članak 33.

Zaštita podataka provodi se u cilju sprečavanja zaraze računalnim virusom, slučajnog gubitka programa i/ili podataka, krađe programa i/ili podataka, neovlaštenog pristupa i korištenja podataka i/ili programa, neovlaštenog korištenja resursa, sprečavanja drugih u korištenju resursa te namjernog uništenja opreme i/ili programa i/ili podataka.

Radi provođenja zaštite podataka potrebno je provoditi sljedeće radnje:

1. magnetni mediji s podacima moraju se pohranjivati pod ključem,

2. magnetne medije treba pohranjivati na mjestima na kojima nisu izloženi vanjskim rizicima, kao što su toplina, izravna sunčeva svjetlost i magnetska polja,

3. Služba je dužna svakodnevno pohranjivati korisničke podatke sa poslužitelja na odvojene magnetne medije i čuvati ih,

4. Služba je dužna nakon svake instalacije ili modifikacije sistemskih datoteka pohraniti sistemski softver i sistemske podatke sa poslužitelja na odvojene magnetne medije i čuvati ih,

5. Služba je dužna samostalne radne stanice koje nemaju ugrađenu jedinicu za pohranjivanje podataka na drugi magnetni medij spojiti na mrežu kako bi se omogućila automatizirana centralizirana zaštita podataka preko mreže.

7. Fizička zaštita prostorija s opremom

Članak 34.

Fizička zaštita prostorija s opremom provodi se u cilju sprečavanja kvara opreme, krađe opreme, prekida ili neurednog napajanja električnom energijom, požara ili elementarnih nepogoda, krađe programa i/ili podataka, neovlaštenog pristupa i korištenja podataka i/ili programa, neovlaštenog korištenja resursa, sprečavanja drugih u korištenju resursa te namjernog uništenja opreme i/ili programa i/ili podataka.

Radi provođenja fizičke zaštite prostorija s opremom potrebno je provoditi sljedeće radnje:

1. poslužitelji i aktivna mrežna oprema se moraju smjestiti u sigurnim i čvrstim zgradama koje nisu izložene poplavi,

2. poslužitelji i mrežna oprema se moraju štititi stalnim izvorom energije (UPS), a ostala računalna oprema štiti se od strujnih udara stabilizatorima napona,

3. prostorije s poslužiteljima se moraju štititi od visoke ili niske vlažnosti zraka te ekstremne topline ili hladnoće klimatizacijskim uređajima,

4. prostorije s računalnom opremom moraju biti zaštićene od požara u skladu s Pravilnikom o zaštiti od požara,

5. prostorija s glavnim komunikacijskim čvorom i telefonskom centralom mora biti zaključana i pristup dozvoljen samo uz prisustvo ovlaštene osobe,

6. u trenucima kada nitko ne boravi u prostorijama s računalnom opremom, vrata moraju biti zaključavana, a prozori zatvarani,

7. u slučaju krađe ili gubitka ključa od prostorije s računalnom opremom treba obavijestiti odgovornu osobu i zamijeniti bravu,

8. oprema koja mora biti smještena na javno pristupnom prostoru mora biti zaštićena, a javni pristup nadziran,

9. prije dozvole ulaska posjetitelju potrebno je verificirati posjetu kod osobe kojoj se posjetitelj upućuje,

10. pristup do uređaja za obradu podataka mora biti kontroliran i dozvoljen samo ovlaštenim osobama.

V. PROVEDBA MJERA I PRIMJENA SREDSTAVA ZAŠTITE SIGURNOSTI

1. Načini provedbe

Članak 35.

Poduzimanje i provođenje propisanih mjera i sredstava zaštite sigurnosti IS-a provodi se u skladu s odredbama ovoga Pravilnika.

Članak 36.

Služba neposredno organizira i nadzire provođenje mjera i sredstava zaštite sigurnosti utvrđenih ovim Pravilnikom.

U cilju unapređenja zaštite sigurnosti IS-a odgovorna osoba za provedbu mjera i sredstava zaštite sigurnosti predlaže, osim mjera i sredstava utvrđenih ovim Pravilnikom, provedbu drugih mjera zaštite sigurnosti u skladu sa zakonom i opće prihvaćenim pravilima struke.

Članak 37.

Odgovorna osoba za provedbu mjera i sredstava zaštite sigurnosti pri obavljanju kontrole i nadzora nad provedbom mjera zaštite sigurnosti dužna je izvijestiti neposrednog rukovoditelja kod kojeg je nadzor obavljen o rezultatima kontrole i unijeti ih u redovna izvješća.

