HRVATSKA REGULATORNA AGENCIJA ZA MREŽNE DJELATNOSTI
Na temelju članka 12. stavka 1. točke 1. i članka 99. stavka 9. Zakona o elektroničkim komunikacijama (»Narodne novine« 73/08, 90/11, 133/12, 80/13 i 71/14), Vijeće Hrvatske regulatorne agencije za mrežne djelatnosti na sjednici održanoj 13. srpnja 2016. donosi
Članak 1.
Pravilnik o načinu i rokovima provedbe mjera zaštite sigurnosti i cjelovitosti mreža i usluga (NN br. 109/12, 33/13 i 126/13; dalje: Pravilnik), mijenja se na način da se u članku 1. riječ »Agencije« zamjenjuje se riječima »Hrvatske regulatorne agencije za mrežne djelatnosti (dalje: Agencija)».
Članak 2.
Članak 2. mijenja se i glasi:
»U smislu ovog Pravilnika pojedini pojmovi imaju sljedeće značenje:
1. informacijski sustav: komunikacijski, računalni ili drugi elektronički sustav u kojem se podaci obrađuju, pohranjuju ili prenose, tako da budu dostupni i upotrebljivi za ovlaštene korisnike,
2. integritet (cjelovitost) mreže: skup tehničkih zahtjeva za procese, rad i izmjene u elektroničkoj komunikacijskoj mreži, u svrhu osiguravanja nesmetane uporabe međusobno povezanih elektroničkih komunikacijskih mreža, kao i pristupa tim mrežama te cjelovitosti podataka pohranjenih u elektroničkoj komunikacijskoj mreži,
3. sigurnosni incident: događaj koji može uzrokovati narušavanje sigurnosti i/ili gubitak integriteta mreže koji može utjecati na rad elektroničkih komunikacijskih mreža i/ili usluga.«
Članak 3.
(1) U članku 3. na kraju stavka 1. dodaje se nova rečenica koja glasi:
»Poduzete mjere osobito se provode kako bi se spriječio i umanjio utjecaj sigurnosnih incidenata na korisnike usluga i međusobno povezane elektroničke komunikacijske mreže.«
(2) U članku 3. stavak 6. i stavak 7. se brišu.
Članak 4
Iza članka 3. dodaje se novi članak 3. a. koji glasi:
»(1) Operator mora najmanje jednom godišnje provesti reviziju informacijskog sustava kako bi se utvrdilo jesu li ispunjene minimalne mjere sigurnosti iz Dodatka 1 ovog Pravilnika.
(2) Nalaz revizije iz stavka 1. ovog članka, zajedno s planom uklanjanja uočenih nedostataka, potrebno je dostaviti Agenciji do 30. svibnja tekuće godine za prethodnu godinu.
(3) Postupak revizije treba provoditi tako da se u obzir uzme značaj pojedinih dijelova informacijskog sustava za funkcioniranje cijelog sustava te rezultate prethodnih revizija. Reviziju mogu obavljati zaposlenici operatora koji nisu vezani za područje revizije i koji imaju odgovarajuće znanje i iskustvo ili vanjsko revizorsko tijelo.
Članak 5.
(1) U članku 4. stavak 1. mijenja se i glasi:
»Operatori su obvezni obavijestiti Agenciju u slučaju neovlaštenog povezivanja s javnom komunikacijskom mrežom ili dijelom mreže te u slučaju kršenja sigurnosti ili integriteta javnih komunikacijskih usluga, koji su značajnije utjecali na obavljanje djelatnosti javnih komunikacijskih mreža i/ili usluga sukladno kriterijima za izvješćivanje iz Dodatka 2.«
(2) U članku 4. stavak 5. mijenja se i glasi:
»Agencija može zatražiti dopunu izvješća iz stavka 2. u svrhu praćenja određenog sigurnosnog incidenta te boljeg razumijevanja prirode nastalog sigurnosnog incidenta.«
Članak 6.
(1) Članak 5. mijenja se na način da se iza riječi »obvezni« dodaju riječi »bez odgode« te se točka 1. mijenja i glasi:
»1. na odgovarajući način obavijestiti korisnike javnih komunikacijskih usluga o značajnijem prekidu pružanja javnih komunikacijskih mreža i/ili usluga, sukladno kriterijima za izvješćivanje iz Dodatka 2. Ako su ugrožene osnovne usluge kao što su glasovna usluga, SMS usluga ili usluga pristupa internetu, operatori moraju bez odgode objaviti informacije o nastalom značajnom incidentu na službenoj stranici. Informacije o značajnom incidentu moraju sadržavati opis područja obuhvaćenog incidentom, koji može biti prikazan i u kartografskom obliku«
Članak 7.
