MINISTARSTVO OBRANE
Na temelju članka 34. Zakona o zaštiti tajnosti podataka (»Narodne novine«, broj 108/96), a u svezi s člankom 29. Zakona o sigurnosnim službama Republike Hrvatske (»Narodne novine« broj 32/02), donosim
I. OPĆE ODREDBE
Članak 1.
Ovim se Pravilnikom uređuju minimalni standardi za zaštitu klasificiranih informacija i pratećih servisa i resursa u komunikacijskim, informacijskim i drugim elektroničkim sustavima za stvaranje, pohranu, procesiranje ili prijenos (u daljnjem tekstu: obradu) klasificiranih informacija.
Članak 2.
Pod pratećim servisima i resursima u smislu ovoga Pravilnika podrazumijevaju se servisi i resursi koji su neophodni za osiguravanje postizanja sigurnosnih ciljeva na sustavu (na primjer: kriptografski mehanizmi i oprema, komunikacijski sigurnosni materijali i komunikacijska oprema, programska rješenja i kontrola fizičke zaštite).
Pod klasificiranim informacijama podrazumijevaju se sve informacije koje su u skladu sa Zakonom o zaštiti tajnosti podataka (»Narodne novine«, broj 108/96) i Pravilnikom o zaštiti tajnosti podataka obrane (»Narodne novine«, broj 112/97) označene određenim stupnjem tajnosti.
Članak 3.
Ustrojavanjem i primjenom sustava informacijske sigurnosti postiže se:
– osiguranje povjerljivosti informacija pomoću kontrole pristupa do informacija i pratećih servisa i resursa,
– integritet klasificiranih informacija i pratećih servisa i resursa,
– dostupnost klasificiranih informacija i pratećih servisa i resursa.
Članak 4.
Područje sigurnosti informacija obuhvaća klasificirane informacije u jednom od sljedećih oblika:
– pisane informacije,
– informacije pohranjene na elektroničkim medijima i na računalima (COMPUSEC) i informacija o pratećim servisima i resursima,
– informacija u sustavima za prijenos podataka (COMSEC) i informacija o pratećim servisima i resursima.
Članak 5.
Poslove nadzora primjene mjera zaštite i sigurnosti pri čuvanju tajnih podataka obavlja Vojna sigurnosna agencija (u daljnjem tekstu: VSA).
II. INFORMACIJSKA SIGURNOST (INFOSEC)
Članak 6.
Područje informacijske sigurnosti obuhvaća sigurnost informacija na elektroničkim medijima i računalima (COMPUSEC) te sigurnost informacija u sustavima za prijenos podataka (COMSEC).
Članak 7.
Dostizanje zadovoljavajuće razine informacijske sigurnosti postiže se kroz definiranje i provedbu sigurnosnih mjera na području:
– fizičke zaštite,
– sigurnosti osoblja,
– sigurnosti medija za pohranu podataka,
– informacijske sigurnosti.
Fizička zaštita
Članak 8.
Pod provedbom mjera fizičke zaštite podrazumijeva se definiranje i uspostava posebno štićenih područja u kojima se komunikacijsko-informacijski sustavi koriste za stvaranje, prikaz, pohranu, procesiranje ili prijenos informacija klasificiranih stupnjem tajnosti »POVJERLJIVO« i višim.
Članak 9.
Posebno štićena područja iz članka 8. ovoga Pravilnika trebaju zadovoljiti sljedeće uvjete:
– jasno definiranu i zaštićenu granicu područja koja obuhvaća i kontrolu svih ulaza i izlaza,
– sustav kontrole ulaza koji dopušta ulazak jedino osobama koje imaju odgovarajuću autorizaciju za pristup u to područje i osobama s odgovarajućim odobrenjem za pristup do klasificiranih informacija,
– jasno definiran stupanj tajnosti i vrsta informacija koje se nalaze u posebno štićenom području.
Članak 10.
Za sve osobe koje nemaju odgovarajuću autorizaciju za ulazak u posebno štićeno područje nužno je pripremiti pratnju ili drugi ekvivalentan način kontrole radi onemogućavanja neovlaštenog pristupa do klasificiranih informacija.