Ako odgovorna osoba za provedbu mjera zaštite sigurnosti pristupa rješavanju složenijih problema s područja zaštite sigurnosti IS-a surađivat će sa svim tijelima gradske uprave Grada Opatije.

Članak 38.

Odgovorna osoba za provedbu mjera zaštite sigurnosti obavlja sljedeće poslove:

- obavlja redovitu kontrolu provedbe mjera zaštite sigurnosti utvrđenih ovim Pravilnikom,

- surađuje i koordinira rad na izradi uputa za zaštitu sigurnosti IS-a,

- izvješćuje pojedine pročelnike odjela gradske uprave o utvrđenim nepravilnostima glede sigurnosnih uvjeta i predlaže mjere za otklanjanje istih.

Članak 39.

Prigodom obavljanja kontrole provedbe mjera zaštite sigurnosti IS-a propisanih ovim Pravilnikom, odgovorna osoba ima sljedeća ovlaštenja:

- narediti prekid obavljanja posla ili radnje kojom se neposredno ugrožava sigurnost IS-a te o tome izvijestiti neposrednog rukovoditelja,

- udaljiti s radnog mjesta djelatnika koji svojim postupkom neposredno ugrožava sigurnost IS-a te o tome izvijestiti njegovog neposrednog rukovoditelja,

- izvijestiti pročelnika pojedinog tijela gradske uprave o neprovođenju propisanih mjera zaštite sigurnosti.

2. Subjekti provedbe

Članak 40.

Svaki djelatnik zaposlen u tijelima gradske uprave Grada Opatije dužan je poduzimati i provoditi propisane mjere i sredstva zaštite sigurnosti IS-a u skladu s ovim Pravilnikom.

Članak 41.

Pročelnici tijela gradske uprave i rukovoditelji unutarnjih ustrojstvenih obvezni su:

- provoditi i nadzirati provođenje propisanih mjera zaštite sigurnosti,

- upoznati novog zaposlenika s opasnostima od ugrožavanja sigurnosti IS-a,

- poduzeti mjere da se nedostaci koji mogu utjecati na sigurnost IS-a, a utvrđeni su pregledom ili prijavljeni od strane odgovorne osobe za provedbu zaštite sigurnosti, odmah uklone,

- izvijestiti odgovornu osobu za zaštitu sigurnosti i provođenje mjera zaštite sigurnosti o svakom nastalom problemu ili mogućoj opasnosti za sigurnost IS-a,

- udaljiti svakog zaposlenika koji pri obavljanju poslova ne provodi i ne primjenjuje mjere zaštite sigurnosti sustava,

- prekinuti rad na radnom mjestu, u tehnološkom procesu, na sredstvu rada i u radnoj okolini ako utvrdi da postoji izravna opasnost za ugrožavanje sigurnosti sustava ili se poslovi izvode suprotno pravilima zaštite.

Članak 42.

Djelatnik zaposlen u tijelima gradske uprave Grada Opatije dužan je:

- upoznati se s odredbama ovog Pravilnika prije stupanja na rad i samostalnog obavljanja poslova na radnom mjestu, kao i svladati osposobljavanje za provedbu mjera zaštite sigurnosti,

- poduzimati i provoditi propisane mjere zaštite sigurnosti na radnom mjestu i u radnom prostoru,

- svaku uočenu opasnost koja bi mogla biti prijetnja ugrožavanju sigurnosti sustava odmah prijaviti neposrednom rukovoditelju ili osobi odgovornoj za provođenje mjera zaštite sigurnosti.

3. Edukacija korisnika i administratora

Članak 43.

Odgovorna osoba za provedbu mjera i sredstava zaštite sigurnosti dužna je osigurati osposobljavanje djelatnika gradske uprave Grada Opatije za provedbu mjera i sredstava zaštite propisanih ovim Pravilnikom.

Obveza iz stavka 1. ovoga članka odnosi se i na djelatnike koji su zaposleni na određeno vrijeme.

4. Postupanje u incidentnim situacijama

Članak 44.

U slučaju havarije ili incidentne situacije zaposlenik Grada Opatije je dužan odmah izvijestiti odgovornu osobu za provedbu mjera zaštite sigurnosti.

Pod havarijom u smislu ovoga Pravilnika smatraju se:

- potpuni gubitak sustava,

- gubitak programa,

- gubitak podataka.

Pod incidentnim situacijama u smislu ovoga Pravilnika smatraju se:

- privremeni prestanak rada sustava,

- gubitak opreme,

- ograničavanje resursa u radu,

- smanjenje resursa,

- kvar opreme.

