NN 67/16 od 20.07.2016 . Pravilnik o izmjenama i dopunama Pravilnika o načinu i rokovima provedbe mjera zaštite sigurnosti i cjelovitosti mreža i usluga

Baza je ažurirana 17.04.2024.

zaključno sa NN 43/24

PRESTAO VAŽITI ALI VIDI OVDJE!

Objavljeno u NN 67/16 od 20.07.2016.:

HRVATSKA REGULATORNA AGENCIJA ZA MREŽNE DJELATNOSTI

Na temelju članka 12. stavka 1. točke 1. i članka 99. stavka 9. Zakona o elektroničkim komunikacijama (»Narodne novine« 73/08, 90/11, 133/12, 80/13 i 71/14), Vijeće Hrvatske regulatorne agencije za mrežne djelatnosti na sjednici održanoj 13. srpnja 2016. donosi

PRAVILNIK O IZMJENAMA I DOPUNAMA PRAVILNIKA O NAČINU I ROKOVIMA PROVEDBE MJERA ZAŠTITE SIGURNOSTI I CJELOVITOSTI MREŽA I USLUGA

Članak 1.

Pravilnik o načinu i rokovima provedbe mjera zaštite sigurnosti i cjelovitosti mreža i usluga (NN br. 109/12, 33/13 i 126/13; dalje: Pravilnik), mijenja se na način da se u članku 1. riječ »Agencije« zamjenjuje se riječima »Hrvatske regulatorne agencije za mrežne djelatnosti (dalje: Agencija)».

Članak 2.

Članak 2. mijenja se i glasi:

»U smislu ovog Pravilnika pojedini pojmovi imaju sljedeće značenje:

1. informacijski sustav: komunikacijski, računalni ili drugi elektronički sustav u kojem se podaci obrađuju, pohranjuju ili prenose, tako da budu dostupni i upotrebljivi za ovlaštene korisnike,

2. integritet (cjelovitost) mreže: skup tehničkih zahtjeva za procese, rad i izmjene u elektroničkoj komunikacijskoj mreži, u svrhu osiguravanja nesmetane uporabe međusobno povezanih elektroničkih komunikacijskih mreža, kao i pristupa tim mrežama te cjelovitosti podataka pohranjenih u elektroničkoj komunikacijskoj mreži,

3. sigurnosni incident: događaj koji može uzrokovati narušavanje sigurnosti i/ili gubitak integriteta mreže koji može utjecati na rad elektroničkih komunikacijskih mreža i/ili usluga.«

Članak 3.

(1) U članku 3. na kraju stavka 1. dodaje se nova rečenica koja glasi:

»Poduzete mjere osobito se provode kako bi se spriječio i umanjio utjecaj sigurnosnih incidenata na korisnike usluga i međusobno povezane elektroničke komunikacijske mreže.«

(2) U članku 3. stavak 6. i stavak 7. se brišu.

Članak 4

Iza članka 3. dodaje se novi članak 3. a. koji glasi:

»(1) Operator mora najmanje jednom godišnje provesti reviziju informacijskog sustava kako bi se utvrdilo jesu li ispunjene minimalne mjere sigurnosti iz Dodatka 1 ovog Pravilnika.

(2) Nalaz revizije iz stavka 1. ovog članka, zajedno s planom uklanjanja uočenih nedostataka, potrebno je dostaviti Agenciji do 30. svibnja tekuće godine za prethodnu godinu.

(3) Postupak revizije treba provoditi tako da se u obzir uzme značaj pojedinih dijelova informacijskog sustava za funkcioniranje cijelog sustava te rezultate prethodnih revizija. Reviziju mogu obavljati zaposlenici operatora koji nisu vezani za područje revizije i koji imaju odgovarajuće znanje i iskustvo ili vanjsko revizorsko tijelo.

Članak 5.

(1) U članku 4. stavak 1. mijenja se i glasi:

»Operatori su obvezni obavijestiti Agenciju u slučaju neovlaštenog povezivanja s javnom komunikacijskom mrežom ili dijelom mreže te u slučaju kršenja sigurnosti ili integriteta javnih komunikacijskih usluga, koji su značajnije utjecali na obavljanje djelatnosti javnih komunikacijskih mreža i/ili usluga sukladno kriterijima za izvješćivanje iz Dodatka 2.«

(2) U članku 4. stavak 5. mijenja se i glasi:

»Agencija može zatražiti dopunu izvješća iz stavka 2. u svrhu praćenja određenog sigurnosnog incidenta te boljeg razumijevanja prirode nastalog sigurnosnog incidenta.«

Članak 6.

