SADRŽAJ | ŽUPANIJA | GRADOVI | OPĆINE | OSTALO | ARHIVA | TRAŽILICA | IMPRESSUM


 
Godina XVII. - broj 15. Petak, 10. travnja 2009.
GRAD BAKAR
73

14.

Na temelju odredbe članka 64. i članka 97. Statuta Grada Bakra (»Službene novine Primorsko-goranske županije« broj 54/06 i 10/07), Gradsko poglavarstvo Grada Bakra, na 148. sjednici održanoj dana 8. travnja 2009. godine donosi

PRAVILNIK
o sigurnosti informacijskog sustava Grada Bakra

I. OPĆE ODREDBE

Članak 1.

Ovim se Pravilnikom uređuju:

. ciljevi zaštite sigurnosti informacijskog sustava (u daljnjem tekstu IS) Grada Bakra,

. organizacija zaštite sigurnosti,

. mjere i sredstva zaštite sigurnosti,

. provedba mjera i sredstava zaštite sigurnosti,

. odgovornost zbog nepridržavanja mjera i sredstava zaštite sigurnosti.

Članak 2.

Pojedini pojmovi koji se koriste u ovom Pravilniku imaju slijedeće značenje:

1. Account - mrežno ime ili identitet korisnika koji radi na računalu priključenom na mrežu računala.

2. Administrator - autorizirani korisnik sa specijalnim ovlastima za rad sa računalom, računalnim programima, bazama podataka, s ovlastima pristupa do računala kao samostalne radne jedinice ili kao jedinice na mreži, a za potrebe administriranja i nadzora nad bazama podataka te administriranja, nadzora i upravljanja računalnom i mrežnom opremom.

3. Aplikacija - program ili skup programa dizajniranih za pružanje podrške poslovnom procesu.

4. Autentifikacija podataka - postupak kod kojega se ispituje je li korisnik (njegova poruka) autentična, tj. da li se radi upravo o poruci koja se očekuje. Potvrda da nitko nije nešto dodavao u poruku niti mijenjao poruku. Postupak je takav da se na strani pošiljatelja dodaje dodatna informacija poruci koja ovisi o sadržaju poruke, a na prijemnoj strani se to verificira.

5. Autorizacija - postupak kod kojega najčešće programska podrška (software) ispituje da li je oprema ili korisnik koji pristupa autoriziran, tj. da li mu je dozvoljen pristup.

6. Autorizirani korisnik - korisnik koji je uspješno »prošao« postupak autorizacije, tj. korisnik kojemu je sustav autorizacije dozvolio pristup.

7. Digitalni certifikat - potvrda u elektroničkom obliku koji povezuje podatke za verificiranje elektroničkog potpisa s nekom osobom i potvrđuje identitet te osobe. Certifikat je, u smislu Zakona o elektroničkom potpisu, svaka elektronička potvrda kojom se potvrđuje identitet potpisnika u postupcima razmjene elektroničkih zapisa. Kvalificirani certifikat je svaka elektronička potvrda kojom davatelj usluga izdavanja kvalificiranih certifikata potvrđuje napredni elektronički potpis.

8. Dokumenti - svi pisani sastavci (akti, tablice, grafikoni, nacrti, crteži i slično).

9. Elektronička pošta (e-mail) - protokol na Internetu, koji omogućuje korisnicima slanje tekstualnih poruka s računala na računalo. Kao dodatak tekstualnoj poruci mogu se poslati sve vrste dokumenata u elektronskom formatu: kolor fotografije, filmovi, animacije, dokumenti itd.

10. Elektronički potpis - skup podataka u elektroničkom obliku koji su pridruženi ili su logički povezani s drugim podacima u elektroničkom obliku i koji služe za identifikaciju potpisnika i vjerodostojnost potpisanog elektroničkog dokumenta.

11. Elektronički zapis - cjelovit skup podataka koji su elektronički generirani, poslati, primljeni ili sačuvani na elektroničkom, magnetnom, optičkom ili drugom mediju. Sadržaj elektroničkog zapisa uključuje sve oblike pisanog i drugog teksta, podatke, slike i crteže, karte, zvuk, glazbu, govor te računalne baze podataka.

12. Klijent - računalo koje otvara i koristi programe i aplikacije sa servera ili preuzima s njega programe i podatke.

13. Korisnik - korisnik informacijskog sustava je osoba koja koristi računalnu opremu, računalne programe i baze podataka, koja razvija programe i aplikacije za podršku poslovnom procesu, koja kreira, organizira i održava baze podataka te koja koristi računalo kao samostalnu radnu stanicu ili kao radnu stanicu na mreži.

14. Lozinka (password) - jedinstveni red znakova koje zna samo korisnik.

15. Mreža - mrežna infrastruktura za podršku informacijskom sustavu obuhvaća sve mrežne poslužitelje (poslužitelje baza podataka, web poslužitelje, poslužitelje za administriranje i nadzor mreže, za primanje i slanje elektroničke pošte i sl), radne stanice s pripadajućom perifernom opremom, mrežnu i komunikacijsku opremu za povezivanje lokalnih radnih stanica u lokalne mreže i izdvojenih, dislociranih radnih stanica kojima se omogućuje pristup do zajednički baza podataka.

