Политика безбедности и одговорно пријављивање рањивости

Последње ажурирање: 15.12.2025.

1. Сврха и обим примене

Сврха ове Политике безбедности је да дефинише приступ пријављивању, обради и реаговању на рањивости информационе безбедности идентификоване на веб-сајту rnids.rs и повезаним системима.

Ова политика подржава одговорно пријављивање рањивости и усклађена је са признатим стандардима информационе безбедности, укључујући ISO/IEC 27001, као и са важећим прописима Европске уније у области сајбер безбедности, укључујући NIS2 директиву.

Политика се примењује на јавни веб-сајт rnids.rs, повезане веб-апликације, позадинске сервисе и пратећу инфраструктуру под оперативном контролом РНИДС-а.

2. Принципи одговорног пријављивања

РНИДС подстиче истраживаче безбедности, партнере и треће стране да пријављују безбедносне рањивости на одговоран, координисан и етичан начин.

РНИДС се обавезује да благовремено потврди пријем извештаја, објективно процени пријављене проблеме, примени мере отклањања сразмерне идентификованом ризику и одржи поверљивост током целог процеса обраде рањивости.

Од подносилаца пријава се очекује да избегавају радње које могу угрозити доступност услуга, компромитовати корисничке податке или прекршити важеће законе.

3. Системи у обухвату

Следећи системи се сматрају обухваћеним за пријављивање рањивости:

• Јавни веб-сајт и функционалности веб-апликације rnids.rs;
• API-ји и сервиси доступни преко веб-сајта;
• Механизми аутентификације, ауторизације и управљања сесијама;
• Механизми валидације уноса, обраде података и контроле приступа

4. Активности ван обухвата

Следеће активности су изричито ван обухвата и нису дозвољене:

• Тестирање ускраћивања услуге (DoS/DDoS) или преоптерећење саобраћаја;
• Напади грубом силом на механизме аутентификације или контроле приступа;
• Социјални инжењеринг или фишинг покушаји усмерени на запослене, регистре или кориснике;
• Тестирање физичке безбедности;
• Тестирање система или сервиса којима РНИДС не управља нити их контролише.

5. Пријављивање безбедносног проблема

Безбедносне рањивости треба пријавити путем следећих канала:

Е-пошта:

Пријаве треба да садрже јасан опис проблема, кораке за репродукцију рањивости, погођене URL адресе или системе и све пратеће доказе. Шифрована комуникација може се користити у складу са информацијама о енкрипцији наведеним у датотеци security.txt.

6. Управљање инцидентима и реаговање

Све пријављене безбедносне проблеме РНИДС обрађује кроз интерне процедуре управљања инцидентима, усклађене са захтевима ISO/IEC 27001 за управљање инцидентима информационе безбедности.

Процес укључује потврду пријема, тријажу и класификацију, процену ризика, планирање и примену мера отклањања, верификацију корективних мера и формално затварање случаја.

Где је применљиво, инциденти се ескалирају и пријављују у складу са законским и регулаторним обавезама, укључујући оне дефинисане NIS2 директивом.

7. Поверљивост и заштита података

Све пријаве рањивости третирају се као поверљиве. РНИДС ограничава приступ информацијама везаним за инциденте на основу принципа потребе за знањем и обрађује све личне податке у складу са важећим прописима о заштити података.

8. Правна заштита

РНИДС сматра да је истраживање рањивости спроведено у складу са овом политиком овлашћено. РНИДС неће покретати правне поступке против појединаца који поступају у доброј вери, придржавају се ове политике и омогуће разуман рок за отклањање пре јавног објављивања.

9. Преглед и одржавање политике

Ова Политика безбедности се периодично преиспитује и ажурира по потреби како би одражавала регулаторне промене, технолошки развој и унапређења у безбедносним праксама.

Тренутна верзија ове политике објављена је на: политика безбедности

10. Контакт

За питања везана за безбедност, молимо контактирајте:

Безбедносни тим РНИДС-а Е-пошта: