Član 10

Operator IKT sistema od posebnog značaja odgovara za bezbednost IKT sistema i preduzimanje mera zaštite IKT sistema. Merama zaštite IKT sistema se obezbeđuje prevencija od nastanka incidenata, odnosno prevencija i smanjenje štete od incidenata koji ugrožavaju vršenje nadležnosti i obavljanje delatnosti, a posebno u okviru pružanja usluga drugim licima. Mere zaštite primenjuju se u svim IKT sistemima operatora iz stava 1. ovog člana. Mere zaštite IKT sistema se odnose na: 1) uspostavljanje organizacione strukture, sa utvrđenim poslovima, znanjima, kompetencijama, iskustvom i odgovornostima zaposlenih, kojom se ostvaruje upravljanje informacionom bezbednošću u okviru operatora IKT sistema; 2) prikupljanje podataka o pretnjama po informacionu bezbednost IKT sistema; 3) postizanje bezbednosti rada na daljinu i upotrebe mobilnih uređaja; 4) obezbeđivanje da lica koja koriste IKT sistem odnosno upravljaju IKT sistemom budu osposobljena za posao koji rade i razumeju svoju odgovornost, odnosno da obezbedi održavanje osnovnih i po potrebi naprednih informatičkih obuka za sve zaposlene i angažovana lica koja imaju pristup IKT sistemima, obuka za rukovodioce odnosno organe upravljanja operatora IKT sistema od posebnog značaja, kao i specijalizovane stručne obuke za zaposlene odgovorne za upravljanje informacionom bezbednošću, radi obezbeđivanja kontinuirane edukacije; 5) obezbeđivanje dovoljno resursa za adekvatno upravljanje informacionom bezbednošću; 6) zaštitu od rizika koji nastaju pri promenama poslova ili prestanka radnog angažovanja lica zaposlenih kod operatora IKT sistema; 7) identifikovanje informacionih dobara i određivanje odgovornosti za njihovu zaštitu; 8) klasifikovanje podataka tako da nivo njihove zaštite odgovara značaju podataka u skladu sa načelom upravljanja rizikom iz člana 3. ovog zakona; 9) zaštitu nosača podataka; 10) ograničenje pristupa podacima i sredstvima za obradu podataka; 11) odobravanje ovlašćenog pristupa i sprečavanje neovlašćenog pristupa IKT sistemu i uslugama koje IKT sistem pruža; 12) utvrđivanje odgovornosti korisnika za zaštitu sopstvenih sredstava za autentikaciju; 13) predviđanje upotrebe kriptografskih kontrola i drugih tehnika za sakrivanje podataka radi zaštite poverljivosti, autentičnosti i integriteta podataka; 14) primena mera zaštite radi sprečavanja oticanja podataka; 15) fizičku zaštitu objekata, prostora, prostorija odnosno zona u kojima se nalaze sredstva i dokumenti IKT sistema i obrađuju podaci u IKT sistemu; 16) zaštitu od gubitka, oštećenja, krađe ili drugog oblika ugrožavanja bezbednosti sredstava koja čine IKT sistem; 17) obezbeđivanje ispravnog i bezbednog funkcionisanja sredstava za obradu podataka; 18) primenu odgovarajućih procedura i mera zaštite prilikom korišćenja usluge računarstva u klaudu; 19) praćenje IKT sistema u cilju otkrivanja ranjivosti i pretnji; 20) ograničenje pristupa veb prezentacijama koje mogu potencijalno da naruše bezbednost IKT sistema; 21) zaštitu podataka i sredstava za obradu podataka od zlonamernog softvera; 22) zaštitu od gubitka podataka redovnom izradom rezervnih kopija podataka, softvera i sistema putem odgovarajućih sredstava za razmenu podataka; 23) čuvanje podataka o događajima koji mogu biti od značaja za bezbednost IKT sistema; 24) obezbeđivanje integriteta softvera i operativnih sistema; 25) zaštitu od zloupotrebe tehničkih bezbednosnih slabosti IKT sistema; 26) obezbeđivanje zaštite IKT sistema prilikom sprovođenja revizorskog testiranja; 27) zaštitu podataka u komunikacionim mrežama, uključujući uređaje i vodove; 28) bezbednost podataka koji se prenose unutar operatora IKT sistema, kao i između operatora IKT sistema i lica van operatora IKT sistema; 29) ispunjenje zahteva za informacionu bezbednost u okviru upravljanja svim fazama životnog ciklusa IKT sistema odnosno delova sistema; 30) zaštitu podataka koji se koriste za potrebe testiranja IKT sistema odnosno delova sistema; 31) procedure za čuvanje i brisanje informacija u IKT sistemima, u skladu sa propisima; 32) zaštitu sredstava operatora IKT sistema koja su dostupna pružaocima usluga; 33) održavanje ugovorenog nivoa informacione bezbednosti i pruženih usluga u skladu sa uslovima koji su ugovoreni sa pružaocem usluga; 34) prevenciju i reagovanje na bezbednosne incidente, što podrazumeva adekvatnu razmenu informacija o bezbednosnim slabostima IKT sistema, incidentima i pretnjama, kao i primenu mera sanacije posledica incidenta; 35) mere koje obezbeđuju kontinuitet obavljanja posla u vanrednim okolnostima koje se definišu Planom kontinuiteta obavljanja posla; 36) usvajanje dokumenata kojima se definišu procedure za proveru adekvatnosti mera zaštite; 37) upotrebu multifaktorske autentikacije ili rešenja kontinuirane provere autentičnosti, zaštićene glasovne, video i tekstualne komunikacije, te bezbednih komunikacionih sistema u hitnim slučajevima unutar operatora IKT sistema. Podzakonski akt kojim se bliže uređuju mere zaštite prioritetnih i važnih IKT sistema uvažavajući načela iz člana 3. ovog zakona, nacionalne i međunarodne standarde, i standarde koji se primenjuju u odgovarajućim oblastima rada i relevantne tehničke specifikacije donosi Vlada, na predlog Ministarstva.