16. Napredan elektronički potpis - elektronički potpis koji pouzdano jamči identitet potpisnika i koji je povezan isključivo s potpisnikom, nedvojbeno identificira potpisnika, nastaje korištenjem sredstava kojima potpisnik može samostalno upravljati i koja su isključivo pod nadzorom potpisnika te sadržava izravnu povezanost s podacima na koje se odnosi i to na način koji nedvojbeno omogućava uvid u bilo koju izmjenu izvornih podataka. Napredan elektronički potpis ima istu pravnu snagu i zamjenjuje vlastoručni potpis, odnosno vlastoručni potpis i otisak pečata ako je izrađen u skladu s odredbama Zakona o elektroničkom potpisu.

17. Operacijski sustav - skup osnovnih programa i alata koji pokreću računalo, upravljaju svim procesima u računalu, fizičkim i programskim dijelovima računala te uređuju njihovu komunikaciju.

18. Podaci - elektronički zapisi, dokumenti, njihovi sadržaji i prilozi, kao i usmena priopćenja i informacije povjerljive naravi, iznijeti u radu tijela gradske uprave Grada Bakra.

19. Poslužitelji - računala ili programski paketi koji omogućavaju specifičnu vrstu usluge za klijent programe koji se vrte na drugim računalima.

20. Radna stanica - računalo s pripadajućom perifernom opremom na kojem korisnik koristi računalne programe i baze podataka, razvija programe i aplikacije za podršku poslovnom procesu, kreira, organizira i održava baze podataka, bez obzira da li ga koristi kao samostalnu radnu stanicu ili kao radnu stanicu na mreži.

21. Softver - softver ili programska podrška za rad računala predstavlja niz instrukcija i podataka pohranjenih u elektroničkom obliku u računalu.

22. Tajna - podatak koji je na temelju važećih propisa određen tajnim, bez obzira je li napisan rukom, osobnim računalom, strojem, tiskan, stenografiran, šifriran, filmiran, fotokopiran, snimljen na magnetnoj vrpci, disketi i drugim magnetnim medijima.

23. Ured - Ured gradonačelnika, odnosno gradsko upravno tijelo u čijem je djelokrugu upravljanje IS-om.

24. Vatrozid (firewall) - sigurnosna zaštita, filter koji ograničava pristup/prolaz neautoriziranim korisnicima za zaštitu lokalne mreže od neovlaštenog pristupa iz vanjskog svijeta te za sprječavanje nedozvoljenog prometa mrežom iznutra prema van.

25. Virus - kompjutorski virusi su kratki programi, čija je odlika brzo razmnožavanje, odnosno multipliciranje i izvršavanje određenih primarnih naredbi, a virusi novije generacije prilikom kopiranja još i mutiraju, mijenjajući svoj osnovni source, odnosno uzrokuju štetu sustavu.

II. CILJEVI ZAŠTITE SIGURNOSTI IS-a

Članak 3.

Ciljevi zaštite sigurnosti IS-a u smislu ovoga Pravilnika jesu:

. očuvanje i zaštita integriteta IS-a,

. reguliranje dostupnosti podacima,

. zaštita povjerljivosti podataka.

Članak 4.

IS Grada Bakra potrebno je štititi od:

. elementarnih nepogoda,

. požara,

. prekida ili neurednog napajanja električnom energijom,

. neovlaštenog pristupa i korištenja podataka i/ili programa,

. krađe opreme,

. krađe podataka i/ili programa,

. namjernog uništenja opreme i/ili podataka i/ili programa,

. zaraze računalnim virusom,

. neovlaštenog korištenja resursa,

. sprječavanja drugih u korištenju resursa,

. slučajnog gubitka podataka i/ili programa,

. kvara opreme.

Otklanjanje opasnosti iz stavka 1 ovoga članka osigurava se utvrđivanjem organizacije zaštite sigurnosti, mjera i sredstva zaštite sigurnosti, provedbe mjera i sredstava zaštite sigurnosti te utvrđivanja odgovornosti zbog nepridržavanja mjera i sredstava zaštite sigurnosti.

Članak 5.

IS Grada Bakra, u smislu ovoga Pravilnika, obuhvaća informacijske sustave tijela gradske uprave na svim lokacijama i zajedničke baze podataka IS-a.

Očuvanje i zaštitu integriteta IS-a Grad Bakar osigurava primjenom ovoga Pravilnika nad svim informacijskim sustavima i bazama podataka iz stavka 1. ovoga članka.

Članak 6.

Dostupnost podacima IS-a utvrđuje se organizacijom, mjerama i sredstvima zaštite sigurnosti utvrđenim ovim Pravilnikom te drugim propisima koji uređuju navedenu materiju.

Članak 7.