(1) Članak 5. mijenja se na način da se iza riječi »obvezni« dodaju riječi »bez odgode« te se točka 1. mijenja i glasi:

»1. na odgovarajući način obavijestiti korisnike javnih komunikacijskih usluga o značajnijem prekidu pružanja javnih komunikacijskih mreža i/ili usluga, sukladno kriterijima za izvješćivanje iz Dodatka 2. Ako su ugrožene osnovne usluge kao što su glasovna usluga, SMS usluga ili usluga pristupa internetu, operatori moraju bez odgode objaviti informacije o nastalom značajnom incidentu na službenoj stranici. Informacije o značajnom incidentu moraju sadržavati opis područja obuhvaćenog incidentom, koji može biti prikazan i u kartografskom obliku«

Članak 7.

Dodatak 1 mijenja se i glasi:

»MINIMALNE MJERE SIGURNOSTI

Minimalne mjere sigurnosti	Referentne norme
Procedure za upravljanje rizicima	ISO 27001:2013 ISO 27002:2015 ISO 27005:2011
Sigurnosni zahtjevi za osoblje	ISO 27001:2013 ISO 27002:2015
Sigurnost sustava i prostora	ISO 27001:2013 ISO 27002:2015
Upravljanje postupcima	ISO 27001:2013 ISO 27002:2015
Upravljanje sigurnosnim incidentima	ISO 27001:2013 ISO 27002:2015
Upravljanje kontinuitetom poslovanja	ISO 22301:2012
Nadzor i testiranje sigurnosti	ISO 27001:2013 ISO 27002:2015

Članak 8.

Dodatak 2 mijenja se i glasi:

KRITERIJI ZA IZVJEŠĆIVANJE

Sigurnosni incidenti	Minimum krajnjih korisnika obuhvaćenih sigurnosnim incidentom	Minimalno trajanje sigurnosnog incidenta
Mrežno onemogućavanje, primanja, ostvarivanja ili točnog usmjeravanja poziva prema hitnim službama	10 000 korisnika	neovisno o trajanju
Onemogućena govorna usluga u nepokretnoj mreži	14 000 korisnika	8 sati
Onemogućena govorna usluga u nepokretnoj mreži	28 000 korisnika	6 sati
Onemogućena govorna usluga u nepokretnoj mreži	71 000 korisnika	4 sata
Onemogućena govorna usluga u nepokretnoj mreži	142 000 korisnika	2 sata
Onemogućena govorna usluga u nepokretnoj mreži	214 000 korisnika	1 sat
Onemogućena govorna usluga u pokretnoj mreži	44 000 korisnika	8 sati
Onemogućena govorna usluga u pokretnoj mreži	88 000 korisnika	6 sati
Onemogućena govorna usluga u pokretnoj mreži	220 000 korisnika	4 sata
Onemogućena govorna usluga u pokretnoj mreži	441 000 korisnika	2 sata
Onemogućena govorna usluga u pokretnoj mreži	662 000 korisnika	1 sat
Onemogućena usluga pristupa internetu u nepokretnoj mreži	9 000 korisnika	8 sati
Onemogućena usluga pristupa internetu u nepokretnoj mreži	19 000 korisnika	6 sati
Onemogućena usluga pristupa internetu u nepokretnoj mreži	49 000 korisnika	4 sata
Onemogućena usluga pristupa internetu u nepokretnoj mreži	98 000 korisnika	2 sata
Onemogućena usluga pristupa internetu u nepokretnoj mreži	148 000 korisnika	1 sat
Onemogućena usluga pristupa internetu u pokretnoj mreži	32 000 korisnika	8 sati
Onemogućena usluga pristupa internetu u pokretnoj mreži	64 000 korisnika	6 sati
Onemogućena usluga pristupa internetu u pokretnoj mreži	160 000 korisnika	4 sata
Onemogućena usluga pristupa internetu u pokretnoj mreži	320 000 korisnika	2 sata
Onemogućena usluga pristupa internetu u pokretnoj mreži	481 000 korisnika	1 sat

Članak 9.

Dodatak 3 mijenja se i glasi:

