DRŽAVNA UPRAVA ZA ZAŠTITU I SPAŠAVANJE
Na temelju članka 61. stavka 3. Zakona o zaštiti i spašavanju (»Narodne novine«, broj 174/04, 79/07, 38/09 i 127/10) donosim
I. OPĆE ODREDBE
Članak 1.
Zemljopisno obavijesni sustav Državne uprave za zaštitu i spašavanje (u daljnjem tekstu: ZeOS) označava sustav u kojem se prikupljaju, obrađuju i pohranjuju prostorni i alfanumerički podaci i dokumenti kako bi sudionicima sustava zaštite i spašavanja na svim razinama ustrojavanja bili dostupni, te kako bi se osigurali analitički podaci potrebni za izradu scenarija koji će se koristiti za potrebe predlaganja preventivnih mjera zaštite i spašavanja, planiranja (izradu procjena rizika i planova zaštite i spašavanja), provođenje stožernih vježbi zaštite i spašavanja, a osobito za potrebe rada koordinativnih i zapovjednih tijela zaštite i spašavanja na svim razinama u procesima donošenja odluka o djelovanju operativnih snaga zaštite i spašavanja u katastrofama i velikim nesrećama u realnom vremenu.
II. KORISNICI ZeOS-a
Članak 2.
Korisnici ZeOS-a svrstani su u dvije kategorije: unutarnji korisnici i vanjski korisnici.
Unutarnji korisnici su unutar Državne uprave za zaštitu i spašavanje (dalje u tekstu: DUZS): Sektor za civilnu zaštitu, Sektor za vatrogastvo, Državni informacijski i komunikacijski sustav zaštite i spašavanja i područni uredi za zaštitu i spašavanje.
Unutarnji korisnici, osim za potrebe obavljanja vlastite djelatnosti, ZeOS koriste i za potrebe opsluživanja operativnog rada Stožera zaštite i spašavanja Republike Hrvatske, Zapovjedništva civilne zaštite Republike Hrvatske i Vatrogasnog zapovjedništva Republike Hrvatske.
Vanjski korisnici su jedinice lokalne i područne (regionalne) samouprave, stožeri zaštite i spašavanja, zapovjedništva civilne zaštite i vatrogasna zapovjedništva, središnja tijela državne uprave čija su područja nadležnosti od interesa za zaštitu i spašavanje Republike Hrvatske, Hrvatska gorska služba spašavanja, Hrvatski crveni križ, Hrvatska zajednica tehničke kulture i Hrvatska vatrogasna zajednica.
Članak 3.
Korisnici ZeOS-a svrstani su u sljedeće razrede prema kojima im se dodjeljuju korisnički računi:
– korisnici koji mogu pregledavati podatke
– korisnici koji mogu unositi, mijenjati i pregledavati podatke
– ZeOS administratori
– ZeOS analitičari.
Korisnici se na ZeOS, u pravilu, spajaju preko Interneta, koristeći web-preglednike.
Članak 4.
Korisnici koji mogu pregledavati podatke su korisnici s najmanjim ovlastima i bez mogućnosti bilo kakvih intervencija u sustavu.
Članak 5.
Korisnici koji mogu unositi, mijenjati i pregledavati podatke su korisnici kojima su omogućene kvalitativne i kvantitativne intervencije u sustavu.
Članak 6.
ZeOS administrator je korisnik ZeOS-a iz DUZS-a s administratorskim ovlastima (ovlasti pristupa ZeOS-u ili jednom njegovom dijelu u svrhu upravljanja sustavom ili jednim njegovim dijelom) koji se brine o sigurnosti i pouzdanosti rada sustava u svrhu ostvarivanja i osiguravanja povjerljivosti, raspoloživosti i cjelovitosti podataka koji se na njemu nalaze.
ZeOS administrator ima ovlasti pregledavanja i mijenjanja svih podataka u svrhu ispravljanja pogrešaka ili izrade servisa i aplikacija, sukladno ovlastima iz ovog Pravilnika.
ZeOS administrator dužan je voditi evidenciju korisnika ZeOS-a i svih osoba iz unutarnjih i vanjskih korisnika kojima su dodijeljena ovlaštenja za pristup prostornim podacima i prostornim servisima sustava.
Članak 7.
ZeOS analitičari su zaposlenici DUZS-a koji imaju ovlasti za pristup svim podacima i analitičkim alatima u svrhu izrade analiza, scenarija, vježbovnih supozicija, procjena, planova i za operativne i druge potrebe sustava zaštite i spašavanja.