Na pitanja povezana sa pristupom podacima IS-a i njihovom zaštitom, koja nisu uređena ovim Pravilnikom, primjenjuju se zakoni koji uređuju zaštitu podataka i informacijsku sigurnost, kao i na temelju tih zakona donijeti podzakonski propisi.

III. ORGANIZACIJA ZAŠTITE SIGURNOSTI

1. Područje obuhvata zaštite

Članak 8.

Organizacijom zaštite sigurnosti, u smislu ovoga Pravilnika, obuhvaćeni su:

. zgrade,

. prostorije,

. mrežna infrastruktura,

. poslužitelji,

. radne stanice,

. operacijski sustavi,

. aplikacije,

. podaci i baze podataka i

. neumreženi sustavi IS-a.

Članak 9.

Mjere i sredstva zaštite sigurnosti IS-a Grada Bakra utvrđene ovim Pravilnikom primjenjuju se nad svim objektima iz članka 8. ovoga Pravilnika.

2. Načini korištenja IS-a

Članak 10.

Osobna računala, samostojeća ili povezana u lokalne mreže, s pripadajućim programima i podacima, kao i ostala informatička oprema smiju se koristiti isključivo za potrebe posla i u okviru ovlaštenja za obavljanje poslova.

Zabranjeno je koristiti osobna računala i ostalu informatičku opremu, aplikacije i podatke izvan Grada Bakra bez pisanog odobrenja ovlaštene osobe Ureda.

Članak 11.

Korisnici informatičke opreme dužni su pridržavati se pravila za korištenje informatičke opreme i provoditi sve predviđene procedure i tehničke upute za korištenje informatičke opreme.

Članak 12.

Tehničke zahvate na informatičkoj opremi (promjena konfiguracije, zamjena pojedinih dijelova opreme) smiju obavljati ovlašteni serviseri po nalogu i uz nadzor ovlaštene osobe Ureda.

Korisnicima informatičke opreme je zabranjeno obavljati tehničke zahvate iz prethodnog stavka ovoga članka.

Članak 13.

Korisnik smije koristiti samo odgovarajući potrošni materijal (diskete i ostale medije za pohranu podataka, papir, trake, tinte za pisače i slično) i poštivati propisane procedure kod nabave i zamjene kako ne bi nastale štete na informatičkoj opremi.

3. Ažurna evidencija svih računalnih i mrežnih resursa

Članak 14.

Ured je nadležan za vođenje ažurne evidencije o računalnim i mrežnim resursima IS-a Grada Bakra.

Svako premještanje računala ili njihovih perifernih uređaja s jedne lokacije na drugu odobrava, izvodi i evidentira ovlaštena osoba Ureda.

Zastarjela oprema može se zamijeniti ili staviti izvan upotrebe samo od strane ovlaštene osobe Ureda.

Članak 15.

Premještanje računala i zamjenu zastarjele opreme izvodi ovlašteni serviser po odobrenju ovlaštene osobe Ureda.

4. Korisnici IS-a

Članak 16.

Korisnik IS-a je svaka osoba koja koristi računalnu opremu, računalne programe i baze podataka, koja razvija programe i aplikacije za podršku poslovnom procesu, koja kreira, organizira i održava baze podataka te koristi računalo kao samostalnu radnu stanicu ili kao radnu stanicu na mreži.

Članak 17.

Korisnicima IS-a iz članka 16. ovoga Pravilnika Ured dodjeljuje ovlasti za korištenje IS-a u skladu s zahtjevima posla kojeg obavljaju, a po pribavljenom mišljenju pročelnika gradskoga upravnog tijela pretpostavljenog odnosnom korisniku.

5. Administratori IS-a

Članak 18.

Administrator IS-a je autorizirani korisnik sa specijalnim ovlastima za rad sa računalom, računalnim programima, bazama podataka, s ovlastima pristupa do računala kao samostalne radne jedinice ili kao jedinice na mreži, a za potrebe administriranja i nadzora nad bazama podataka te administriranja, nadzora i upravljanja računalnom i mrežnom opremom.

Članak 19.

Administratoru IS-a iz članka 18. ovoga Pravilnika Ured dodjeljuje ovlasti za korištenje IS-a u skladu sa zahtjevima posla kojeg obavlja.

6. Instalacija strojne i programske opreme

Članak 20.

Nabava i instalacija strojne i programske informatičke opreme obavlja se isključivo uz odobrenje Ureda.

Ured propisuje tehničke i radne karakteristike koje treba zadovoljiti informatička oprema i standardni uvjeti okoline sa stanovišta sigurnosti, gdje se ona instalira.

Članak 21.

Instaliranje novih programa i izmjene postojećih programa smiju obavljati samo za to ovlaštene osobe Ureda ili ovlašteni serviseri uz nadzor djelatnika Ureda, uz pisani nalog.

Na poslužitelje ili osobna računala smije se instalirati samo programska podrška i podaci koje odobri ili nabavi Ured.

7. Održavanje sustava od strane vanjskih organizacija

Članak 22.