Članak 11.
Za definiranje i uspostavu posebno štićena područja iz članka 8. ovoga Pravilnika zadužuju se čelnici ustrojstvenih jedinica razine načelnika službe u Ministarstvu obrane, odnosno načelnika uprave, načelnika odjela, grana i korpusa, zapovjednika brigade, zapovjednika samostalne bojne ili zapovjednika samostalne satnije u Oružanim snagama (u daljnjem tekstu: čelnici ustrojstvenih jedinica).
Sigurnost osoblja
Članak 12.
Osobe s odobrenjem za pristup bilo kojoj formi klasificiranih informacija moraju imati sigurnosnu provjeru. Sigurnosna provjera je obavezna i za osobe koje su autorizirane za pristup do pratećih servisa i resursa te za osobe koje štite prateće servise i resurse iako te osobe nemaju pristup do klasificiranih informacija.
Članak 13.
Odobrenje za pristup do klasificiranih informacija i autorizaciju za ulazak u posebno štićeno područje daje čelnik ustrojstvene jedinice isključivo uz suglasnost VSA.
Suglasnost za odobrenje i autorizaciju iz stavka 1. ovoga članka daje VSA na zahtjev čelnika ustrojstvenih jedinice, a na temelju rezultata provedene sigurnosne provjere.
Sigurnost medija za pohranu podataka
Članak 14.
Svi mediji za pohranu podataka moraju biti jednoznačno identificirani, spremljeni i zaštićeni u skladu s najvećim stupnjem tajnosti informacije koja je pohranjena na mediju. Vrsta tajne, stupanj tajnosti i oznaka žurnosti mora biti jasno i uočljivo označena na fizičkim nosačima za čuvanje i prijenos podataka (papiru, magnetskoj vrpci, disketi, disku, CD-u itd.). Oznake tajnosti dokumenata koji sadrže tajne podatke imaju i svi njihovi prilozi.
Članak 15.
Mjere identifikacije, spremanja i zaštite medija za pohranu podataka na kojima su pohranjene klasificirane informacije moraju biti poduzete u skladu s Pravilnikom o zaštiti tajnosti podataka obrane.
Informacijska sigurnost
Članak 16.
Svi komunikacijsko-informacijski sustavi koji obrađuju klasificirane informacije trebaju biti štićeni primjenom sigurnosnih mjera radi postizanja povjerljivosti, integriteta i dostupnosti informacija i pratećih servisa i resursa.
Sigurnosne mjere trebaju uključiti sljedeće:
– mehanizme za pouzdanu provjeru identiteta i autentičnosti osoba koje imaju autoriziran pristup,
– mehanizme koji će osigurati dovoljno informacija za provođenje istrage o otkrivanju ili slučajnoj kompromitaciji povjerljivosti, integriteta i dostupnosti klasificiranih informacija i pratećih servisa i resursa,
– informacije i mehanizmi kojima se kontrolira pristup sustavu trebaju biti nadzirani i štićeni pod uvjetima pod kojima se nadziru i štite informacije najvećeg stupnja tajnosti do kojih je moguć pristup putem sustava,
– organizaciju pristupa do podataka u komunikacijsko-informacijskom sustavu temeljenu na mogućnosti pristupa isključivo samo do onih podataka koji su neophodno potrebni autoriziranim osobama za njihov rad,
– mehanizme za verifikaciju integriteta i originalnosti informacija i pratećih servisa i resursa,
– mehanizme za održavanje integriteta klasificiranih informacija i pratećih servisa i resursa,
– mehanizme za održavanje dostupnosti klasificiranih informacija i pratećih servisa i resursa,
– mehanizme za kontrolu povezivanja sustava koji obrađuju klasificirane informacije,
– mehanizme za kontrolu pouzdanosti poduzetih mjera,
– mehanizme za procjenu i verifikaciju pravilnog funkcioniranja zaštitnih mehanizama tijekom životnog ciklusa sustava,
– mehanizme za istraživanje i nadzor korisničkih i sustavnih aktivnosti.
Članak 17.