»PREDLOŽAK ZA IZVJEŠĆIVANJE SIGURNOSNIH INCIDENATA

Potrebni podaci	Popunjava operator
Naziv operatora
Datum podnošenja izvještaja
Datum i vrijeme nastanka/otkrivanje sigurnosnog incidenta
Mreža	☐ podzemni kabel ☐ zračni kabel ☐ podmorski kabel ☐ svjetlosni kabel ☐ radio mreža (zemaljska) ☐ satelitska mreža
Vrsta usluge koju obuhvaća sigurnosni incident	☐ Nepokretna telefonija: ☐ VoIP ☐ DSL ☐ OPTIKA ☐ KABELSKA ☐ DRUGO ☐ Nepokretni Internet: ☐ DSL ☐ OPTIKA ☐ KABELSKA ☐ DRUGO ☐ Sustav energetske mreže ☐ DRUGO ☐ Pokretna telefonija: ☐ GSM ☐ UMTS ☐ LTE ☐ DRUGO ☐ Pokretni Internet: ☐ GPRS/EDGE ☐ UMTS ☐ LTE ☐ DRUGO ☐ SMS ☐ MMS ☐ DRUGO ☐ Satelitske komunikacijske usluge ☐ DRUGO ☐ Međunarodni roaming ☐ DRUGO ☐ Glasovne poruke ☐ DRUGO ☐ Radio prijenos ☐ DRUGO ☐ TV prijenos ☐ DRUGO ☐ Kabelska televizijska mreža ☐ DRUGO
Vrijeme trajanja sigurnosnog incidenta i broj obuhvaćenih korisnika		VRIJEME TRAJANJA	BROJ OBUHVAĆENIH KORISNIKA
	Nepokretna telefonija
	Nepokretni internet
	Sustav energetske mreže
	Pokretna telefonija
	Pokretni internet
	SMS
	MMS
	Satelitske usluge
	Međunarodni roaming
	Govorna usluga
	Radio prijenos
	TV prijenos
	IPTV
	Drugo

Utjecaj na međupovezivanje	☐ DA ☐ NE
Utjecaj na hitne službe	☐ DA ☐ NE
Izvorni uzrok	☐ Sistemske greške ☐ Ljudska greška ☐ Zlonamjerne radnje ☐ Prirodni fenomen ☐ Greška treće strane
Početni uzrok	☐ Obilne snježne padaline ☐ Oluja ☐ Poplava ☐ Požar ☐ Zemljotres ☐ Prekid napajanja ☐ Električni udar ☐ Presjek kabela ☐ Krađa kabela ☐ Elektromagnetska interferencija ☐ DoS napad ☐ Krađa hardvera ☐ Pogrešna nadogradnja/zamjena hardvera ☐ Pogrešna nadogradnja/zamjena softvera ☐ Preopterećenje ☐ Iscrpljene zalihe goriva ☐ Proceduralna greška ☐ Sigurnosna greška ☐ Ništa ☐ Drugo _________________________
Naknadni uzrok	☐ Obilne snježne padaline ☐ Oluja ☐ Poplava ☐ Požar ☐ Zemljotres ☐ Prekid napajanja ☐ Električni udar ☐ Presjek kabela ☐ Krađa kabela ☐ Elektromagnetska interferencija ☐ DoS napad ☐ Krađa hardvera ☐ Pogrešna nadogradnja/zamjena hardvera ☐ Pogrešna nadogradnja/zamjena softvera ☐ Preopterećenje ☐ Iscrpljene zalihe goriva ☐ Proceduralna greška ☐ Sigurnosna greška ☐ Ništa ☐ Drugo _______________________
Imovina obuhvaćena incidentom	☐ Pretplatnička oprema ☐ Bazne stanice i upravljački sklopovi (npr. BTS, NodeB, RNC) ☐ Mobilno prospajanje (npr. MSC, VLR, SGSN, GGSN) ☐ Korisnički i lokacijski registri (npr. HLR, HSS, AuC) ☐ Prospojnici (npr. lokalne centrale, usmjerivači, DSLAM) ☐ Prijenosni čvorovi (npr. SDH, WDM) ☐ Kabeli (npr. morski, zračni, podzemni) ☐ Međukonekcijske točke (npr. IXPs, IP transit) ☐ Sustav napajanja (npr. transformatori, mreža napajanja) ☐ Rezervno napajanje (npr. dizel generatori, baterije) ☐ Sustav hlađenja ☐ Ulični kabineti ☐ Centar za razmjenu poruka ☐ Prospojni centar (npr. MSC, VLR) ☐ Sustav naplate ☐ Adresni serveri (DHCP, DNS) ☐ Inteligentni mrežni uređaji ☐ Zgrade i fizički sigurnosni sustavi ☐ Operativni sustavi potpore ☐ Ništa ☐ Drugo ___________________________
Opis sigurnosnog incidenta
Rješavanje sigurnosnog incidenta i opis poduzetih mjera (opis aktivnosti koje su poduzete nakon otkrića incidenta za rješavanje incidenta)
Mjere poduzete nakon otklanjanja sigurnosnog incidenta (opis poduzetih aktivnosti od strane operatora za smanjivanje vjerojatnosti ponavljanja incidenta ili utjecaja incidenta)
Dugoročne mjere
Kontakt podaci za praćenje procesa
Ostale važne informacije

Članak 10.

Dodatak 4 i 5 se brišu.

Članak 11.

Ovaj Pravilnik stupa na snagu 1. siječnja 2017.

Klasa: 011-02/16-02/05

Urbroj: 376-04-16-1

Zagreb, 13. srpnja 2016.

Predsjednik Vijeća dr. sc. Dražen Lučić, v. r.