Održavanje sustava od strane drugih pravnih osoba provodi se uz odobrenje Ureda.

Kod održavanja sustava od strane drugih pravnih osoba, Ured je dužan osigurati da održavatelj sustava prati dinamiku i statistiku zlonamjernog softvera, opterećenje informatičke infrastrukture vezane uz elektroničku poštu i Internet van zadanih parametara, primjedbe djelatnika i vanjskih strana, kao i incidente i nepredviđene događaje, o čemu dokumentirano izvještava ovlaštenu osobu Ureda.

Svaka osoba koja po bilo kojoj osnovi obavlja u Gradu Bakru privremene ili povremene poslove, ili poslove temeljem posebnog ugovora, dužna je pridržavati se odredaba ovoga Pravilnika. Zaposleni u pravnim osobama koji obavljaju određene poslove za Grad Bakar, za vrijeme obavljanja tih poslova, dužni su provoditi mjere zaštite sigurnosti utvrđene ovim Pravilnikom.

Članak 23.

Ured je dužan upoznati osobe iz članka 22. s odredbama ovoga Pravilnika pri davanju odobrenja za korištenje resursa IS-a.

8. Priključivanje i isključivanje poslužitelja i radnih stanica na mrežu

Članak 24.

Korisnicima je zabranjeno priključivanje i isključivanje poslužitelja i radnih stanica na lokalnu mrežu bez ovlaštenja Ureda.

9. Rad na daljinu (teleworking)

Članak 25.

Bez prethodnog odobrenja Ureda korisnicima je zabranjeno:

. povezivanje osobnih računala na Internet ili na neku drugu mrežu ili komunikacijski priključak izvan IS-a,

. spajanje računala izvan IS-a na računala i računalne sustave Grada Bakra.

Članak 26.

O svim uočenim nepravilnostima u radu i korištenju informatičke opreme zaposlenik Grada Bakra dužan je odmah izvijestiti osobu odgovornu za provedbu mjera zaštite sigurnosti i provedbu sigurnosne politike.

IV. MJERE I SREDSTVA ZAŠTITE SIGURNOSTI

Članak 27.

Prijetnje IS-u imaju za posljedicu smanjenje resursa, ograničavanje resursa, privremeni prestanak rada IS-a, gubitak podataka, gubitak programa i podataka ili potpuni gubitak IS-a.

1. Pristupna prava korisnika

Članak 28.

Dodjela pristupnih prava korisnika provodi se s ciljem omogućavanja ispravnog korištenja programa, podataka i resursa IS-a Grada Bakra.

Radi provođenja mjere dodjele pristupnih prava korisnicima mreže, aplikacija i baza podataka IS-a pohranjenih u računalima, potrebno je provoditi slijedeće radnje:

1. Ured je dužan organizirati i provjeravati autentičnost korisnika koji pristupaju mreži računalnih sustava,

2. Ured je dužan organizirati pristup i provesti kontrolu pristupa svim računalnim sustavima Grada Bakra samo ovlaštenim zaposlenicima primjereno zahtjevima posla kojeg obavljaju,

3. Ured je dužan provesti sve nadopune, brisanja i promjene u organizaciji i kontroli pristupa računalnim sustavima u skladu s odobrenim zahtjevom krajnjeg korisnika,

4. Ured je dužan voditi i održavati ažurnim popis administrativnih pristupnih kodova i lozinki te čuvati taj popis na sigurnom mjestu,

5. Ured je dužan onemogućiti anonimni pristup bilo koje vrste do radnih stanica,

6. Ured je dužan kontrolirati modemske i slične priključke na mrežu, kao i odobravati instalaciju novih modema,

7. Ured je dužan pratiti sva događanja na mreži,

8. Korisnik računalnog sustava je odgovoran za sve računalne transakcije izvršene uz uporabu njegove korisničke identifikacije i lozinke,

9. Zabranjeno je obznanjivati lozinke drugima, a lozinka se mora promptno promijeniti ako postoji sumnja da je postala poznata drugima,

10. Zabranjeno je pohranjivati lozinku na mjesto gdje je do nje lako doći,

11. Ne smiju se koristiti lozinke koje se mogu lako pamtiti, lako odgonetnuti ili probiti od strane drugih,

12. Lozinke moraju sadržavati najmanje sedam znakova i to kombinaciju slova, brojki i simbola,

13. Korisnik mora odjaviti svoj account kada prestaje s radom na računalu na duže vrijeme,

14. Službenik zadužen za kadrovsku evidenciju Grada Bakra dužan je bez odgode obavijestiti ovlaštenu osobu za upravljanje IS-om u Uredu o tome da li nekom djelatniku prestaje radni odnos u Gradu Bakru ili se raspoređuje

na rad u drugi odjel gradske uprave, kako bi se mogla opozvati njegova ovlaštenja za pristup resursima,

15. Radna stanica se mora ugasiti kada nije u upotrebi, npr. preko noći.

2. Vatrozid

Članak 29.

