Наредба за общите изисквания за оперативна съвместимост и информационна сигурност
Изтегляне 0.79 Mb.
|
|
НАРЕДБА за общите изисквания за оперативна съвместимост и информационна сигурност Приета с ПМС № 279 от 17.11.2008 г., обн., ДВ, бр. 101 от 25.11.2008 г., в сила от 25.11.2008 г. Глава първа ОБЩИ ПОЛОЖЕНИЯ Чл. 1. (1) С наредбата се уреждат: 1. общите изисквания за оперативна съвместимост и мрежова и информационна сигурност за нуждите на предоставянето на вътрешни електронни административни услуги и обменa на електронни документи между администрациите; 2. воденето, съхраняването и достъпът до регистъра на стандартите; 3. начинът на акредитация на лицата по чл. 57, ал. 1 от Закона за електронното управление и изискванията към тяхната дейност; 4. Методиката за извършване на оценка за съответствие с изискванията за оперативна съвместимост и мрежова и информационна сигурност; 5. изискванията за водене, съхранение и достъп до списъка на акредитираните лица по чл. 57, ал. 1 от Закона за електронното управление и до списъка на сертифицираните информационни системи. (2) Наредбата не урежда мрежовата и информационната сигурност на информационните системи на административните органи и правилата за информационна сигурност при използване на класифицирана информация. Чл. 2. (1) Задълженията на административните органи по наредбата се прилагат и по отношение на лицата, осъществяващи публични функции, и на организациите, предоставящи обществени услуги, при предоставяне на вътрешни електронни административни услуги, освен ако в закон е предвидено друго. (2) Прилагането на разпоредбите на глава трета и използването на информационни системи, сертифицирани по реда на наредбата, могат да се прилагат от лицата, осъществяващи публични функции, и от организациите, предоставящи обществени услуги. Чл. 3. Спазването на изискванията за оперативна съвместимост и мрежова и информационна сигурност се гарантира чрез: 1. сертификация на информационните системи и продукти в съответствие с глава шеста; 2. функционалността на единната среда за обмен на електронни документи (ЕСОЕД), която допуска обмен само на видове документи, вписани в регистъра на информационните обекти, и със съдържание, отговарящо на вписаните в регистъра изисквания; 3. сертификация и одит на администрациите по отношение на система за управление на информационната сигурност, в съответствие с международния стандарт ISO 27001:2005; 4. контрол от страна на председателя на Държавната агенция за информационни технологии и съобщения (ДАИТС) в изпълнение на чл. 60 от Закона за електронното управление и в съответствие с утвърдена от него Методика за текущ контрол на оперативна съвместимост и мрежова и информационна сигурност. Глава втора ОПЕРАТИВНА СЪВМЕСТИМОСТ Раздел I Изисквания за свързаност между информационните системи на административните органи Чл. 4. (1) Администрациите са длъжни да изпращат и да получават електронни документи помежду си за нуждите на предоставяне на вътрешни електронни административни услуги чрез ЕСОЕД. (2) Изключения по ал. 1 се допускат: 1. когато администрацията не разполага с техническа възможност за обмен на документи през ЕСОЕД; 2. когато ЕСОЕД не функционира вследствие на технически неизправности, профилактика или други причини. Чл. 5. (1) Когато електронни документи се изпращат по изключение чрез отворени мрежи, комуникационните интерфейси и протоколите за обмен трябва да съответстват на задължителните стандарти и нормативните актове, вписани в раздел "Комуникация и процедури за обмен" на регистъра на стандартите. (2) В случаите по ал. 1, когато документи се изпращат онлайн по стандартизиран протокол чрез публичнодостъпно уеббазирано приложение, комуникационните интерфейси и протоколите за обмен трябва да съответстват на задължителните стандарти, вписани в регистъра на стандартите. Чл. 6. (1) Директна връзка между информационни системи на различни административни органи се допуска само в случаи, когато техническите средства, работещи в условията на оперативна съвместимост, не удовлетворяват особени изисквания за интегритет, бързо действие и конфиденциалност. (2) Изграждането на директни връзки по ал. 1 не отменя задължението за предоставяне на услуги към други администрации чрез ЕСОЕД. (3) Изграждането на директни връзки по ал. 1 се извършва в съответствие с Наредбата за вътрешния оборот на електронни документи и документи на хартиен носител в администрациите, приета с Постановление № 101 на Министерския съвет от 2008 г. (ДВ, бр. 48 от 2008 г.). Чл. 7. (В сила след въвеждането в действие на Единната среда за обмен на електронни документи (ЕСОЕД)) (1) Наличието на необходими предпоставки за изграждане на директни връзки съгласно чл. 6 се удостоверява чрез сертификация на заданието за изграждане на директна връзка по реда на чл. 102, ал. 1, т. 2. (2) Използването на вече изградена директна връзка между информационните системи на два административни органа от трети се счита за самостоятелно изграждане на директна връзка и за изграждането й се спазват правилата по ал. 1. Раздел II Изисквания за оперативна съвместимост по отношение на данните Чл. 8. (1) Представянето на цифри, букви, препинателни знаци и други символи в информационните системи на административните органи трябва да се осъществява чрез стандартите, вписани в раздел "Интеграция на данните" на регистъра на стандартите. (2) Представянето на илюстрации, фотографии и мултимедия трябва да се осъществява чрез стандартите, вписани в раздел "Потребителски интерфейси" на регистъра на стандартите. (3) За компресиране на предаваните данни при осъществяване на електронна административна услуга трябва да се използват следните методи, съответстващи на стандарти, вписани в регистъра на стандартите: 1. за текстови файлове - методи за компресия без загуба; 2. за илюстрации, фотографии, мултимедия и други може да се използват и методи за компресия със загуба. Чл. 9. Администрациите използват в своята дейност само унифицирани описания на данни, регистрирани в съответните раздели на регистъра на регистрите и данните, в съответствие с чл. 8 от Наредбата за вътрешния оборот на електронни документи и документи на хартиен носител в администрациите. Чл. 10. При наличие само на неунифицирано описание на данни съответната администрация създава унифицирано описание на тези данни и започва да ги използва след тяхната регистрация в регистъра на регистрите и данните съгласно чл. 3, ал. 2 от Наредбата за вътрешния оборот на електронни документи и документи на хартиен носител в администрациите. Чл. 11. Контролът за използването на унифицирани описания на данни от администрациите се извършва при проверка на вътрешните им правила, създадени съгласно Наредбата за вътрешния оборот на електронни документи и документи на хартиен носител в администрациите. Чл. 12. Министърът на държавната администрация и административната реформа съгласува проектите на нормативни актове по отношение на спазване на изискването за използване само на унифицирани описания на данни, вписани в регистъра на регистрите и данните, след становище на съвета по вписванията. Чл. 13. (1) В регистъра на информационните обекти могат да се вписват формализирани описания на данни само когато те са вписани в регистъра на регистрите и данните като унифицирани данни. (2) Формализираните описания по ал. 1 трябва да имат същия състав, както съответните описания на данните, регистрирани в регистъра на регистрите и данните. (3) Създаването на формализирани описания се извършва съгласно критерии и правила за прилагането им за вписвания, утвърдени от министъра на държавната администрация и административната реформа съгласно чл. 32 от Наредбата за регистрите на информационните обекти и регистъра на електронните услуги, приета с Постановление № 98 на Министерския съвет от 2008 г. (ДВ, бр. 48 от 2008 г.). (4) Контролът за спазване на изискванията по ал. 1 - 3 се извършва от министъра на държавната администрация и административната реформа чрез Съвета по вписванията. Раздел III Изисквания за оперативна съвместимост по отношение на електронните документи Чл. 14. (1) Формализираните електронни документи, обменяни между администрациите и издавани от тях към други лица и организации, трябва да бъдат с организация на данните в тях, съответстваща на вписаната в регистъра на информационните обекти. (2) Електронните документи по ал. 1 трябва да съдържат валидни данни съгласно вписаните изисквания за това в регистъра на информационните обекти. Раздел IV Изисквания за оперативна съвместимост по отношение на приложения за визуализация и/или редактиране на електронни документи Чл. 15. (1) Приложенията за визуализация на електронни документи, вписани в регистъра на информационните обекти, и приложенията за редактиране на електронни документи, вписани в регистъра на електронните услуги, трябва да отговарят на изискванията на този раздел. (2) Приложенията по ал. 1 трябва да бъдат сертифицирани за съответствие с изискванията за оперативна съвместимост и информационна сигурност. Чл. 16. (1) Приложенията, за които успешно е приключила процедура по сертификация, се вписват в списъка на сертифицираните информационни системи. 