Pravilnik o mjerama pohranjivanja dokumentacije i podataka u registru finansijskih izvještaja

Službene novine Federacije BiH ,broj 51/21 (30.6.2021.)

Na osnovu člana 14. stav (1) Zakona o Registru finansijskih izvještaja ("Službene novine Federacije BiH", broj 7/21), na prijedlog v. d. direktora, Upravni odbor Finansijsko-informatičke agencije, na 9. sjednici održanoj dana 15.06.2021. godine, donosi

 

PRAVILNIK

O MJERAMA, SREDSTVIMA I USLOVIMA ZAŠTITE I OSIGURANJA, TE POHRANJIVANJA DOKUMENTACIJE I PODATAKA U REGISTRU FINANSIJSKIH IZVJEŠTAJA

 

I. OSNOVNE ODREDBE
 

Član 1.
 

Ovim pravilnikom utvrđuju se mjere, sredstva i uslovi zaštite, osiguranja, pohranjivanja dokumentacije i podataka u Registru finansijskih izvještaja (u daljem tekstu. Registar), te osiguranje radnih prostorija u kojima je smještena računarska, telekomunikacijska i programska oprema sistema za vođenje Registra, kao i čuvanje finansijskih izvještaja i druge dokumentacije koja se dostavlja u papirnoj formi.
 

Član 2.
 

Za čuvanje dokumentacije i podataka iz Registra potrebno je, radi njihove zaštite u prostorijama Agencije, osigurati adekvatan prostor, uslove i opremu.
 

Član 3.
 

Mjere, sredstva i uslovi zaštite i osiguranja, pohranjivanja dokumentacije i podataka u Registru smatraju se poslovnom tajnom i za njihovu upotrebu i rukovanje odgovaraju ovlaštena lica u Agenciji.
 

Član 4.
 

Sve mjere sigurnosti i zaštite servera i baza podataka, trebaju biti u skladu sa međunarodnim standardom ISO 27001:2013.
 

II. PROSTORIJE, SERVERI I TELEKOMUNIKACIJSKA - MREŽNA OPREMA I BAZE PODATAKA
 

Član 5.
 

(1) Prostorije u kojima su postavljeni centralni poslužitelji informatičkih sistema (serveri) kao i telekomunikacijska - mrežna oprema (u daljem tekstu: mrežna oprema) moraju biti:

- pokrivene video nadzorom;

- opremljene alarmnim sistemom sa uređajima za detekciju pokreta i detekciju dima, te protivpožarnim sistemima;

- opremljene sa dva klima uređaja čime je omogućeno kontinuirano hlađenje prostorije;

- opremljene uređajima za kontrolu vlage;

- bez prozora;

- takvi da zadovoljavaju procedure implementirane zahtjevom standarda iz člana 4. ovog pravilnika;

- opremljene pristupnim sigurnosno-zaštitnim mehanizmom na ulaznim vratima, s mogućnošću arhiviranja podataka o ulasku u prostor, kako bi se pristup takvim prostorijama mogao ograničiti i nadzirati;

- opremljene energetskim priključkom na centralno neprekidno i agregatsko napajanje.

(2) Fizički pristup informatičkim sistemima (serverima) iz stava (1) ovog člana imaju lica koja su ovlaštena od strane direktora.
 

Član 6.

 

(1) Serveri i mrežna oprema se fizički nalaze u server sali (prostorije opisane u članu 5. ovog pravilnika) i trebaju biti instalirani u serverske i komunikacijske ormare koji se zaključavaju.

(2) Serveri i mrežna oprema su spojeni na uređaje neprekidnog napajanja (UPS i agregat).
 

Član 7.

 

(1) Svaki produkcijski server posjeduje identičnu sigurnosnu kopiju koju je moguće staviti u produkciju u najkraćem mogućem roku.

(2) Sigurnosne kopije servera su zaštićene enkripcijskim ključem.

(3) Svaki mrežni uređaj (router, firewall, switch) posjeduje identičnu kopiju (uređaj) sa već upisanom konfiguracijom koju je moguće staviti u produkciju u najkraćem mogućem roku.
 

Član 8.
 

(1) Sigurnosne kopije (backup) se izrađuju na dvije fizički odvojene lokacije (server sala i trezor).

(2) Sve virtuelne mašine su postavljene tako da se u realnom vremenu mogu migrirati (prebaciti) sa jednog fizičkog servera na drugi bez zastoja u radu sistema. Migraciju – prebacivanje je moguće uraditi ručno i automatski.
 

Član 9.
 

(1) Svaki pristup serverima i bazama podataka snima se posebnim softverom i video zapisi sa tačnim datumom i vremenom ostaju trajno spašeni.

(2) Pristup serverima i podacima je moguć samo iz lokalne mreže Agencije.

(3) Za pristup svakom serveru (udaljeno i na lokaciji) je definisana two-factor (dvojna) autentifikacija.
 

Član 10.
 

(1) Baze podataka se spašavaju na serverima iz člana 6. ovog pravilnika.

(2) Pristup bazama podataka i sigurnosnim kopijama baza podataka je omogućen samo ovlaštenim osobama.

(3) Sigurnosna kopija (backup) svih baza podataka kreira se najmanje jednom dnevno.

(4) Sigurnosne kopije baza podataka su zaštićene enkripcijskim ključem.

(5) Eksport podataka po zahtjevu je moguće realizovati uz pismeno ovlaštenje direktora.

(6) Baza podataka, iz koje se vrši eksport, mora posjedovati odgovarajuće mehanizme za kreiranje trajnih zapisa u okviru kojih se evidentiraju: podaci o korisniku, vremenu eksportovanja, te jednoznačna identifikacija ili kompletan set eksportovanih podataka.
 

III. ČUVANJE FINANSIJSKIH IZVJEŠTAJA I DRUGIH DOKUMENATA U PAPIRNOJ FORMI
 

Član 11.
 

Finansijski izvještaji i drugi dokumenti koji se dostavljaju u Registar na papiru, arhiviraju se i čuvaju u arhivskom depou Agencije na način koji će osigurati zaštitu od zloupotrebe, oštećenja, uništenja ili nestajanja.
 

Član 12.

(1) Prostorije za arhiviranje su odvojene od ostalih prostorija, moraju se zaključavati i samo radnici Odsjeka za arhivsko – dokumentacione poslove imaju pravo pristupa depou, dok neovlaštenim osobama nije dozvoljen pristup.

(2) Arhivski depo je pokriven rasvjetom, sistemom vatrodojave, alarmnim sistemom i videonadzorom, a osigurava se i dovoljan broj protivpožarnih aparata.

(3) Radi zaštite dokumentacije, po potrebi se obavlja dezinfekcija, dezinsekcija i deratizacija arhivskog depoa.
 

Član 13.
 

Arhivski depo je opremljen fiksnim i pokretnim regalima i policama, a dokumentacija se odlaže u kutijama, fasciklama, registratorima i drugim jedinicama pakovanja, propisno označena.
 

IV. ZAVRŠNE ODREDBE

Član 14.
 

Ovaj pravilnik stupa na snagu narednog dana od dana objavljivanja u "Službenim novinama Federacije BiH".
 

Broj 01-02-2-2244-2/2021
15. juna/lipnja 2021. godine
Sarajevo

Predsjednik
Upravnog odbora
Dr. sci. Dragan Prusina, s. r.