Vatrozid se primjenjuje s ciljem organizacije i kontrole prometa mrežom te sprječavanja nedozvoljenog prometa mrežom.

Radi provođenja mjera organizacije, kontrole i zaštite prometa mrežom, Ured je dužan:

1. primijeniti vatrozid za organizaciju i kontrolu prometa podacima između vanjskog svijeta i unutrašnjeg dijela mreže,

2. primijeniti vatrozid za sprječavanje nedozvoljenog prometa mrežom iznutra prema van,

3. primijeniti vatrozid za sprječavanje nedozvoljenog prometa mrežom iz vanjskog svijeta prema unutrašnjem dijelu mreže,

4. primijeniti vatrozid za sprječavanje nedozvoljenog prometa zaštićenim segmentom lokalne mreže od ostale lokalne mreže.

3. Internet i elektronička pošta

Članak 30.

Sigurno korištenje Interneta i elektroničke pošte provodi se u cilju sprječavanja zaraze računalnim virusom, slučajnog gubitka programa i/ili podataka, krađe programa i/ ili podataka, neovlaštenog pristupa i korištenja podataka i/ ili programa, neovlaštenog korištenja resursa, sprječavanja drugih u korištenju resursa te namjernog uništenja opreme i/ili programa i/ili podataka.

Radi sigurnog korištenja Interneta i elektroničke pošte potrebno je provoditi slijedeće radnje:

1. Dozvoljena je komunikacija putem Interneta koja se obavlja iz profesionalnih razloga i koja ne utječe negativno na produktivnost,

2. Dozvoljeno je korištenje web preglednika za prikupljanje poslovnih informacija s komercijalnih web adresa,

3. Dozvoljeno je korištenje Interneta za pristup bazama podataka radi pronalaženja poslovnih informacija,

4. Dozvoljeno je korištenje elektroničke pošte u svrhu ostvarivanja poslovnih kontakata,

5. Korisnički račun elektroničke pošte otvara se svim zaposlenicima Grada Bakra temeljem zahtjeva kojeg ovlaštena osoba Ureda, pismeno ili putem e-maila, podnosi održavatelju IS-a Grada Bakra,

6. Ostale osobe koje nisu zaposlenici Grada Bakra mogu otvoriti korisnički račun elektroničke pošte temeljem obrazloženog pisanog zahtjeva ovlaštenoj osobi Ureda uz suglasnost gradonačelnika,

7. Zatvaranje korisničkog računa elektroničke pošte provodi se temeljem dokumentirane obavijesti osobe zadužene za kadrovsku evidenciju Grada Bakra o prekidu radnog odnosa i uz odobrenje ovlaštene osobe Ureda,

8. Produžetak, preusmjeravanje zatvorenog računa elektroničke pošte na drugi račun elektroničke pošte, preuzimanje podataka i sadržaja elektroničke pošte drugih osoba, promjena naziva odnosno adrese elektroničke pošte i druge slične aktivnosti odobrava ovlaštena osoba Ureda temeljem mišljenja pročelnika gradskoga upravnog tijela pretpostavljenog odnosnom korisniku.

9. Službeni e-mail Grada Bakra mora sadržavati potpis (signature) sa općim podacima u obliku:

Ime Prezime

naziv radnog mjesta

Grad Bakar

51222 BAKAR, Primorje 39

e-mail: ime.prezime@bakar.hr

telefon: 051 76xxxx

fax: 051 76xxxx

mobitel: 09x xxxxxx (ukoliko ga zaposlenik u komunikaciji sa strankama koristi)

10. Zabranjeno je službenu e-mail adresu koristiti za slanje uvredljivih, omalovažavajućih poruka ili bilo koji drugi oblik uznemiravanja,

11. Nije dozvoljeno slanje lančanih poruka i podataka kojima se opterećuje informatička infrastruktura,

12. Ograničavanje ili suspendiranje korištenja računa elektroničke pošte i Interneta provodi ovlaštena osoba Ureda u slučaju ugroženosti poslovnih procesa uslijed preopterećenja informatičke infrastrukture, u slučaju zahtjeva davatelja usluga ili prema zakonski temeljenom zahtjevu, u slučaju zahtjeva pročelnika gradskoga upravnog tijela pretpostavljenog odnosnom korisniku, te u slučaju incidenata ili zastoja koji ugrožavaju ispravnost informatičke infrastrukture.

13. Zabranjeno je pokretanje izvršnih datoteka kojima je izvor i svrha nepoznata i nepouzdana,

14. Antivirusna zaštita mora biti obavezno aktivirana kod prijama elektroničke pošte i pridruženih datoteka.

4. Antivirusna zaštita

Članak 31.

Antivirusna zaštita provodi se u cilju sprječavanja zaraze računalnim virusom, slučajnog gubitka programa i/ili podataka, krađe programa i/ili podataka, neovlaštenog pristupa i korištenja podataka i/ili programa, neovlaštenog korištenja resursa, sprječavanja drugih u korištenju resursa te namjernog uništenja opreme i/ili programa i/ili podataka.