Radi sprječavanja namjernog odavanja klasificiranih informacija svi sustavi koji obrađuju klasificirane informacije moraju biti konfigurirani na način:
– da se pohrana podataka na vanjske jedinice (diskete, ZIP driveove, CD medije, magnetske vrpce, USB diskove i sl.) može obavljati samo na točno određenim mjestima u sustavu, a u skladu s Naputkom o operativnoj uporabi sustava iz članka 39. i 40. ovoga Pravilnika,
– da se ispis klasificiranih informacija (u obliku dokumenta, izvješća, slike i sl.) može obavljati samo na točno određenim mjestima u sustavu a u skladu s Naputkom o operativnoj uporabi sustava iz članka 39. i 40. ovoga Pravilnika.
Članak 18.
Mjesto pohrane klasificiranih informacija na vanjske medije i mjesto ispisa klasificiranih informacija iz članka 17. ovoga pravilnika određuje čelnik ustrojstvene jedinice.
Mjesta iz stavka 1. ovoga članka potrebno je nadzirati, odnosno ustrojiti cjelodnevni nadzor.
Članak 19.
Povezivanje sustava ili pojedinačnih računala koji obrađuju klasificirane informacije s javnim mrežama ili INTERNET-om, bilo neposredno ili posredno, na kaskadni način, nije dopušteno.
Članak 20.
Sigurnosni mehanizmi i procedure trebaju biti implementirani u svrhu odvraćanja, prevencije, detektiranja i oporavka od utjecaja incidenata koji djeluju na povjerljivost, integritet i dostupnost klasificiranih informacija i pratećih sistemskih servisa i resursa, uključujući i izvješćivanje o sigurnosnim incidentima.
Članak 21.
Tijekom prijenosa klasificiranih informacija komunikacijskim putem moraju biti poduzete posebne mjere u cilju zaštite povjerljivosti, integriteta i dostupnosti informacija koje se prenose tim putem te posebne mjere radi zaštite povjerljivosti, integriteta i dostupnosti pratećih servisa i resursa.
Članak 22.
Radi osiguranja povjerljivosti klasificiranih informacija koje se prenose komunikacijskim putem moraju se primijeniti kriptografska sredstva, metode i produkti koji su u skladu s člankom 87. Zakona o sigurnosnim službama (»Narodne novine«, broj 32/02) odobreni od strane Zavoda za informacijsku sigurnost i kriptozaštitnu tehnologiju, a na zahtjev VSA.
Kriptografska sredstva, metode i produkte predlaže Služba za informacijsku i komunikacijsku tehnologiju za sustave unutar Ministarstva obrane, odnosno Uprava za zapovjedne informacijsko-komunikacijske sustave za sustave unutar Oružanih snaga u koordinaciji s ustrojstvenom jedinicom koja je operativni korisnik komunikacijskog sustava. Prijedlog se dostavlja VSA koja, ukoliko je suglasna s predloženim, podnosi zahtjev za odobrenjem prema Zavodu iz stavka 1. ovoga članka.
Do osnivanja Zavoda iz stavka 1. ovoga članka privremeno odobrenje za korištenje kriptografskih sredstava, metoda i produkata daje VSA.
Članak 23.
Radi osiguranja integriteta i dostupnosti klasificiranih informacija koje se prenose komunikacijskim putem moraju se primijeniti posebna sredstva i metode u ovisnosti o operativnim zahtjevima komunikacijskog sustava, a koje su u skladu s člankom 87. Zakona o sigurnosnim službama (»Narodne novine«, broj 32/02) na zahtjev VSA odobreni od strane Zavoda za informacijsku sigurnost i kriptozaštitnu tehnologiju.
Posebna sredstva i metode predlaže Služba za informacijsku i komunikacijsku tehnologiju za sustave unutar Ministarstva obrane, odnosno Uprava za zapovjedne informacijsko-komunikacijske sustave za sustave unutar Oružanih snaga u koordinaciji s ustrojstvenom jedinicom koja je operativni korisnik komunikacijskog sustava. Prijedlog se dostavlja VSA koja, ukoliko je suglasna s predloženim, podnosi zahtjev za odobrenjem prema Zavodu iz stavka 1. ovoga članka.
