Sredinji dravni ured za e-Hrvatsku Struna skupina za informacijsku sigurnost

PLAN PROVEDBE NACIONALNOG PROGRAMA INFORMACIJSKE SIGURNOSTI U REPUBLICI HRVATSKOJ ZA 2005. GODINU

Zagreb, oujak 2005.

Provedbeni plan Nacionalnog programa informacijske sigurnosti u RH za 2005. godinu

V3.0

1. Naslov dokumenta Provedbeni plan Nacionalnog programa informacijske sigurnosti u Republici Hrvatskoj 2. Svrha dokumenta Ovim dokumentom se odreuje plan informacijske sigurnosti za 2005. godinu. 3. Oznaka SDUeH-InfSig-02 4. Status Konani tekst 5. Verzija V 3.0 6. Datum verzije 30. 03. 2005. 7. Izvor Sredinji dravni ured za e-Hrvatsku, Struna skupina za informacijsku sigurnost sastavljena od predstavnika institucija: Sredinji dravni ured za e-Hrvatsku (SDUeH), Ministarstvo obrane RH (MORH) i Vojna sigurnosna agencija (VSA), Ministarstvo unutarnjih poslova (MUP), Ministarstvo vanjskih poslova i europskih integracija (MVPEI), Protuobavjetajna agencija (POA), Obavjetajna agencija (OA), Zavod za informacijsku sigurnost i kripto-zatitnu tehnologiju (ZISKZT), Ured Vijea za nacionalnu sigurnost (UVNS), Fakultet elektrotehnike i raunarstva (FER), Hrvatska akademska i istraivaka mrea (CARNet) 8. Autorsko pravo: Nakon usvajanja na Vladi RH ovo je javni dokument. Dozvoljeno je kopiranje i raspaavanje dokumenta u tiskanom i digitalnom obliku uz uvjet da je naveden izvor dokumenta i jasno oznaena sva odstupanja od izvornika kao i autori dodanih i/ili promijenjenih dijelova teksta. provedbe Nacionalnog programa

SDUeH, Struna skupina za informacijsku sigurnost

Strana 2 od 8

Provedbeni plan Nacionalnog programa informacijske sigurnosti u RH za 2005. godinu

V3.0

SADRAJ:
1
1.1 1.1.1 1.1.2 1.1.3 1.2

PROVEDBA NACIONALNOG PROGRAMA INFORMACIJSKE SIGURNOSTI U RH ZA 2005. GODINU .......................................................................................... 4

Faze provedbe.............................................................................................................. 4 Predradnje ..................................................................................................................... 4 Faza 1............................................................................................................................ 5 Faze 2. i 3. ..................................................................................................................... 5 Mehanizmi praenja provedbe ................................................................................... 6

POPIS MJERA .......................................................................................................... 7

SDUeH, Struna skupina za informacijsku sigurnost

Strana 3 od 8

Provedbeni plan Nacionalnog programa informacijske sigurnosti u RH za 2005. godinu

V3.0

1 PROVEDBA NACIONALNOG PROGRAMA INFORMACIJSKE SIGURNOSTI U REPUBLICI HRVATSKOJ ZA 2005. GODINU

U dokumentu Provedbeni plan Nacionalnog programa informacijske sigurnosti u RH za 2005. godinu razraene su predradnje i faze provedbe Nacionalnog programa informacijske sigurnosti u RH ZA 2005. godinu, te predviene odgovarajue metode praenja provedbe Nacionalnog programa. Koordinaciju provedbe Nacionalnog programa obavljat e SDUeH. Struno praenje provedbe mjera tijekom 2005. g. provodit e novoformirana Struna skupina za informacijsku sigurnost (SSZIS), koja e na kvartalnoj razini procjenjivati provedbu Nacionalnog programa. SSZIS e u tom smislu pratiti vremensko i sadrajno izvrenje Nacionalnog programa te e po potrebi vriti korekcije i usklaivanja meu tijelima u strunim pitanjima. SSZIS e takoer biti zaduen za izradu Provedbenog plana za 2006. g., do kada se oekuje formiranje potrebnih tijela (ZISKZT, Sredinji dravni CERT), kao i uspostava novih funkcionalnosti u postojeim tijelima (UVNS) pa e i koncept praenja provedbe programa biti sukladno tome modificiran i oslanjat e se vie na sama upravljaka tijela u sustavu informacijske sigurnosti RH.

1.1 Faze provedbe

Faze provedbe Nacionalnog programa podrazumijevaju izradu i primjenu metoda i mjera informacijske sigurnosti na skupine tijela i pravnih osoba koje su definirane u Nacionalnom programu. Kako bi se Nacionalni program uope mogao provoditi potrebno je izvriti odreene predradnje, koje e biti posebno istaknute jer predstavljaju preduvjet izvoenja faza.