Radi provođenja antivirusne zaštite potrebno je provoditi slijedeće radnje:

1. Ured je dužan osigurati instalaciju i održavanje antivirusnih programa na svim poslužiteljima i radnim stanicama Grada Bakra redovitim ažuriranjem u pogledu novih vrsta virusa,

2. Ured je dužan osigurati konfiguraciju antivirusnog programa tako da vrši antivirusno skeniranje svih ulaznih objekata,

3. Ured je dužan osigurati odgovore na sve napade računalnih virusa, uništavanje svakog otkrivenog virusa te evidentiranje svakog incidenta,

4. Zabranjeno je namjerno unositi računalne viruse u računala Grada Bakra,

5. Svatko tko sumnja da je njegovo računalo zaraženo virusom mora odmah isključiti računalo i o tome obavijestiti odgovornu osobu za provedbu mjera zaštite sigurnosti.

5. Korištenje softvera

Članak 32.

Sigurno korištenje softvera provodi se u cilju sprječavanja zaraze računalnim virusom, slučajnog gubitka programa i/ili podataka, krađe programa i/ili podataka, neovlaštenog pristupa i korištenja podataka i/ili programa, neovlaštenog korištenja resursa, sprječavanja drugih u korištenju resursa te namjernog uništenja opreme i/ili programa i/ili podataka.

Radi provođenja zaštite softvera potrebno je provoditi sljedeće radnje:

1. Pridržavati se odredbi propisa koji uređuju autorska i srodna prava,

2. Pridržavati se licencnih ugovora o korištenju autorski zaštićenog softvera,

3. Ured je dužan voditi evidenciju o svim licencama softvera u vlasništvu Grada Bakra,

4. Ured je dužan periodično, a najmanje jednom godišnje, izvršiti uvid u računala u vlasništvu Grada Bakra kako bi verificirao da je instaliran samo softver za čije korištenje je Grad Bakar ovlašten,

5. Samo licencirani softver i softver u vlasništvu Grada Bakra smije se instalirati na računalima Grada Bakra,

6. Zabranjena je instalacija bilo kakvog softvera za koji ne postoji dopuštenje Ureda,

7. Zabranjena je izmjena bilo kakvog softvera za koju ne postoji dopuštenje Ureda,

8. Zabranjena je deinstalacija bilo kojeg softvera instaliranog na računalu bez dopuštenja Ureda.

6. Zaštita podataka

Članak 33.

Zaštita podataka provodi se u cilju sprječavanja zaraze računalnim virusom, slučajnog gubitka programa i/ili podataka, krađe programa i/ili podataka, neovlaštenog pristupa i korištenja podataka i/ili programa, neovlaštenog korištenja resursa, sprječavanja drugih u korištenju resursa te namjernog uništenja opreme i/ili programa i/ili podataka.

Radi provođenja zaštite podataka potrebno je provoditi slijedeće radnje:

1. Magnetni mediji s podacima se moraju pohranjivati pod ključem,

2. Magnetne medije treba pohranjivati na mjestima na kojima nisu izloženi vanjskim rizicima, kao što su toplina, izravna sunčeva svjetlost i magnetska polja,

3. Ured je dužan osigurati svakodnevno pohranjivanje korisničkih podataka sa poslužitelja na odvojene magnetne medije i njihovo čuvanje,

4. Ured je dužan osigurati da se nakon svake instalacije ili modifikacije sistemskih datoteka pohranjuje sistemski softver i sistemski podaci sa poslužitelja na odvojene magnetne medije i njihovo čuvanje,

5. Ured je dužan osigurati da samostalne radne stanice koje nemaju ugrađenu jedinicu za pohranjivanje podataka na drugi magnetni medij budu spojene na mrežu kako bi se omogućila automatizirana centralizirana zaštita podataka preko mreže.

7. Fizička zaštita prostorija s opremom

Članak 34.

Fizička zaštita prostorija s opremom provodi se u cilju sprječavanja kvara opreme, krađe opreme, prekida ili neurednog napajanja električnom energijom, požara ili elementarnih nepogoda, krađe programa i/ili podataka, neovlaštenog pristupa i korištenja podataka i/ili programa, neovlaštenog korištenja resursa, sprječavanja drugih u korištenju resursa te namjernog uništenja opreme i/ili programa i/ili podataka.