Do osnivanja Zavoda iz stavka 1. ovoga članka privremeno odobrenje za korištenje kriptografskih sredstava, metoda i produkata daje VSA.
Članak 24.
U izuzetnim okolnostima, kao što su stanje neposredne ugroženosti, prijetnja terorističkim napadom ili stvarni teroristički napad, prijetnja talačkom situacijom ili stvarna talačka situacija, kada je brzina dostave informacije od bitnog značaja te nema vremena raspoloživog za kriptiranje i kada se smatra da prijenos informacije ne može biti ugrožen od strane protivnika na način da utječe na tekuće operacije, klasificirane informacije mogu biti prenošene kao obični tekst, s tim da za svaki posebni slučaj mora postojati odobrenje od strane čelnika ustrojstvene jedinice koja je autor informacije.
Članak 25.
Svi elektronički uređaji na kojima se obrađuju klasificirane informacije (stvaraju, kriptološki obrađuju ili nadziru), moraju se zaštititi od elektromagnetskih zračenja kroz gradsku električnu mrežu zaštitnim mrežnim filtrima, tehnički provjerenim i atestiranim.
Svi elektronički uređaji koji za prikaz prilikom stvaranja, kriptološke obrade i nadzora koriste katodne cijevi (monitori, računala, videoterminali), moraju biti zaštićeni poduzimanjem odgovarajućih sigurnosnih mjera.
Uporabu svih elektroničkih uređaja i sigurnosnih mjera namijenjenih zaštiti od neželjenog elektromagnetskog zračenja iz stavka 1. i 2. ovoga članka, u skladu s člankom 87. Zakona o sigurnosnim službama (»Narodne novine« broj 32/02) na zahtjev VSA odobrava Zavoda za informacijsku sigurnost i kriptozaštitnu tehnologiju.
Prijedlog za uporabu svih elektroničkih uređaja i sigurnosnih mjera namijenjenih zaštiti od neželjenog elektromagnetskog zračenja iz stavka 1. i 2. ovoga članka izrađuje Služba za informacijsku i komunikacijsku tehnologiju za uređaje unutar Ministarstva obrane, odnosno Uprava za zapovjedne informacijsko-komunikacijske sustave za uređaje unutar Oružanih snaga u koordinaciji s ustrojstvenom jedinicom koja je operativni korisnik komunikacijskog sustava. Prijedlog se dostavlja VSA koja, ukoliko je suglasna s predloženim, podnosi zahtjev za odobrenjem prema Zavodu iz stavka 3. ovoga članka.
Do osnivanja Zavoda iz stavka 3. ovoga članka Privremeno odobrenje za uporabu uređaja iz stavka 1. i 2. ovoga članka daje VSA.
III. POSTUPCI U SLUČAJU SIGURNOSNIH INCIDENATA
Članak 26.
Tijekom operativne uporabe komunikacijsko-informacijskog sustava, o svim incidentima vezanim uz sigurnost sustava i uz sigurnost informacija koje sustav obrađuje, korisnik sustava obavješćuje čelnika ustrojstvene jedinice, VSA i Službu za informacijsku i komunikacijsku tehnologiju za sustave unutar Ministarstva obrane odnosno Upravu za zapovjedne informacijsko- -komunikacijske sustave za sustave unutar Oružanih snaga. Izvješćivanje se provodi na najbrži dostupni način, a čelnik ustrojstvene jedinice koja je korisnik sustava dužan je sačiniti i izvješće o sigurnosnom incidentu te ga dostaviti VSA.
Izvješće iz stavka 1. ovoga članka treba sadržavati sljedeće informacije:
– opis predmetne informacije uključujući klasifikaciju i referentne oznake, broj kopije, datum, autora, predmet i područje rada na koje se odnosi,
– vrlo kratki opis okolnosti kompromitacije uključujući datum, razdoblje u kojemu je informacija bila izložena kompromitaciji i, ukoliko je poznato, broj i/ili kategoriju neovlaštenih osoba koje imaju ili su mogle imati pristup do predmetne informacije,
– je li autor izvješten o kompromitaciji.
Članak 27.
Čelnik ustrojstvene jedinice odmah po saznanju za sigurnosni incident pokreće postupak za utvrđivanje okolnosti pod kojima je došlo do incidenta te poduzima mjere za uklanjanje mogućih štetnih posljedica i o tome izvješćuje ministra obrane i VSA.
Članak 28.
U postupku utvrđivanja okolnosti pod kojima je došlo do sigurnosnog incidenta, iz članka 27. ovoga pravilnika, treba utvrditi:
– da li je počinjena šteta,
– ako je šteta počinjena, procijeniti utjecaj nastale štete na sustav obrane i nacionalne sigurnosti,
– ukoliko šteta nije počinjena, utvrditi postojanje eventualne odgovornosti te protiv osobe za koju se utvrdi da je odgovorna pokrenuti stegovni postupak.
Članak 29.
Ako se tijekom postupka iz članka 27. ovoga pravilnika utvrdi da je došlo do otkrivanja tajnih podataka, čelnik ustrojstvene jedinice i njemu više razine dužan je odmah podnijeti zahtjev VSA za provedbu daljnjeg postupka.
Članak 30.
Na temelju zahtjeva za provedbu daljnjeg postupka VSA u skladu sa Zakonom o sigurnosnim službama Republike Hrvatske i Pravilniku o unutarnjem redu VSA poduzima mjere iz svoga djelokruga te o rezultatima izvješćuje osobu iz članka 29. ovoga pravilnika, ministra obrane i načelnika Glavnog stožera Oružanih snaga te predlaže pokretanje kaznenog i vojnostegovnog postupka protiv osobe za koju se utvrdi da je odgovorna za nastalu štetu.
IV. DOKUMENTACIJA VEZANA ZA INFORMACIJSKU SIGURNOST
Članak 31.
Radi zadovoljenja sigurnosnih kriterija za sve komunikacijsko-informacijske sustave koji obrađuju klasificirane informacije mora postojati sljedeća dokumentacija:
– elaborat o sigurnosti,
– sigurnosna prosudba,
– naputak o operativnoj uporabi sustava,
– suglasnost za uporabu sustava.
Elaborat o sigurnosti
Članak 32.
Za sve komunikacijsko-informacijske sustave koji obrađuju klasificirane informacije obavezno se izrađuje elaborat o sigurnosti. Elaborat o sigurnosti izrađuje Služba za informacijsku i komunikacijsku tehnologiju za sustave unutar Ministarstva obrane, odnosno Uprava za zapovjedne informacijsko-komunikacijske sustave za sustave unutar Oružanih snaga, a odobrava ga VSA. Elaborat o sigurnosti se izrađuje u fazi planiranja nekog komunikacijsko-informacijskog sustava i mora predstavljati cjelovit i eksplicitan prikaz sigurnosnih načela koja se trebaju nadgledati te detaljne sigurnosne kriterije koje sustav treba zadovoljiti.
Za sustave koji se na dan stupanja na snagu ovoga Pravilnika nalaze u operativnoj uporabi Elaborat o sigurnosti izradit će Služba za informacijsku i komunikacijsku tehnologiju za sustave unutar Ministarstva obrane, odnosno Uprava za zapovjedne informacijsko-komunikacijske sustave za sustave unutar Oružanih snaga, a u suradnji s ustrojstvenom jedinicom koja je operativni korisnik sustava te će se dostaviti VSA na odobrenje.
Članak 33.
Za svaki stupanj razvoja projekta komunikacijskog sustava Elaborat o sigurnosti se dopunjava i posebno odobrava. Pod stupnjevima razvoja projekta komunikacijskog sustava razlikuje se:
– planiranje sustava,
– razvoj ili nabava sustava,
– implementacija sustava,
– operativna uporaba sustava,
– unaprjeđivanje sustava,
– povlačenje sustava iz uporabe.
Sigurnosna prosudba
Članak 34.
Za sve komunikacijsko-informacijske sustave koji obrađuju klasificirane informacije obavezno se izrađuje sigurnosna prosudba. Sigurnosnu prosudbu izrađuje VSA.
