Politika bezbednosti i odgovorno prijavljivanje ranjivosti

Poslednje ažuriranje: 15.12.2025.

1. Svrha i obim primene

Svrha ove Politike bezbednosti je da definiše pristup prijavljivanju, obradi i reagovanju na ranjivosti informacione bezbednosti identifikovane na veb-sajtu rnids.rs i povezanim sistemima.

Ova politika podržava odgovorno prijavljivanje ranjivosti i usklađena je sa priznatim standardima informacione bezbednosti, uključujući ISO/IEC 27001, kao i sa važećim propisima Evropske unije u oblasti sajber bezbednosti, uključujući NIS2 direktivu.

Politika se primenjuje na javni veb-sajt rnids.rs, povezane veb-aplikacije, pozadinske servise i prateću infrastrukturu pod operativnom kontrolom RNIDS-a.

2. Principi odgovornog prijavljivanja

RNIDS podstiče istraživače bezbednosti, partnere i treće strane da prijavljuju bezbednosne ranjivosti na odgovoran, koordinisan i etičan način.

RNIDS se obavezuje da blagovremeno potvrdi prijem izveštaja, objektivno proceni prijavljene probleme, primeni mere otklanjanja srazmerne identifikovanom riziku i održi poverljivost tokom celog procesa obrade ranjivosti.

Od podnosilaca prijava se očekuje da izbegavaju radnje koje mogu ugroziti dostupnost usluga, kompromitovati korisničke podatke ili prekršiti važeće zakone.

3. Sistemi u obuhvatu

Sledeći sistemi se smatraju obuhvaćenim za prijavljivanje ranjivosti:

• Javni veb-sajt i funkcionalnosti veb-aplikacije rnids.rs;
• API-ji i servisi dostupni preko veb-sajta;
• Mehanizmi autentifikacije, autorizacije i upravljanja sesijama;
• Mehanizmi validacije unosa, obrade podataka i kontrole pristupa

4. Aktivnosti van obuhvata

Sledeće aktivnosti su izričito van obuhvata i nisu dozvoljene:

• Testiranje uskraćivanja usluge (DoS/DDoS) ili preopterećenje saobraćaja;
• Napadi grubom silom na mehanizme autentifikacije ili kontrole pristupa;
• Socijalni inženjering ili fišing pokušaji usmereni na zaposlene, registre ili korisnike;
• Testiranje fizičke bezbednosti;
• Testiranje sistema ili servisa kojima RNIDS ne upravlja niti ih kontroliše.

5. Prijavljivanje bezbednosnog problema

Bezbednosne ranjivosti treba prijaviti putem sledećih kanala:

E-pošta:

Prijave treba da sadrže jasan opis problema, korake za reprodukciju ranjivosti, pogođene URL adrese ili sisteme i sve prateće dokaze. Šifrovana komunikacija može se koristiti u skladu sa informacijama o enkripciji navedenim u datoteci security.txt.

6. Upravljanje incidentima i reagovanje

Sve prijavljene bezbednosne probleme RNIDS obrađuje kroz interne procedure upravljanja incidentima, usklađene sa zahtevima ISO/IEC 27001 za upravljanje incidentima informacione bezbednosti.

Proces uključuje potvrdu prijema, trijažu i klasifikaciju, procenu rizika, planiranje i primenu mera otklanjanja, verifikaciju korektivnih mera i formalno zatvaranje slučaja.

Gde je primenljivo, incidenti se eskaliraju i prijavljuju u skladu sa zakonskim i regulatornim obavezama, uključujući one definisane NIS2 direktivom.

7. Poverljivost i zaštita podataka

Sve prijave ranjivosti tretiraju se kao poverljive. RNIDS ograničava pristup informacijama vezanim za incidente na osnovu principa potrebe za znanjem i obrađuje sve lične podatke u skladu sa važećim propisima o zaštiti podataka.

8. Pravna zaštita

RNIDS smatra da je istraživanje ranjivosti sprovedeno u skladu sa ovom politikom ovlašćeno. RNIDS neće pokretati pravne postupke protiv pojedinaca koji postupaju u dobroj veri, pridržavaju se ove politike i omoguće razuman rok za otklanjanje pre javnog objavljivanja.

9. Pregled i održavanje politike

Ova Politika bezbednosti se periodično preispituje i ažurira po potrebi kako bi odražavala regulatorne promene, tehnološki razvoj i unapređenja u bezbednosnim praksama.

Trenutna verzija ove politike objavljena je na: politika bezbednosti

10. Kontakt

Za pitanja vezana za bezbednost, molimo kontaktirajte:

Bezbednosni tim RNIDS-a E-pošta: