Наредба за общите изисквания за оперативна съвместимост и информационна сигурност

в) доверителната изчислителна система трябва да бъде с проверена устойчивост към опити за проникване;

                                                      към чл. 25, ал. 2

                Общи стратегии за информационна сигурност

     1.  Политиката за информационна сигурност е набор от нормативни документи, правила и норми за поведение, които определят как организацията защищава обработката, съхранението и разпространението на информацията.

     2.  Политиката за сигурност на информационни системи на административните органи трябва да бъде съобразена с групата международни стандарти ISO 270ХХ, обединяваща мнозинството от съществуващи стандарти за управление на информационната сигурност - основно със стандарта ISO 27001:2005, предоставящ модел на система за управление на информационната сигурност за адекватен и пропорционален контрол на сигурността за защита на информационните активи и създаване на доверие в заинтересуваните страни.

     3.  Решенията относно политиките за мрежова и информационна сигурност трябва да се изграждат за осигуряване няколко нива на сигурност по отношение на:

     а) мрежа;

     б) система;

     в) приложения;

     г) информация.

     4.  За всяко от нивата по т. 3 трябва да се осигури съответният контрол с цел да се обезпечи сигурността на общото програмно приложение за защита. За осигуряване на адекватно ниво на сигурност трябва да се прилага практиката, наречена "дълбока отбрана", обезпечаваща многослойна защита, за ограничаване проникването на всякакви атаки и осигуряване на невъзможност за компрометиране на общото програмно приложение за защита.

     5.  При създаването на политика за сигурност трябва да се използват следните принципи:

     а) "Минимална привилегия" - концепция, при която се ограничава достъпът само до ресурси, които са необходими за изпълняване на одобрените функции. Определен ползвател или процес трябва да има само такива права, които са необходими за изпълняване на конкретната задача.

     б) "Дълбока отбрана" - концепция, при която се поверява защитата на повече от един компонент или механизъм, осигуряващ сигурността по такъв начин, че невъзможността на един компонент или механизъм да ограничи атаката да не  доведе до компрометиране на общата защита.

     в) "Точка на запушване" - концепция, при която се принуждават лица, извършващи интервенции, да използват тесен канал за достъп, който позволява действията да бъдат наблюдавани и контролирани.  Обикновено се прилага на входа и изхода на т.нар. "Демилитаризирани зони" ("DMZ").

     г) "Най-слабо звено" - концепция, при която се наблюдават и елиминират звената с най-слаба устойчивост на интервенции или  с наличие на възможност за проникване.

     д) "Позиция на безопасно спиране" - концепция, при която системите трябва да преустановяват работа безопасно и да се предотврати възможността при неочакваното преустановяване на работа на една система да се осигури достъп на лицата, извършващи интервенции до системата.

     е) "Универсално участие" - концепция, при която всички звена на системата следят за сигурността при наличие на разпределение на функциите затова, което ограничава възможността на лицата, извършващи интервенции, да се възползват от липсата на защитна активност от конкретно звено.

     ж) "Разнообразие на защитата" - концепция, при която не се разчита само на една система или приложение за сигурност, независимо от това, колко надеждни или изчерпателни са те.

     з) "Простота" - концепция, при която се осигурява поддържането на опростена обща среда, за която се осигурява по-лесно защита срещу интервенции.

     и) "Фрагментиране" - концепция, при която се осигурява свеждане до минимум на възможните вредни последици върху една информационна система чрез фрагментиране на максимален брой отделни единици; по този начин се ограничава възможността за достъп до цялата система в случай на проникване в изолирана единица.

     к) "Защита срещу вътрешни и външни заплахи" - концепция, при която се въвеждат правила за потребителите за недопускане действия на служителите, които да осигуряват възможност за интервенции; такива правила могат да бъдат правила за управление на съдържанието, допълнителни нива за идентификация, регистрация за достъп до критични информационни активи и др.

                                                       Приложение № 2

                                                    към чл. 28, ал. 3

        Функции на служителя (звеното) по информационна сигурност

     1.  Ръководи дейностите, свързани с постигане на мрежова и информационна сигурност на администрацията, в която работи, в съответствие с нормативната уредба и политиките и целите за мрежова и информационна сигурност на организацията във взаимодействие със звената за информационно осигуряване и за вътрешен одит.

     2.  Следи за прилагането на стандартите, политиките и правилата за информационна сигурност и управление на риска в администрацията.

     3.  Консултира ръководството на администрацията във връзка с информационната сигурност.

     4.  Ръководи периодичните оценки на рисковете за информационната сигурност и спазването на приетите политики и процедури.

     5.  Периодично (не по-малко от два пъти годишно) изготвя доклади за състоянието на информационната сигурност в административното звено и ги представя на ръководителя.