Služba za informacijsku i komunikacijsku tehnologiju, Uprava za zapovjedne informacijsko komunikacijske sustave i ustrojstvena jedinica koja je operativni korisnik sustava na zahtjev VSA dužne su pružiti stručnu pomoć i dostaviti informacije potrebne za izradu sigurnosne prosudbe.
Članak 35.
Sigurnosna prosudba predstavlja proces prikupljanja informacija o komunikacijsko-informacijskom sustavu i procjene tih informacija s ciljem definiranja:
– koja su sredstva i točke unutar komunikacijsko-informacijskog sustava najviše izložene prijetnjama i ranjivostima;
– koje su posljedice ukoliko dođe do iskorištavanja slabih točaka u sustavu.
Članak 36.
Sigurnosna prosudba mora biti sačinjena prije operativne uporabe sustava te se mora ažurirati u skladu sa svim promjenama u sustavu.
Sigurnosna prosudba mora obuhvaćati:
– procjenu uspješnosti implementacije sigurnosnih mjera na području fizičke zaštite
– procjenu uspješnosti implementacije sigurnosnih mjera na području sigurnosti osoblja
– procjenu uspješnosti implementacije sigurnosnih mjera na području sigurnosti medija za pohranu podataka
– procjenu uspješnosti implementacije sigurnosnih mjera na području informacijske sigurnosti.
Članak 37.
Procjena uspješnosti implementacije sigurnosnih mjera iz članka 36. na području informacijske sigurnosti treba osim mjera i postupka iz ovoga Pravilnika obuhvatiti i:
– definiranje djelokruga i svrhe procjene rizika,
– determinacija fizičkih sredstava i informacija koje pridonose ispunjavanju zadaća nekog komunikacijsko-informacijskog sustava,
– determinaciju vrijednosti fizičkih sredstava,
– determinaciju vrijednosti raspoloživih informacija s obzirom na moguće otkrivanje, modifikaciju, nedostupnost i uništenje,
– identifikaciju i razinu prijetnji i ranjivosti s obzirom na okruženje,
– identifikaciju postojećih protumjera,
– definiranje neophodnih protumjera i njihovu usporedbu s postojećim protumjerama,
– pregled rizika i predlaganje protumjera s obzirom na:
• eventualnu eliminaciju rizika
• preventivne mjere protiv gubitka sredstava i informacija
• mjere u cilju ograničavanja gubitka sredstava i informacija
• odluku o prihvatljivosti rizika
– izradu i razvoj izvješća o postupanju s rizikom, uključujući opis protumjera koje će se provoditi i opis preostalog rizika.
Članak 38.
VSA sigurnosnu prosudbu dostavlja Službi za informacijsku i komunikacijsku tehnologiju za sustave unutar Ministarstva obrane, odnosno Upravi za zapovjedne informacijsko-komunikacijske sustave za sustave unutar Oružanih snaga i ustrojstvenoj jedinici koja je operativni korisnik sustava.
Naputak o operativnoj uporabi sustava
Članak 39.
Za sve komunikacijsko-informacijske sustave koji obrađuju klasificirane informacije obavezno se izrađuje Naputak o operativnoj uporabi sustava. Naputak o operativnoj uporabi sustava izrađuje ustrojstvena jedinica koja je korisnik sustava uz konzultacije sa Službom za informacijsku i komunikacijsku tehnologiju, odnosno Upravom za zapovjedne informacijsko-komunikacijske sustave. Naputak o operativnoj uporabi sustava odobrava VSA.
Članak 40.
Naputak o operativnoj uporabi sustava mora sadržavati:
– administriranje sustava i organizaciju sigurnosti,
– točno definirana mjesta ispisa i pohrane informacija koje se obrađuju u sustavu,
– sigurnost osoblja, fizičku zaštitu i zaštitu informacija,
– mjere INFOSEC zaštite,
– planove za postupanje u hitnim slučajevima,
– procedure za postupanje u slučaju sigurnosnih incidenata,
– konfiguraciju sustava.
Suglasnost za operativnu uporabu sustava
Članak 41.