Radi provođenja fizičke zaštite prostorija s opremom potrebno je provoditi sljedeće radnje:

1. Poslužitelji i aktivna mrežna oprema se moraju smjestiti u sigurnim i čvrstim zgradama koje nisu izložene poplavi,

2. Poslužitelji i mrežna oprema se moraju štititi stalnim izvorom energije (UPS), a ostala računalna oprema štiti se od strujnih udara stabilizatorima napona,

3. Prostorije s poslužiteljima se moraju štititi od visoke ili niske vlažnosti zraka te ekstremne topline ili hladnoće klimatizacijskim uređajima,

4. Prostorije s računalnom opremom moraju biti zaštićene od požara u skladu s Pravilnikom o zaštiti od požara,

5. Prostorija s glavnim komunikacijskim čvorom i telefonskom centralom mora biti zaključana i pristup dozvoljen samo uz nazočnost ovlaštene osobe,

6. U trenucima kada nitko ne boravi u prostorijama s računalnom opremom, vrata moraju biti zaključavana, a prozori zatvarani,

7. U slučaju krađe ili gubitka ključa od prostorije s računalnom opremom treba obavijestiti odgovornu osobu i zamijeniti bravu,

8. Oprema koja mora biti smještena na javno pristupnom prostoru mora biti zaštićena, a javni pristup nadziran,

9. Prije dozvole ulaska posjetitelju potrebno je verificirati posjetu kod osobe kojoj se posjetitelj upućuje,

10. Pristup do uređaja za obradu podataka mora biti kontroliran i dozvoljen samo ovlaštenim osobama.

V. PROVEDBA MJERA I PRIMJENA SREDSTAVA ZAŠTITE SIGURNOSTI

1. Načini provedbe

Članak 35.

Poduzimanje i provođenje propisanih mjera i sredstava zaštite sigurnosti IS-a provodi se u skladu s odredbama ovoga Pravilnika.

Članak 36.

Ured neposredno organizira i nadzire provođenje mjera i sredstava zaštite sigurnosti utvrđenih ovim Pravilnikom.

U cilju unapređenja zaštite sigurnosti IS-a odgovorna osoba za provedbu mjera i sredstava zaštite sigurnosti predlaže, osim mjera i sredstava utvrđenih ovim Pravilnikom, provedbu drugih mjera zaštite sigurnosti u skladu sa zakonom i opće prihvaćenim pravilima struke.

Članak 37.

Odgovorna osoba za provedbu mjera i sredstava zaštite sigurnosti pri obavljanju kontrole i nadzora nad provedbom mjera zaštite sigurnosti dužna je izvijestiti neposrednog rukovoditelja kod kojeg je nadzor obavljen o rezultatima kontrole i unijeti ih u redovna izvješća.

Ako odgovorna osoba za provedbu mjera zaštite sigurnosti pristupa rješavanju složenijih problema s područja zaštite sigurnosti IS-a surađivat će sa svim tijelima gradske uprave Grada Bakra.

Članak 38.

Odgovorna osoba za provedbu mjera zaštite sigurnosti obavlja slijedeće poslove:

. obavlja redovitu kontrolu provedbe mjera zaštite sigurnosti utvrđenih ovim Pravilnikom,

. surađuje i koordinira rad na izradi uputa za zaštitu sigurnosti IS-a,

. izvješćuje pojedine pročelnike odjela gradske uprave o utvrđenim nepravilnostima glede sigurnosnih uvjeta i predlaže mjere za otklanjanje istih.

Članak 39.

Prilikom obavljanja kontrole provedbe mjera zaštite sigurnosti IS-a propisanih ovim Pravilnikom, odgovorna osoba ima slijedeća ovlaštenja:

. narediti prekid obavljanja posla ili radnje kojom se neposredno ugrožava sigurnost IS-a te o tome izvijestiti neposrednog rukovoditelja,

. udaljiti s radnog mjesta djelatnika koji svojim postupkom neposredno ugrožava sigurnost IS-a te o tome izvijestiti njegovog neposrednog rukovoditelja,

. izvijestiti pročelnika pojedinog tijela gradske uprave o neprovođenju propisanih mjera zaštite sigurnosti.

2. Subjekti provedbe

Članak 40.

Svaki djelatnik zaposlen u tijelima gradske uprave Grada Bakra dužan je poduzimati i provoditi propisane mjere i sredstva zaštite sigurnosti IS-a u skladu s ovim Pravilnikom.

Članak 41.

Pročelnici tijela gradske uprave i rukovoditelji unutarnjih ustrojstvenih obvezni su:

. provoditi i nadzirati provođenje propisanih mjera zaštite sigurnosti,

. upoznati novog zaposlenika s opasnostima od ugrožavanja sigurnosti IS-a,

. poduzeti mjere da se nedostaci koji mogu utjecati na sigurnost IS-a, a utvrđeni su pregledom ili prijavljeni od strane odgovorne osobe za provedbu zaštite sigurnosti, odmah uklone,

. izvijestiti odgovornu osobu za zaštitu sigurnosti i provođenje mjera zaštite sigurnosti o svakom nastalom problemu ili mogućoj opasnosti za sigurnost IS-a,

. udaljiti svakog zaposlenika koji pri obavljanju poslova ne provodi i ne primjenjuje mjere zaštite sigurnosti sustava,

. prekinuti rad na radnom mjestu, u tehnološkom procesu, na sredstvu rada i u radnoj okolini ako utvrdi da postoji izravna opasnost za ugrožavanje sigurnosti sustava ili se poslovi izvode suprotno pravilima zaštite.

Članak 42.