     6.  Координира обучението на ръководителите и служителите в административното звено във връзка с информационната сигурност.

     7.  Участва в организирането, тренировките и анализа на резултатите от тренировките за действия при настъпване на инциденти.

     8.  Отговаря за защитата на интелектуалната собственост и материалните активи на административното звено в областта на информационните и комуникационните технологии.

     9.  Участва в изготвянето на политиките, целите, процедурите и метриката за оценка на информационната сигурност.

     10.  Поддържа връзки с други администрации, организации и експерти, работещи в областта на информационната сигурност.

     11.  Разследва и анализира инцидентите в областта на мрежовата и информационната сигурност в административното звено, реакциите при инциденти и предлага действия за подобряване на мрежовата и информационната сигурност.

     12.  Предлага санкции за служителите от администрацията при нарушаване на правилата за сигурност.

     13.  Разработва и предлага за утвърждаване от ръководителя на съответната администрация инструкциите, произтичащи от наредбата, както и всички други необходими указания и процедури.

     14.  Следи за изпълнението на утвърдените от ръководителя на администрацията инструкции и процедури, свързани с информационната сигурност.

     15.  Актуализира списъка от заплахи и потенциални рискове за съответната администрация.

     16.  Координира оценяването на финансовите и други загуби при настъпване на идентифицирана заплаха.

     17.  Изготвя доклади и анализи за настъпили инциденти, засягащи мрежовата и информационната сигурност, и предлага действия за компенсиране на последствията и предотвратяване на други подобни инциденти.

     18.  Следи новостите за заплахи за сигурността, отчитайки наличния в съответната администрация софтуер и хардуер, и организира своевременното инсталиране на коригиращ софтуер (patches).

     19.  При възникване на какъвто и да е инцидент, свързан с информационната сигурност, го документира и информира незабавно ръководителя на съответната администрация и Националния център за действие при инциденти по отношение на информационната сигурност в информационните системи на административните органи.

     20.  Разработва и предлага иновативни решения и архитектури за подобряване на информационната сигурност на съответната администрация.

     21.  Следи за появата на нови вируси и зловреден код, спам, атаки и взема адекватни мерки.

     22.  Организира тестове за проникване, разкрива слабите места в мрежата на съответното административно звено и предлага мерки за подобряване на мрежовата и информационната сигурност.

                                                        Приложение № 3                                                     

към чл. 31, ал. 2

                Действия по оценка и управление на риска

     1.  Всички административни органи са длъжни да оценяват рисковете за сигурността съгласно международния стандарт ISO/IEC TR 13335-3:1998 и ISO/IEC TR 13335-4:2000 (в процес на преработване в ISO/IEC 27005).

     2.  По смисъла на това приложение рискът за сигурността е фактическо състояние, което създава заплахи за уязвяване на един или няколко информационни актива, което да предизвика тяхното повреждане или унищожаване.

     3.  Оценката на риска се определя чрез изчисление на вероятността за уязвяване въз основа на ефективността на съществуващите или планираните мерки за сигурност.

     4.  Заплахите за мрежовата и информационната сигурност се класифицират по следните критерии:

     а) по елементите на информационната сигурност (достъпност, цялостност, конфиденциалност), към които са насочени;

     б) по компонентите на информационната система (апаратура, софтуер, данни, поддържаща инфраструктура), към които са насочени;

     в) по начина на осъществяване (случайни/преднамерени действия, от природен/технологичен характер и др.);

     г) по разположението на източника (вътре във/извън информационната

система).

     5.  Действията по управление на риска трябва да обхващат оценка на неговия размер, изработване на ефективни и икономични мерки за неговото снижаване и оценка дали резултативният риск е в приемливи граници. Управлението на риска следва да се извършва чрез последователно прилагане на два типа циклично повтарящи се действия:

     а) оценка (преоценка) на риска;
     б) избор на ефективни и икономични средства за неговата неутрализация.

     6.  При идентифициране на риск трябва да се предприеме едно от следните действия:

     а) ликвидиране на риска (например чрез отстраняване на причиняващите
го обстоятелства);

     б) намаляване на риска (например чрез използване на допълнителни защитни средства);

     в) приемане на риска и разработване на план за действия в обстановка на риск;

     г) преадресиране на риска (например чрез сключване на съответната застраховка).

     7.  Процесът на управление на риска трябва да включва следните етапи:

     а) избор на анализируемите обекти и нивото на детайлизация на анализа;

     б) избор на методология за оценка на риска;

     в) идентификация на информационните активи;

     г) анализ на заплахите и последствията от тях, откриване на уязвимите места в защитата;

     д) оценка на рисковете;

     е) избор на защитни мерки;

     ж) реализация и проверка на избраните мерки;

     з) оценка на остатъчния риск.