Svaki informacijsko-komunikacijski sustav koji obrađuje klasificirane informacije mora imati suglasnost za operativnu uporabu sustava.
Članak 42.
Suglasnost za operativnu uporabu sustava u sladu s člankom 87. Zakona o sigurnosnim službama (»Narodne novine«, broj 32/02) daje Zavod za informacijsku sigurnost i kriptozaštitnu tehnologiju na zahtjev VSA. Prijedlog za izdavanje suglasnosti za operativnu uporabu sustava podnosi Služba za informacijsku i komunikacijsku tehnologiju za sustave unutar Ministarstva obrane, odnosno Uprave za zapovjedne informacijsko-komunikacijske sustave za sustave unutar Oružanih snaga, tijekom faze planiranja prema VSA.
Za sustave koji se na dan stupanja na snagu ovoga pravilnika, nalaze u operativnoj uporabi prijedlog za izdavanje suglasnosti za operativnu uporabu sustava daje ustrojstvena jedinica koja je korisnik sustava u suradnji sa Službom za informacijsku i komunikacijsku tehnologiju za sustave unutar Ministarstva obrane, odnosno Upravom za zapovjedne informacijsko-komunikacijske sustave za sustave unutar Oružanih snaga i uz suglasnost VSA.
Suglasnost se izdaje na temelju dokumentacije vezane uz sustav i za svaku promjenu unutar sustava neophodno je zahtijevati ponovnu suglasnost.
Uz prijedlog za izdavanje suglasnosti za operativnu uporabu sustava obavezno se dostavljaju Elaborat o sigurnosti i Naputak o operativnoj uporabi. VSA može tražiti i dodatnu dokumentaciju vezanu uz sustav.
Do osnivanja Zavoda iz stavka 1. ovoga članka privremenu suglasnost za operativnu uporabu sustava daje VSA.
V. ZAVRŠNE ODREDBE
Članak 43.
VSA je dužna u suradnji sa Službom za informacijsku i komunikacijsku tehnologiju, Upravom za zapovjedne informacijsko-komunikacijske sustave, a po potrebi i s drugim ustrojstvenim jedinicama Ministarstva obrane i Oružanih snaga, u roku od dvanaest mjeseci od dana stupanja na snagu ovoga Pravilnika izraditi:
1. Pravilnik o kriptozaštiti informacija,
2. Upute za rad s komunikacijskim, zaštitnim uređajima i tajnim podacima u slučaju izvanrednih okolnosti,
3. Upute za vođenje očevidnika u slučaju incidenta u komunikacijskoj mreži, informacijskim sustavima ili bazama podataka,
4. Upute za izdavanje suglasnosti za operativnu uporabu komunikacijsko informacijskih sustava,
5. Upute za strukturu i sadržaj naputka o operativnoj uporabi sustava,
6. Upute za izradu i razvoj elaborata o sigurnosti,
7. Upute za provođenje nadzora nad komunikacijsko-informacijskim sustavima,
8. Upute za provođenje postupka procjene rizika,
9. Naputak o spajanju dvaju ili više komunikacijsko informacijskih sustava,
10. Naputak o zaštiti informacija tijekom elektromagnetskog prijenosa,
11. Naputak o zaštiti komunikacijsko-informacijskih sustava od neželjenog zračenja,
12. Program sigurnosne obuke odnosno izobrazbe djelatnika Ministarstva obrane i Oružanih snaga Republike Hrvatske koji su upoznati ili će biti upoznati sa strukturom zaštite komunikacijske mreže, informacijskih sustava i baza podataka Ministarstva obrane i Oružanih snaga Republike Hrvatske,
13. Norme za komunikacijske, informacijske i zaštitne uređaje, usklađene s normama propisanim na državnoj razini.
Članak 44.
Ovaj Pravilnik stupa na snagu osmoga dana od dana objave u »Narodnim novinama«.
Klasa: 023-03/03-04/1 Urbroj: 512-01-03-35 Zagreb, 15. listopada 2003.
Ministrica Željka Antunović, v. r.
Izvor: https://narodne-novine.nn.hr/clanci/sluzbeni/2003_10_168_2436.html