2) Ако приложения, сертифицирани по ал. 1, се вписват и в регистъра на информационните обекти, те се предоставят за безплатно ползване чрез осигуряване на достъп за зареждане на инсталационен комплект от списъка на сертифицираните информационни системи. (3) Председателят на ДАИТС осигурява съответствието между приложението, подлежащо на инсталация, с публично достъпния инсталационен пакет и сертифицираното приложение. Чл. 17. Приложенията, осигуряващи само визуализация на електронни документи, трябва да визуализират съдържанието им, като: 1. съдържанието на всички данни се визуализира съгласно указанията, вписани при тяхната регистрация в регистъра на информационните обекти; 2. за всички данни се визуализира наименованието, с което те са вписани в регистъра на информационните обекти; 3. за всички данни е осигурен достъп до текста на тяхното определение, с който те са вписани в регистъра на информационните обекти чрез подходящ интерфейс; 4. за всички данни е осигурена индикация за наименованието на грешка съгласно тяхната регистрация в регистъра на информационните обекти, ако проверката за тяхната валидност е неуспешна; 5. за всяка установена грешка е осигурен достъп до текста на нейното определение, с който тя е вписана в регистъра на информационните обекти чрез подходящ интерфейс. Чл. 18. Приложенията, осигуряващи редактиране на електронни документи, освен функциите по визуализация на съдържание на електронен документ по чл. 17 трябва да съдържат и функции за: 1. запис и четене на файлово съдържание на електронен документ във и от средата на файлова система, намираща се пряко под контрол на потребителя на приложението за редактиране, включително разположена върху преносим физически носител; 2. въвеждане, коригиране и изтриване на стойност за всички данни в електронен документ. Чл. 19. (1) Приложенията трябва да осигуряват възможност за установяване на несъответствия в съдържанието на визуализиран или редактиран документ с регистрацията му в регистъра на информационните обекти. (2) Приложенията трябва да сигнализират за установените несъответствия чрез визуализация на съответната грешка съгласно регистрацията на документа в регистъра на информационните обекти. (3) Приложенията трябва да позволяват извеждането на грешките по ал. 2 в съдържанието на документ от вида "Регистрирани грешки в съдържание на документ", генериран от приложението. (4) Документът по ал. 3 се заявява за вписване в регистъра на информационните обекти от председателя на ДАИТС. Раздел V Оперативна съвместимост по отношение на информационни системи Чл. 20. (1) Административните информационни системи съгласно чл. 4 и следващите от Наредбата за вътрешния оборот на електронни документи и документи на хартиен носител в администрациите трябва да отговарят на изискванията на този раздел. (2) Правилата на този раздел се отнасят и за специализираните информационни системи, осигуряващи изцяло или частично функциите на административна информационна система, доколкото създават електронни документи, регламентирани в Наредбата за вътрешния оборот на електронни документи и документи на хартиен носител в администрациите. Чл. 21. (1) При автоматично създаване на електронни документи от информационна система проверка за изпълнение на изискванията на чл. 14 се извършва по време на създаването. (2) При неуспешна проверка по ал. 1 създаването се прекратява и за това се уведомява служителят, осъществяващ функции по обработка в неавтоматизиран режим или контролиращ автоматичното изпълнение на етап от услуга или процедура, при което се извършва създаването на документа. (3) Проверката по ал. 1 се извършва от сертифицирано приложение за проверка за оперативна съвместимост на електронни документи, интегрирано в информационната система. (4) Наличието на приложението по ал. 3 е задължителна предпоставка за сертификация на информационна система. Чл. 22. (1) Информационните системи трябва да осигуряват преносимост на всички съдържащи се в тях данни в случаи на непредвидени обстоятелства, като позволяват извеждане на данните от тях в съдържанието на електронен документ от вида "Данни за пренос между информационни системи" и въвеждането им в друга административна информационна система. (2) Данните, подлежащи на извеждане съгласно ал. 1, са определени като състав и съдържание в Наредбата за вътрешния оборот на електронни документи и документи на хартиен носител в администрациите. (3) Председателят на ДАИТС заявява вписване на документ от вида по ал. 1 в регистъра на информационните обекти. Чл. 23. Информационните системи трябва да визуализират поддържаните от тях данни, като: 1. съдържанието на данните се визуализира съгласно