Dodatak 1 mijenja se i glasi:
»MINIMALNE MJERE SIGURNOSTI
|
Minimalne mjere sigurnosti |
Referentne norme |
|
Procedure za upravljanje rizicima |
ISO 27001:2013 ISO 27002:2015 ISO 27005:2011 |
|
Sigurnosni zahtjevi za osoblje |
ISO 27001:2013 ISO 27002:2015 |
|
Sigurnost sustava i prostora |
ISO 27001:2013 ISO 27002:2015 |
|
Upravljanje postupcima |
ISO 27001:2013 ISO 27002:2015 |
|
Upravljanje sigurnosnim incidentima |
ISO 27001:2013 ISO 27002:2015 |
|
Upravljanje kontinuitetom poslovanja |
ISO 22301:2012 |
|
Nadzor i testiranje sigurnosti |
ISO 27001:2013 ISO 27002:2015 |
Članak 8.
Dodatak 2 mijenja se i glasi:
KRITERIJI ZA IZVJEŠĆIVANJE
|
Sigurnosni incidenti |
Minimum krajnjih korisnika obuhvaćenih sigurnosnim incidentom |
Minimalno trajanje sigurnosnog incidenta |
|
Mrežno onemogućavanje, primanja, ostvarivanja ili točnog usmjeravanja poziva prema hitnim službama |
10 000 korisnika |
neovisno o trajanju |
|
Onemogućena govorna usluga u nepokretnoj mreži |
14 000 korisnika |
8 sati |
|
Onemogućena govorna usluga u nepokretnoj mreži |
28 000 korisnika |
6 sati |
|
Onemogućena govorna usluga u nepokretnoj mreži |
71 000 korisnika |
4 sata |
|
Onemogućena govorna usluga u nepokretnoj mreži |
142 000 korisnika |
2 sata |
|
Onemogućena govorna usluga u nepokretnoj mreži |
214 000 korisnika |
1 sat |
|
Onemogućena govorna usluga u pokretnoj mreži |
44 000 korisnika |
8 sati |
|
Onemogućena govorna usluga u pokretnoj mreži |
88 000 korisnika |
6 sati |
|
Onemogućena govorna usluga u pokretnoj mreži |
220 000 korisnika |
4 sata |
|
Onemogućena govorna usluga u pokretnoj mreži |
441 000 korisnika |
2 sata |
|
Onemogućena govorna usluga u pokretnoj mreži |
662 000 korisnika |
1 sat |
|
Onemogućena usluga pristupa internetu u nepokretnoj mreži |
9 000 korisnika |
8 sati |
|
Onemogućena usluga pristupa internetu u nepokretnoj mreži |
19 000 korisnika |
6 sati |
|
Onemogućena usluga pristupa internetu u nepokretnoj mreži |
49 000 korisnika |
4 sata |
|
Onemogućena usluga pristupa internetu u nepokretnoj mreži |
98 000 korisnika |
2 sata |
|
Onemogućena usluga pristupa internetu u nepokretnoj mreži |
148 000 korisnika |
1 sat |
|
Onemogućena usluga pristupa internetu u pokretnoj mreži |
32 000 korisnika |
8 sati |
|
Onemogućena usluga pristupa internetu u pokretnoj mreži |
64 000 korisnika |
6 sati |
|
Onemogućena usluga pristupa internetu u pokretnoj mreži |
160 000 korisnika |
4 sata |
|
Onemogućena usluga pristupa internetu u pokretnoj mreži |
320 000 korisnika |
2 sata |
|
Onemogućena usluga pristupa internetu u pokretnoj mreži |
481 000 korisnika |
1 sat |
Članak 9.