III. ORGANIZACIJSKA STRUKTURA ZeOS-a
Članak 8.
Temeljna računalno komunikacijska struktura ZeOS-a je skup središnjih poslužitelja, programskih sustava i lokalna mreža u sjedištu DUZS-a u Nehajskoj 5 te internetski pristup sustavu za korisnike ZeOS-a.
Članak 9.
Državni informacijski i komunikacijski sustav zaštite i spašavanja dužan je urediti korištenje ZeOS-a po pitanjima poslova vezanih uz sigurnost, ispravan rad i pouzdanost te raspoloživost ZeOS-a, osobito poslove tehničkog održavanja, sigurnosnog održavanja i administriranja, te uspostaviti organizacijsku strukturu ZeOS-a iz svoje nadležnosti za potrebe prikupljanja, čuvanja, analiziranja i prikazivanja svih informacija značajnih za sustav zaštite i spašavanja na području Republike Hrvatske.
Sektor za civilnu zaštitu, Sektor za vatrogastvo, Učilište vatrogastva i zaštite i spašavanja i savjetnik za informacijsku sigurnost Državne uprave za zaštitu i spašavanje dužni su osigurati sigurnost aplikacija u području svoje nadležnosti.
Članak 10.
Načelnik Državnog komunikacijsko informacijskog sustava zaštite i spašavanja određuje administratora prostornih podataka i administratora administracijsko-komunikacijske infrastrukture ZeOS-a.
Načelnici sektora DUZS-a, u području nadležnosti, određuju administratore aplikacija.
Članak 11.
Nadzor nad korištenjem ZeOS-a u DUZS-u provodi savjetnik za informacijsku sigurnost.
Članak 12.
Za pravilno funkcioniranje, održavanje, razvoj i tehničku podršku korisnicima ZeOS-a brinu se ustrojstvene cjeline Državnog informacijskog i komunikacijskog sustava zaštite i spašavanja u kojima se nalaze administratori računalnih sustava i mreža kao i ZeOS administratori i ZeOS analitičari.
Upravljanje u svezi pristupa datotekama operacijskog sustava provodi Državni informacijski i komunikacijski sustav zaštite i spašavanja sukladno tehničkim mogućnostima komunikacijsko-informacijskog sustava DUZS-a.
Članak 13.
Elektronička razmjena podataka može se odvijati putem razmjene elektroničkih poruka, slanjem datoteka od točke do točke ili razmjenom podataka na prijenosnim računalnim medijima za pohranu podataka (CD mediji, USB memorije i slično), prema pisanom naputku administratora sustava.
Članak 14.
Na informacijskom sustavu obvezno se vode i pohranjuju automatski dnevnički zapisi korisničkih aktivnosti, rada sustava, rada programa, rada mrežnih resursa sigurnosnih događaja te izuzetaka u radu, za što je odgovoran administrator sustava.
IV. KORIŠTENJE ZeOS-a
Članak 15.
Čelne osobe vanjskih korisnika ZeOS-a, DUZS-u predlažu osobe za dodjelu korisničkih računa.
Prijedlogu iz stavka 1. ovog članka obvezno se prilaže obrazloženje za koji se razred zahtijeva izdavanje korisničkog računa.
Korisnički račun postaje aktivan po pisanom odobrenju nadležnog sektora DUZS-a.
Korisniku se obavijest o otvorenom korisničkom računu, podacima o računu i uputama o korištenju dostavljaju teklićem ili preporučenom poštom.
Nadležni sektor DUZS-a može odbiti zahtjev ili ograničiti razinu pristupa prostornim podacima, prostornim servisima i aplikacijama, ukoliko ocijeni da priložena obrazloženja iz stavka 2. ovog članka nisu u skladu s potrebama vanjskog korisnika koji podnosi zahtjev.
Obavijest o odbijanju zahtjeva za dodjelu korisničkog računa podnositelju se dostavlja teklićem ili preporučenom poštom.
Članak 16.
Korisnički račun omogućava korisniku pristup ZeOS-u.
Administrator aplikacije dodjeljuje korisničke račune korisnicima aplikacije te stvara, ažurira i analizira aplikacije.
Administrator prostornih podataka dodjeljuje korisničke račune administratoru aplikacije i računalnim aplikacijskim servisima te stvara, ažurira i analizira prostorne podatke, baze prostornih podataka i prostorne servise.