указанията, вписани при тяхната регистрация в регистъра на информационните обекти; 2. за съответните данни се визуализира наименованието, с което те са вписани в регистъра на информационните обекти; 3. за съответните данни е осигурен достъп чрез подходящ интерфейс до текста на тяхното определение, с който са вписани в регистъра на информационните обекти. Глава трета ИНФОРМАЦИОННА СИГУРНОСТ Раздел I Политика за информационна сигурност Чл. 24. Всички информационни системи на административните органи трябва да отговарят на изискванията и политиката за мрежова и информационна сигурност с оглед защитата им срещу неправомерен или случаен достъп, използване, правене достояние на трети лица, промяна или унищожаване, доколкото такива събития или действия могат да нарушат достъпността, автентичността, целостта и конфиденциалността на съхраняваните или предаваните данни, а също така на предоставяните електронни услуги, свързани с тези мрежи и системи. Чл. 25. (1) За постигане на мрежова и информационна сигурност ръководителите на администрациите провеждат собствена политика, съобразена със спецификата на административните процеси в конкретната администрация, като предприемат съответни административни и технологични мерки. (2) Политиките на отделните административни органи и предприеманите мерки трябва да отговарят на общите принципи съгласно приложение № 1. Раздел II Организация на мрежовата и информационната сигурност Чл. 26. (1) Ръководителите на администрациите отговарят пряко за мрежовата и информационната сигурност в администрациите. (2) Ръководителите на администрациите разработват и утвърждават вътрешни правила за мрежовата и информационната сигурност на техните информационни системи и за видовете информационен обмен, който се извършва между тях. (3) Вътрешните правила по ал. 2 се изграждат по модела на "Системи за управление на информационната сигурност", регламентиран с изискванията на международния стандарт ISO 27001:2005 и в съответствие с изискванията на наредбата. (4) Ръководителите на администрациите издават заповеди за разпределение на отговорностите на своите служители за гарантиране на мрежовата и информационната сигурност на използваните информационни системи. Чл. 27. (1) Ръководителите на администрациите осигуряват сертификация на вътрешните правила като "Система за управление на информационната сигурност" по смисъла на ISO 27001:2005 от оправомощена за това организация. (2) Ръководителите на администрациите организират комплексни проверки за оценяване степента на постигнатата мрежова и информационна сигурност в използваните от тях информационни системи в съответствие с клауза 7 от ISO 27001:2005. (3) Резултатите от сертификацията по ал. 1 и от проверките по ал. 2 се предоставят незабавно и на председателя на ДАИТС за целите на текущия контрол в съответствие с чл. 60 от Закона за електронното управление. (4) Предоставянето на информацията по ал. 3 се осъществява като вътрешна електронна административна услуга, която председателят на ДАИТС разработва и вписва в регистъра на електронните услуги. Чл. 28. (1) Всеки ръководител на администрация определя служител или административно звено, отговарящо за мрежовата и информационната сигурност. (2) Служителят или звеното по ал. 1 са пряко подчинени на ръководителя на администрацията. (3) Функциите на служителя или на звеното по информационна сигурност са описани в приложение № 2. (4) Когато администрация към административен орган има териториални структури и разпределени информационни системи, служител, отговарящ за информационната сигурност, се определя и във всяко териториално звено. Чл. 29. Ръководителите на администрациите осигуряват необходимата инфраструктура за гарантиране на информационната сигурност на използваните от тях информационни системи съгласно вътрешните правила по чл. 26, ал. 2. Чл. 30. (1) Към председателя на ДАИТС се създава Съвет за мрежова и информационна сигурност на информационните системи на административните органи като постояннодействащ консултативен орган за координиране на дейността за постигане на мрежова и информационна сигурност на използваните информационни системи. (2) Съветът за мрежова и информационна сигурност на информационните системи на административните органи работи въз основа на правилник, утвърден от председателя на ДАИТС. (3) Периодично, но не по-малко от веднъж в годината Съветът за мрежова и информационна сигурност на информационните системи на административните органи изготвя доклад за състоянието на информационната сигурност. Чл. 31. (1) Ръководителите на администрациите задължително включват в утвърждаваните