Dodatak 3 mijenja se i glasi:
»PREDLOŽAK ZA IZVJEŠĆIVANJE SIGURNOSNIH INCIDENATA
|
Potrebni podaci |
Popunjava operator |
||
|
Naziv operatora |
|||
|
Datum podnošenja izvještaja |
|||
|
Datum i vrijeme nastanka/otkrivanje sigurnosnog incidenta |
|||
|
Mreža |
☐ podzemni kabel ☐ zračni kabel ☐ podmorski kabel ☐ svjetlosni kabel ☐ radio mreža (zemaljska) ☐ satelitska mreža |
||
|
Vrsta usluge koju obuhvaća sigurnosni incident |
☐ Nepokretna telefonija: ☐ VoIP ☐ DSL ☐ OPTIKA ☐ KABELSKA ☐ DRUGO ☐ Nepokretni Internet: ☐ DSL ☐ OPTIKA ☐ KABELSKA ☐ DRUGO ☐ Sustav energetske mreže ☐ DRUGO ☐ Pokretna telefonija: ☐ GSM ☐ UMTS ☐ LTE ☐ DRUGO ☐ Pokretni Internet: ☐ GPRS/EDGE ☐ UMTS ☐ LTE ☐ DRUGO ☐ SMS ☐ MMS ☐ DRUGO ☐ Satelitske komunikacijske usluge ☐ DRUGO ☐ Međunarodni roaming ☐ DRUGO ☐ Glasovne poruke ☐ DRUGO ☐ Radio prijenos ☐ DRUGO ☐ TV prijenos ☐ DRUGO ☐ Kabelska televizijska mreža ☐ DRUGO |
||
|
Vrijeme trajanja sigurnosnog incidenta i broj obuhvaćenih korisnika |
VRIJEME TRAJANJA |
BROJ OBUHVAĆENIH KORISNIKA |
|
|
Nepokretna telefonija |
|||
|
Nepokretni internet |
|||
|
Sustav energetske mreže |
|||
|
Pokretna telefonija |
|||
|
Pokretni internet |
|||
|
SMS |
|||
|
MMS |
|||
|
Satelitske usluge |
|||
|
Međunarodni roaming |
|||
|
Govorna usluga |
|||
|
Radio prijenos |
|||
|
TV prijenos |
|||
|
IPTV |
|||
|
Drugo |
|||
|
Utjecaj na međupovezivanje |
☐ DA ☐ NE |
|
Utjecaj na hitne službe |
☐ DA ☐ NE |
|
Izvorni uzrok |
☐ Sistemske greške ☐ Ljudska greška ☐ Zlonamjerne radnje ☐ Prirodni fenomen ☐ Greška treće strane |
|
Početni uzrok |
☐ Obilne snježne padaline ☐ Oluja ☐ Poplava ☐ Požar ☐ Zemljotres ☐ Prekid napajanja ☐ Električni udar ☐ Presjek kabela ☐ Krađa kabela ☐ Elektromagnetska interferencija ☐ DoS napad ☐ Krađa hardvera ☐ Pogrešna nadogradnja/zamjena hardvera ☐ Pogrešna nadogradnja/zamjena softvera ☐ Preopterećenje ☐ Iscrpljene zalihe goriva ☐ Proceduralna greška ☐ Sigurnosna greška ☐ Ništa ☐ Drugo _________________________ |
|
Naknadni uzrok |
☐ Obilne snježne padaline ☐ Oluja ☐ Poplava ☐ Požar ☐ Zemljotres ☐ Prekid napajanja ☐ Električni udar ☐ Presjek kabela ☐ Krađa kabela ☐ Elektromagnetska interferencija ☐ DoS napad ☐ Krađa hardvera ☐ Pogrešna nadogradnja/zamjena hardvera ☐ Pogrešna nadogradnja/zamjena softvera ☐ Preopterećenje ☐ Iscrpljene zalihe goriva ☐ Proceduralna greška ☐ Sigurnosna greška ☐ Ništa ☐ Drugo _______________________ |
|
Imovina obuhvaćena incidentom |
☐ Pretplatnička oprema ☐ Bazne stanice i upravljački sklopovi (npr. BTS, NodeB, RNC) ☐ Mobilno prospajanje (npr. MSC, VLR, SGSN, GGSN) ☐ Korisnički i lokacijski registri (npr. HLR, HSS, AuC) ☐ Prospojnici (npr. lokalne centrale, usmjerivači, DSLAM) ☐ Prijenosni čvorovi (npr. SDH, WDM) ☐ Kabeli (npr. morski, zračni, podzemni) ☐ Međukonekcijske točke (npr. IXPs, IP transit) ☐ Sustav napajanja (npr. transformatori, mreža napajanja) ☐ Rezervno napajanje (npr. dizel generatori, baterije) ☐ Sustav hlađenja ☐ Ulični kabineti ☐ Centar za razmjenu poruka ☐ Prospojni centar (npr. MSC, VLR) ☐ Sustav naplate ☐ Adresni serveri (DHCP, DNS) ☐ Inteligentni mrežni uređaji ☐ Zgrade i fizički sigurnosni sustavi ☐ Operativni sustavi potpore ☐ Ništa ☐ Drugo ___________________________ |
|
Opis sigurnosnog incidenta |
|
|
Rješavanje sigurnosnog incidenta i opis poduzetih mjera (opis aktivnosti koje su poduzete nakon otkrića incidenta za rješavanje incidenta) |
|
|
Mjere poduzete nakon otklanjanja sigurnosnog incidenta (opis poduzetih aktivnosti od strane operatora za smanjivanje vjerojatnosti ponavljanja incidenta ili utjecaja incidenta) |
|
|
Dugoročne mjere |
|
|
Kontakt podaci za praćenje procesa |
|
|
Ostale važne informacije |
Članak 10.
Dodatak 4 i 5 se brišu.
Članak 11.
Ovaj Pravilnik stupa na snagu 1. siječnja 2017.
Klasa: 011-02/16-02/05
Urbroj: 376-04-16-1
Zagreb, 13. srpnja 2016.
Predsjednik Vijeća dr. sc. Dražen Lučić, v. r.
Izvor: http://narodne-novine.nn.hr/clanci/sluzbeni/2016_07_67_1631.html