5. Nadzor

Članak 45.

Nadzor nad primjenom mjera i sredstava zaštite sigurnosti IS-a obavlja se sukladno odredbama ovoga Pravilnika.

Nadzor na primjenom mjera i sredstava zaštite sigurnosti organizira i provodi odgovorna osoba za provedbu mjera i sredstava zaštite sigurnosti.

6. Stalna i povremena revizija

Članak 46.

Odgovorna osoba za provedbu mjera i sredstava zaštite sigurnosti dužna je provoditi stalnu i povremenu reviziju provedbe mjera i sredstava zaštite propisanih ovim Pravilnikom.

VI. ODGOVORNOST ZBOG NEPRIDRŽAVANJA MJERA I SREDSTAVA ZAŠTITE SIGURNOSTI

Članak 47.

Osoba odgovorna za opću provedbu mjera zaštite sigurnosti i provedbu sigurnosne politike u skladu s ovim Pravilnikom je pročelnik Službe.

Odgovorna osoba za provedbu mjera zaštite sigurnosti redovito obavlja kontrolu provedbe mjera zaštite utvrđenih ovim Pravilnikom i odgovorna je za provedbu tih mjera.

Odgovorna osoba iz stavka 1. ovoga članka može dio svojih dužnosti pismeno povjeriti drugom djelatniku.

Članak 48.

Korisnik IS-a je dužan pridržavati se svih mjera i sredstava zaštite propisanih ovim Pravilnikom.

Ako korisnik nepridržavanjem odredaba ovoga Pravilnika nanese štetu Gradu Opatiji, odgovara za pričinjenu štetu sukladno propisima o odgovornosti za štetu.

VII. ZAVRŠNE ODREDBE

Članak 49.

Svaki korisnik IS-a dužan je potpisati Izjavu o prihvaćanju sigurnosne politike IS-a Grada Opatije, u roku od 15 dana od stupanja na snagu ovog Pravilnika (zatečeni korisnici), odnosno od stjecanja statusa korisnika IS-a (budući korisnici).

Obrazac Izjave iz stavka 1. ovoga članka nalazi se u privitku (Prilog 1) i čini sastavni dio ovoga Pravilnika.

Članak 50.

O potpisivanju Izjave iz članka 49. ovoga Pravilnika vodi se očevidnik.

Očevidnik iz stavka 1. ovoga članka ovoga članka vodi odgovorna osoba za provedbu mjera zaštite sigurnosti IS-a Grada Opatije.

Sadržaj očevidnika propisuje pročelnik Službe, u roku od 15 dana od stupanja na snagu ovog Pravilnika.

Članak 51.

Ovaj Pravilnik stupa na snagu osmoga dana nakon objave u »Službenim novinama« Primorsko-goranske županije.

Klasa: 650-01/06-01/07

Ur. broj: 2156/01-02-06-2

Opatija, 21. studenoga 2006.

PREDSJEDNIK GRADSKOG POGLAVARSTVA

Dr. sc. Amir Muzur, v.r.

Prilog

IZJAVA
O PRIHVAĆANJU SIGURNOSNE POLITIKE IS-a

Potpisivanjem ove Izjave izjavljujem da sam:

1. Primio/la i pročitala Pravilnik o sigurnosti Informacijskog sustava Grada Opatije i razumio/razumjela ga.

2. Razumio/la sam i slažem se da svako računalo, softver i memorijski medij koji mi je pribavio Grad Opatija sadrži vlasništvom zaštićene i povjerljive informacije o Gradu Opatiji i njenim poslovnim partnerima te da one jesu i ostaju vlasništvo Grada Opatije u svim svojim dijelovima i trajno.

3. Slažem se da neću kopirati, umnožavati (s izuzetkom sigurnosnog kopiranja kao dijela mojih radnih obveza u Gradu Opatiji), na bilo koji način objavljivati i omogućiti bilo kome drugome da kopira bilo koji dio tih informacija ili softvera.

4. Slažem se da ću, prestankom radnog odnosa u Gradu Opatiji iz bilo kojeg razloga, odmah vratiti izvorni primjerak i sve kopije svog softvera, računalnog materijala i računalne opreme koje sam primio od Grada Opatije, a koji su u mome posjedu ili na bilo koji drugi način pod mojom izravnom ili neizravnom kontrolom.

Potpis zaposlenika:


Ime i prezime zaposlenika:


Datum:


Tijelo gradske uprave:




© Primorsko-goranska županija 2002.-2003. Sva prava pridržana.
Obratite se webmasteru s pitanjima i komentarima.
Programska podrška
www.netcom.hr