от тях вътрешни правила по чл. 26, ал. 2 раздел, осигуряващ оценка и управление на риска за мрежова и информационна сигурност. (2) Препоръчителните действия по оценка и управление на риска трябва да съответстват на т. 4.2.1 от ISO 27001:2005 и на приложение № 3. (3) Потенциалните рискови фактори за мрежовата и информационната сигурност, формулирани и класифицирани в международния стандарт ISO/IEC TR 13335:2000, са посочени в приложение № 4. Раздел III Управление на достъпа и защита срещу неправомерен достъп Чл. 32. (1) Вътрешните правила за мрежова и информационна сигурност регламентират достъпа до информационните ресурси. (2) Контролът по упражняване на регламентиран достъп се извършва по правила и процедури, посочени в приложение № 5. Чл. 33. (1) Ръководителите на администрациите вземат мерки за предотвратяване на неправомерен достъп от трети лица до ресурсите на техните информационни системи. (2) Рискът от неправомерен достъп по ал. 1 се анализира в годишните доклади на Съвета за мрежова и информационна сигурност. (3) При наличие на неприемливо ниво на риска, регистриран по ал. 2, административният орган планира и провежда необходимите действия за неговото намаляване. Чл. 34. Ръководителите на администрациите определят в утвърждаваните от тях вътрешни правила по чл. 26, ал. 2 нивото на защита от неправомерен достъп до всеки информационен актив съгласно следната класификация: 1. ниво "0" или "D" - ниво на свободен достъп; 2. ниво "1" или "С" - ниво на произволно управление на достъпа; 3. ниво "2" или "В" - ниво на принудително управление на достъпа; 4. ниво "3" или "А" - ниво на проверена сигурност. Чл. 35. Ръководителите на администрациите са длъжни да предприемат необходимите действия за създаване и поддържане на инвентарни списъци на наличните информационни активи съгласно приложение № 6. Раздел IV Управление на експлоатационните процеси Чл. 36. (1) Към председателя на ДАИТС се създава Национален център за действие при инциденти по отношение на информационната сигурност като административно звено в специализираната администрация. (2) Създаването на Националния център за действие при инциденти по отношение на информационната сигурност се извършва в съответствие с методическите указания (WP2006/5.1(CERT-D1/D2) на Европейската агенция за мрежова и информационна сигурност (ENISA). Чл. 37. Ръководителите на администрациите осигуряват мерките за сигурност при управление на експлоатационните процеси в информационните системи, посочени в приложение № 7, включително сигурността на електронните съобщения съгласно приложение № 8. Чл. 38. (1) Служителят или звеното по информационна сигурност следи за неправомерно инсталиран софтуер на работните станции или сървъри и взема мерки за неговото отстраняване. (2) Ръководителите на администрациите осигуряват необходимите технически и организационни средства за извършване на контрола по ал. 1, включително в случаите на териториална отдалеченост. Чл. 39. (1) Съхранението и достъпът до данните в информационните системи се осъществяват чрез системи за управление на бази данни. (2) Системите за управление на бази данни трябва да бъдат сертифицирани в съответствие с международния стандарт ISO/IEC 15408:2005, определящ т.нар. "Common Criteria for Information Technology Security Evaluation (CC)", или националните му приложения, като "IT-Grundschutz Methodology" на BSI (Германия), или с американския федерален профил "US Government Protection Profile for Database Management System in Basic Robustness Environments". (3) При осигуряване на многопотребителски достъп до съдържанието на електронни документи информационните системи трябва да осигуряват функциите по заключване и отключване на документи за осигуряване на съвместна работа с документи. (4) Минималното ниво на защита на достъпа до ресурсите на информационните системи в администрацията трябва да бъде "1" или "С". Каталог: dox dox -> Чл. С наредбата се уреждат общите правила за вътрешния оборот на електронни документи на хартиен носител в администрациите. Ч dox -> Стратегия за развитие на детска градина №2 „звънче” период 2016 – 2020 година dox -> Приложение №7 управление на електронните съобщения dox -> Приложение №14 мерки за постигане сигурност по отношение на персонала dox -> Приложение №10 средства за управление на достъпа на участниците в електронния обмен dox -> Уважаеми ученици, Съобщаваме ви, че пмг „Иван Вазов” dox -> Информация във време на кризи (mс-s-ic) dox -> 31 януари 2008г. План за въвеждане на наземно цифрово телевизионно радиоразпръскване (dvb-t) в Република България Изтегляне 0.79 Mb. Сподели с приятели:
|