Administrator administracijsko-komunikacijske infrastrukture ZeOS-a dodjeljuje korisničke račune administratoru aplikacije i administratoru prostornih podataka te upravlja pravima pristupa na vatrozidu, kao i aplikacijskim i web-poslužiteljima te poslužiteljima za pohranu podataka.
Korisnička uloga označava pristup ZeOS-u ili jednom njegovom dijelu s jasno definiranim i ograničenim ovlastima u pristupu podacima koje omogućavaju pregled, unos, mijenjanje ili brisanje.
Korisnik ZeOS-a dužan je koristiti informacijski sustav u skladu s dodijeljenim razredima i korisničkim računima iz članaka 3. i 15. ovog Pravilnika.
Članak 17.
Korisnici ZeOS-a moraju biti ovlašteni za pristup ZeOS-u kojemu mogu pristupiti isključivo putem dodijeljenog korisničkog računa i vremenski ograničenom korisničkom ulogom.
Postupkom autentifikacije provodi se neporeciva potvrda identiteta vlasnika korisničkog računa.
Postupkom autorizacije autentificiranom korisniku se omogućuje pristup sustavu sukladno razredima određenim korisničkim računom.
V. SIGURNOSNI ZAHTJEVI ZeOS-a
Članak 18.
Sigurnost ZeOS-a ostvaruje se primjenom sigurnosnih mjera i standarda informacijske sigurnosti.
Državni informacijski i komunikacijski sustav zaštite i spašavanja i savjetnik za informacijsku sigurnost kontinuirano provode procjenu sigurnosnih rizika korištenja ZeOS-a za potrebe normiranja provođenja mjera unutar svih područja informacijske sigurnosti.
Članak 19.
Sigurnosne mjere iz ovog Pravilnika definiraju se primjenom sljedećih sigurnosnih mjera:
– upravljanjem sigurnosnim rizicima sustava i
– provjeravanjem provedbe propisanih sigurnosnih mjera na načelima minimalnosti instalacije softvera, najmanjih ovlasti korisnika sustava, samozaštitnog čvora i višestruke zaštite.
Članak 20.
Uporaba ZeOS-a na prijenosnim računalima dopuštena je samo uz dosljednu primjenu svih sigurnosnih mjera i pravila uporabe sukladnih obvezujućim smjernicama sigurnosti informacijskog sustava i procjeni sigurnosnog rizika.
Članak 21.
Internet preglednici se moraju koristiti na siguran način, s uključenim ugrađenim sigurnosnim postavkama te isključenim korištenjem dodataka preglednicima, a prema pisanom naputku administratora sustava.
Članak 22.
Za provedbu sigurnosnih mjera zaduženi su nositelji iz članka 9. ovog Pravilnika. Provedbu sigurnosnih mjera potrebno je koordinirati s ostalim korisnicima sustava kako bi se istovremeno osigurala kako sigurnost tako i potrebna dostupnost ZeOS-a svim korisnicima.
Članak 23.
U svrhu osiguravanja zahtijevanih standarda obrade podataka, u aplikacije se ugrađuju odgovarajući poslovni procesi i nadzorni mehanizmi kako bi se spriječilo nastajanje hardverskih pogrešaka, pogrešaka obrade, gubitak podataka, neovlaštena promjena ili zlouporaba podataka u aplikacijama.
Članak 24.
Pristup datotekama operacijskog sustava mora biti nadziran i ograničen.
Nadzor datoteka provodi se fizičkim mjerama osiguranja prostora i restriktivnim mjerama pristupa podacima ograničavanjem korisničkih prava.
Članak 25.
Svi korisnici obvezni su savjetniku za informacijsku sigurnost DUZS-a prijaviti svaki uočeni sigurnosni propust ili sigurnosni incident u ZeOS sustavu.
VI. ZAKLJUČNE ODREDBE
Članak 26.
Mreža vanjskih korisnika ZeOS-a može se sukcesivno proširivati, sukladno operativnim potrebama obavljanja preventivnih, planskih i operativnih poslova djelovanja operativnih snaga zaštite i spašavanja u katastrofi i velikoj nesreći, uz suglasnost nadležnog sektora DUZS-a i na način uređen ovim Pravilnikom.
Članak 27.
Ovaj Pravilnik stupa na snagu u roku od osam dana od dana objave u »Narodnim novinama«.
Klasa: 011-02/12-01/39
Urbroj: 543-01-08-01-12-3
Zagreb, 1. kolovoza 2012.
Ravnatelj dr. sc. Jadran Perinić, v. r.
Izvor: http://narodne-novine.nn.hr/clanci/sluzbeni/2012_08_98_2183.html