1.1.1 Predradnje
Predradnje mogu zapoeti nakon prihvaanja Nacionalnog programa informacijske sigurnosti od strane Vlade RH. Sastoje se od slijedeih poslova: Formiranje nove strune skupine za praenje provedbe Nacionalnog programa informacijske sigurnosti u RH, na temelju postojee SSZIS. Nositelj je SDUeH, sudionici SSZIS, UVNS (NSA), ZISKZT (NCSA i SAA), POA, OA i VSA (CIS Operating), MORH, MUP, MF, MVPEI, APIS, MZO, CARNet (CIS Planning and Implementation), Sredinji dravni CERT. Rok za osnivanje je travanj 2005. g. Donoenje okvirnog Zakona o informacijskoj sigurnosti. Nositelj je UVNS u suradnji sa ZISKZT, sudionici SSZIS, SDUeH. Rok je drugi kvartal 2005. g. Izmjene Zakona o sigurnosnim slubama RH u dijelu koji definira nadlenosti u podruju informacijske sigurnosti (UVNS, ZISKZT, sigurnosne slube). Nositelj je UVNS u suradnji sa ZISKZT i sigurnosnim slubama. Rok je drugi kvartal 2005. g.

SDUeH, Struna skupina za informacijsku sigurnost

Strana 4 od 8

Provedbeni plan Nacionalnog programa informacijske sigurnosti u RH za 2005. godinu

V3.0

Upuivanje Vladi RH osnivakih akata Zavoda za informacijsku sigurnost i kriptozatitnu tehnologiju (ZISKZT) usklaenih s Nacionalnim programom informacijske sigurnosti, te imenovanje ravnatelja Zavoda. Nositelj je UVNS i Struni tim za postupak osnivanja Zavoda, sudionici sigurnosne slube i SDUeH. Rok je drugi kvartal 2005. g. Poetak rada Zavoda za informacijsku sigurnost i kriptozatitnu tehnologiju (ZISKZT). Nositelj je ravnatelj Zavoda. Rok je trei kvartal 2005. g. Osnivanje Agencije za potporu informacijskih sustava (APIS). Nositelj je SDUeH, sudionici FINA i TDV koja e koristiti usluge. Rok je trei kvartal 2005. g. Osnivanje Sredinjeg dravnog tijela za raunalne incidente (Sredinji dravni CERT). Nositelj je CARNet u suradnji sa Srcem, sudionici SDUeH, MZO, ZISKZT. Rok je trei kvartal 2005. g. Izmjene Zakona o zatiti tajnosti podataka. Nositelj je UVNS, sudionici ZISKZT, sigurnosne slube, MORH, MUP i Dravno odvjetnitvo. Rok je trei kvartal 2005. g. Usklaivanje propisa o uredskom poslovanju s propisima informacijske sigurnosti. Nositelj je SDUU, sudionici su SDUeH, UVNS, ZISKZT i sigurnosne slube. Rok je etvrti kvartal 2005. g. Revizija Zakona o izmjenama i dopunama Zakona o matinom broju. Nositelj je MUP u suradnji sa SDUeH, MP i SDUU. Rok je etvrti kvartal 2005. g. Usmjeravanje Projekta RKMTDU sa sigurnosnog aspekta. Nositelj ZISKZT, a sudionici SDUeH i MZO. Rok je etvrti kvartal 2005. g.

1.1.2 Faza 1.
Prva faza moe zapoeti nakon realizacije nunih preduvjeta iz 1.1.1, tj. u drugom kvartalu 2005. g. Sastoji se od slijedeih poslova: Donoenje Nacionalne strategije ili politike informacijske sigurnosti. Nositelj je UVNS i ZISKZT, sudionici su sigurnosne slube, MUP, MORH, SSZIS, SDUeH. Rok je etvrti kvartal 2005. g. Uspostava osnovne funkcionalnosti od strane sredinjih upravljakih tijela u sustavu informacijske sigurnosti. Nositelji su UVNS (NSA), ZISKZT (NCSA i SAA) i Sredinji dravni CERT. Rok je etvrti kvartal 2005. g. Uspostava Referentne liste normi i standarda i ukljuivanje potrebnih normi i otvorenih standarda iz podruja informacijske sigurnosti. Nositelji su SDUeH i ZISKZT. Rok je etvrti kvartal 2005. g.

1.1.3 Faze 2. i 3.
Dio poslova iz Faze 1. , kao i preostale provedbene mjere iz Faza 2. i 3. provest e se u razdoblju 2006. 2008. godine. Taj dio podrobnije je opisan u poglavlju 8. i Prilogu A Nacionalnog programa informacijske sigurnosti u RH.