     8.  Процесът на управление на риска трябва да бъде цикличен процес. Последният етап се явява начало на нов цикъл на оценка.  Новият цикъл се провежда:

     а) ако остатъчният риск не удовлетворява ръководството на

администрацията;

                                                        Приложение № 4

                                                     към чл. 31, ал. 3

     Заплахи срещу мрежовата и информационната сигурност, формулирани в

     Видовете заплахи, които могат да застрашат конфиденциалността, интегритета и достъпността, са следните:

     1.  Подслушване, изразяващо се в достъп до служебна информация чрез прихващане на електронни съобщения независимо от използваната технология.

     2.  Електромагнитно излъчване, изразяващо се в действия на трето лице, целящо да получи знание за обменяни данни посредством информационна система.

     3.  Нежелан код, който може да доведе до загуба на конфиденциалността чрез записването и разкриването на пароли и до нарушаване на интегритета при интервенции от трети лица, осъществили нерегламентиран достъп с помощта на такъв код.  Нежелан код може да се използва, за да се заобиколи проверка за достоверност, както и всички защитни функции, свързани с нея.  В резултат кодът може да доведе до загуба на достъпността, когато данните или файловете са разрушени от лицето, получило нерегламентиран достъп с помощта на нежелан код.

     4.  Маскиране на потребителската идентичност може да доведе до

     5.  Погрешно насочване или пренасочване на съобщенията може да доведе до загуба на конфиденциалност, ако се осъществи нерегламентиран достъп от трети лица.  Погрешното насочване или пренасочване на съобщенията може да доведе и до нарушаване на интегритета, ако погрешно насочените съобщения са променени и след това насочени към първоначалния адресат.  Погрешното насочване на съобщения води до загуба на достъпността до тези съобщения.

     6.  Софтуерни грешки могат да застрашат конфиденциалността, ако софтуерът е създаден с контрол на достъпа или за криптиране или ако грешка в софтуера осигури възможност за нежелан достъп в информационна система.

     7.  Кражбата на информационни активи може да доведе до разкриване на информация, която представлява служебна или друга защитена от закона тайна. Кражбата може да застраши достъпността до данните или информационното оборудване.

     8.  Нерегламентиран достъп до компютри, информационни ресурси, услуги и приложения може да доведе до разкриване на поверителни данни и до нарушаване интегритета на тези данни, ако нерегламентираната им промяна е възможна. Нерегламентираният достъп до компютри, данни, услуги и приложения може да наруши достъпността до данните, ако тяхното изтриване или заличаване е възможно.

     9.  Нерегламентиран достъп до носител на данни може да застраши съхраняваните върху него данни.

     10.  Повреждане на носител на информация може да наруши интегритета и достъпността до данните, които се съхраняват на този носител.

     11.  Грешка при поддръжката.  Неизвършването на редовна поддръжка на информационните системи или допускане на грешки по време на процеса по поддръжка може да доведе до нарушаване на достъпността до данни.

     12.  Аварии в електрозахранване и климатични инсталации могат да доведат до нарушаване на интегритета и достъпността до данни, ако вследствие на настъпването на авариите са увредени информационни системи или носители на данни.

     13.  Технически аварии (например аварии в мрежите) могат да нарушат интегритета и достъпността до информация, която се съхранява или разпространява чрез тази мрежа.

     14.  Грешки при предаването на информацията могат да доведат до нарушаване на нейната цялост и достъпност.

     15.  Употреба на нерегламентирани програми и информация могат да нарушат интегритета и достъпността до данните, съхранявани и разпространявани чрез информационната система, в която е настъпило такова събитие, и програмите и информацията се използват, за да се изменят съществуващи програми и данни по неразрешен начин или ако те съдържат нежелан код.

     16.  Потребителски грешки могат да нарушат интегритета и достъпността до данни чрез неумишлено или умишлено действие.

     17.  Липса на потвърждаване може да застраши интегритета на данните. Предпазните мерки за предотвратяване на непотвърждаването трябва да се прилагат в случаите, когато е важно да се получи доказателство за това, че дадено съобщение е изпратено и е/не е получено, както и за това, че мрежата е пренесла съобщението.

     18.  Интервенции срещу интегритета на данните могат да доведат до тяхното сериозно увреждане и до невъзможност от по-нататъшното им използване.

     19.  Аварии в комуникационното оборудване и услуги могат да увредят достъпността на данните, предавана чрез тези услуги.

     20.  Външни въздействия с огън, вода, химикали и др. могат да доведат до увреждане или унищожаване на информационното оборудване.

     21.  Злоупотреба с ресурси може да доведе до недостъпност до данни или услуги.

     22.  Природни бедствия могат да доведат до унищожаване на данни и информационни системи.

     23.  Претоварване на комуникационния трафик може да доведе до нарушаване на достъпността до обменяни данни.