Djelatnik zaposlen u tijelima gradske uprave Grada Bakra dužan je:

. upoznati se s odredbama ovog Pravilnika prije stupanja na rad i samostalnog obavljanja poslova na radnom mjestu, kao i svladati osposobljavanje za provedbu mjera zaštite sigurnosti,

. poduzimati i provoditi propisane mjere zaštite sigurnosti na radnom mjestu i u radnom prostoru,

. svaku uočenu opasnost koja bi mogla biti prijetnja ugrožavanju sigurnosti sustava odmah prijaviti neposrednom rukovoditelju ili osobi odgovornoj za provođenje mjera zaštite sigurnosti.

3. Edukacija korisnika i administratora

Članak 43.

Odgovorna osoba za provedbu mjera i sredstava zaštite sigurnosti dužna je osigurati osposobljavanje djelatnika gradske uprave Grada Bakra za provedbu mjera i sredstava zaštite propisanih ovim Pravilnikom.

Obveza iz stavka 1. ovoga članka odnosi se i na djelatnike koji su zaposleni na određeno vrijeme.

4. Postupanje u incidentnim situacijama

Članak 44.

U slučaju havarije ili incidentne situacije zaposlenik Grada Bakra je dužan odmah izvijestiti odgovornu osobu za provedbu mjera zaštite sigurnosti.

Pod havarijom u smislu ovoga Pravilnika smatraju se:

. potpuni gubitak sustava,

. gubitak programa,

. gubitak podataka.

Pod incidentnim situacijama u smislu ovoga Pravilnika smatraju se:

. privremeni prestanak rada sustava,

. gubitak opreme,

. ograničavanje resursa u radu,

. smanjenje resursa,

. kvar opreme.

5. Nadzor

Članak 45.

Nadzor nad primjenom mjera i sredstava zaštite sigurnosti IS-a obavlja se sukladno odredbama ovoga Pravilnika.

Nadzor na primjenom mjera i sredstava zaštite sigurnosti organizira i provodi odgovorna osoba za provedbu mjera i sredstava zaštite sigurnosti.

6. Stalna i povremena revizija

Članak 46.

Odgovorna osoba za provedbu mjera i sredstava zaštite sigurnosti dužna je provoditi stalnu i povremenu reviziju provedbe mjera i sredstava zaštite propisanih ovim Pravilnikom.

VI. ODGOVORNOST ZBOG NEPRIDRŽAVANJA MJERA I SREDSTAVA ZAŠTITE SIGURNOSTI

Članak 47.

Osoba odgovorna za opću provedbu mjera zaštite sigurnosti i provedbu sigurnosne politike u skladu s ovim Pravilnikom je predstojnik Ureda.

Odgovorna osoba za provedbu mjera zaštite sigurnosti redovito obavlja kontrolu provedbe mjera zaštite utvrđenih ovim Pravilnikom i odgovorna je za provedbu tih mjera.

Odgovorna osoba iz stavka 1. ovoga članka može dio svojih dužnosti pismeno povjeriti drugom djelatniku.

Članak 48.

Korisnik IS-a je dužan pridržavati se svih mjera i sredstava zaštite propisanih ovim Pravilnikom.

Ako korisnik nepridržavanjem odredaba ovoga Pravilnika nanese štetu Gradu Bakru, odgovara za učinjenu štetu sukladno propisima o odgovornosti za štetu.

VII. ZAVRŠNE ODREDBE

Članak 49.

Svaki korisnik IS-a dužan je potpisati Izjavu o prihvaćanju sigurnosne politike IS-a Grada Bakra, u roku od 15 dana od stupanja na snagu ovog Pravilnika (zatečeni korisnici), odnosno od stjecanja statusa korisnika IS-a (budući korisnici).

Obrazac Izjave iz stavka 1. ovoga članka nalazi se u privitku (Prilog 1) i čini sastavni dio ovoga Pravilnika.

Članak 50.

O potpisivanju Izjave iz članka 49. ovoga Pravilnika vodi se očevidnik.

Očevidnik iz stavka 1. ovoga članka vodi odgovorna osoba za provedbu mjera zaštite sigurnosti IS-a Grada Bakra.

Sadržaj očevidnika propisuje predstojnik Ureda, u roku od 15 dana od stupanja na snagu ovog Pravilnika.

Članak 51.

Ovaj Pravilnik stupa na snagu osmoga dana nakon objave u »Službenim novinama Primorsko-goranske županije«.

Klasa: 011-01/09-01/10

Ur. broj: 2170-02-02-09-3

Bakar, 8. travnja 2009.

GRAD BAKAR
GRADSKO POGLAVARSTVO

Predsjednik
Tomislav Klarić, v.r.

 
http://www.sn.pgz.hr/default.asp?Link=odluke&izdanje=609&mjesto=51222&odluka=14
© Primorsko-goranska županija 2002.-2003. Sva prava pridržana.
Obratite se webmasteru s pitanjima i komentarima.
Programska podrška
www.netcom.hr