SDUeH, Struna skupina za informacijsku sigurnost

Strana 5 od 8

Provedbeni plan Nacionalnog programa informacijske sigurnosti u RH za 2005. godinu

V3.0

1.2 Mehanizmi praenja provedbe

Za praenje procesa uspostave sustava informacijske sigurnosti u RH, u poetnoj fazi tijekom 2005. g., do preuzimanja obveza od strane nadlenih tijela, bila bi zaduena novoformirana Struna skupina. Kako bi takav proces praenja bio usklaen s informatizacijom u RH, rad ove skupine bi preko SDUeH trebao biti usklaen s izvrenjem akcijskog plana eHrvatska te ostalim vanim infrastrukturnim projektima (RKMTDU, APIS i veliki projekti informatizacije pravosua, zdravstva i sl.). Upravo iz tog razloga SDUeH, kao sredinje tijelo u RH za poslove informatizacije, treba biti tijelo zadueno za formiranje nove strune skupine koja e tijekom 2005. pratiti provoenje Nacionalnog programa informacijske sigurnosti u RH. Tako bi se osigurala nuna koordiniranost aktualnih i buduih projekata informatizacije s tijekom postupnog uvoenja organizacije informacijske sigurnosti. Novoformirana struna skupina treba, radi kontinuiteta, biti utemeljena na sastavu strune skupine koja je izradila Prijedlog Nacionalnog programa informacijske sigurnosti u RH, ali mora dodatno imati ciljano ukljuene lanove iz svakog dolje navedenog tijela, koji e neposredno raditi na pripremi za preuzimanje propisanih poslova u okviru sustava informacijske sigurnosti RH. Tu spadaju sljedea tijela: Sredinje dravno sigurnosno tijelo u RH - UVNS (NSA), Sredinje tijelo za sigurnost komunikacija u RH - ZISKZT (NCSA / IA), Sredinje tijelo za sigurnosne akreditacije - ZISKZT (SAA), Tijela za nadzor operativnosti mjera informacijske sigurnosti u TDV POA, OA i VSA (CIS Operating / CISO), Tijela za planiranje i implementaciju mjera informacijske sigurnosti MORH, MUP, MF, MVPEI, SDUeH/APIS, MZO/CARNet (CIS Planning & Implementation / ITSOA), Sredinji dravni CERT CARNet, Srce Tijela nadlena za razvoj informacijskog drutva, javnu upravu i zatitu podataka (SDUeH, SDUU, MMTPR, MZO, MP, AZOP)

SDUeH, Struna skupina za informacijsku sigurnost

Strana 6 od 8

Provedbeni plan Nacionalnog programa informacijske sigurnosti u RH za 2005. godinu

V3.0

2 POPIS MJERA
Mjera
Formiranje nove strune Skupine za praenje provedbe Nacionalnog programa informacijske sigurnosti u RH, na temelju postojee SSZIS Donoenje okvirnog zakona o informacijskoj sigurnosti Izmjene Zakona o sigurnosnim slubama RH u dijelu koji definira nadlenosti u podruju informacijske sigurnosti (UVNS, ZISKZT, sigurnosne slube) Upuivanje Vladi RH osnivakih akata Zavoda za informacijsku sigurnost i kriptozatitnu tehnologiju (ZISKZT) usklaenih s Nacionalnim programom informacijske sigurnosti, te imenovanje ravnatelja Zavoda Poetak rada Zavoda za informacijsku sigurnost i kriptozatitnu tehnologiju (ZISKZT) Osnivanje Agencije za potporu informacijskih sustava (APIS) Osnivanje Sredinjeg dravnog tijela za raunalne incidente (Sredinji dravni CERT) Izmjene Zakona o zatiti tajnosti podataka

Nositelj
SDUeH

Sudionici
SSZIS, UVNS, ZISKZT, POA, OA, VSA, MORH, MUP, MF, MVPEI, APIS, MZO, CARNet, Sredinji dravni CERT SSZIS, SDUeH, ZISKZT, sigurnosne slube

Rok izvrenja
04/2005

UVNS UVNS

06/2005 06/2005

UVNS, Struni tim za postupak osnivanja Zavoda

Sigurnosne slube, SDUeH

06/2005

Ravnatelj Zavoda

09/2005

SDUeH CARNet, Srce

FINA i TDV koja e koristiti usluge SDUeH, MZO, ZISKZT ZISKZT, sigurnosne slube, MORH, MUP i Dravno odvjetnitvo

09/2005 09/2005

UVNS

09/2005

SDUeH, Struna skupina za informacijsku sigurnost

Strana 7 od 8

Provedbeni plan Nacionalnog programa informacijske sigurnosti u RH za 2005. godinu

V3.0

Mjera
Usklaivanje propisa o uredskom poslovanju s propisima informacijske sigurnosti Revizija Zakona o izmjenama i dopunama Zakona o matinom broju Usmjeravanje Projekta RKMTDU sa sigurnosnog aspekta Donoenje Nacionalne strategije ili politike informacijske sigurnosti Uspostava osnovne funkcionalnosti od strane sredinjih upravljakih tijela u sustavu informacijske sigurnosti Uspostava Referentne liste normi i standarda i ukljuivanje potrebnih normi i otvorenih standarda iz podruja informacijske sigurnosti

Nositelj
SDUU

Sudionici
SDUeH, UVNS, ZISKZT i sigurnosne slube SDUeH, MP, SDUU SDUeH, MZO Sigurnosne slube, MUP, MORH, SSZIS, SDUeH

Rok izvrenja
12/2005

MUP ZISKZT UVNS i ZISKZT

12/2005 12/2005 12/2005

UVNS, ZISKZT, Sredinji dravni CERT SDUeH, ZISKZT

12/2005

12/2005

SDUeH, Struna skupina za informacijsku sigurnost

Strana 8 od 8