Наредба за общите изисквания за оперативна съвместимост и информационна сигурност

                                                      към чл. 32, ал. 2

     Средства за управление на достъпа на участниците в електронния обмен

     1.  Защитата на системните ресурси на информационни системи на административните органи е процес, при който използването на системните ресурси се регулира в съответствие с политиката в областта на мрежовата и информационна сигурност и е позволено само за упълномощени лица чрез използваните от тях информационни системи.  Това включва предотвратяването на нeрегламентиран достъп до ресурсите, включително предотвратявяне на достъп до ресурсите по нерегламентиран начин.

     2.  Управлението на защитата от нерегламентиран достъп се категоризира на няколко степени в зависимост от оценките на потенциалните последствия за администрацията при нарушаване на конфиденциалността, интегритета и/или достъпността, както следва:

     а) ограничено, когато организацията продължава да изпълнява функциите си, но с понижена ефективност, на информационните активи са причинени незначителни вреди и финансовите загуби са незначителни;

     б) умерено, когато ефективността на основните функции на администрацията е съществено понижена, на информационните активи са причинени значителни вреди и финансовите загуби са значителни;

     в) високо, когато загубата на конфиденциалност, интегритет и/или достъпност оказва тежко или непоправимо въздействие на администрацията, при която тя загубва способност да изпълнява основните си функции, на информационните активи са причинени тежки вреди и финансовите загуби са много големи.

     3.  Средствата за управление на достъпа позволяват да се определят и контролират действията, които различни ползватели на информационните системи и процеси в тях могат да извършват по отношение на информационни ресурси.Логическото управление на достъпа трябва да позволява да се определят множество допустими операции за всеки ползвател или процес и да се контролира изпълнението на установените правила.

     4.  Средствата за управление на достъпа на участниците в електронния обмен трябва да включват три категории функции:

     а) административни функции - създаване и съпровождане на атрибути за управление на достъпа;

     б) спомагателни функции - обслужване на процесите на достъп на ползвателите;

     в) информационни функции - събиране на информация за процесите на достъп с оглед подобряване на взаимодействието.

     5.  Всяко самостоятелно звено на администрацията управлява идентификаторите на ползвателите на информационните системи чрез:

     а) уникална идентификация на всеки ползвател;

     б) верификация на идентификатора на всеки ползвател;

     в) регламентиране на административните процедури за разпространение, заместване на загубени, компрометирани или повредени идентификатори;

     г) прекратяване действието на идентификатора след определен период на липса на активност;

     д) архивиране на идентификаторите.

     6.   Информационните системи на административните органи трябва да скриват ехо изображението на идентифициращата информация в процеса на проверка на идентичността с цел да я защитят от възможно използване от страна на неоправомощени лица.

     7.   При проверка на идентичността чрез криптографски модули информационната система трябва да прилага методи, отговарящи на стандартите, вписани в раздел "Информационна сигурност" от регистъра на стандартите.

     8.  За изграждане на вътрешни правила за мрежовата и информационната сигурност в администрациите се препоръчва следното съдържание на раздела, свързан с управлението на достъпа на участниците в електронния обмен:

     а) документирана политика по управление на достъпа, включваща цели, обхват, задължения, координация на организационните структури;

     б) документирани процедури по присвояване на привилегии, акаунти и други права в съответствие с политиката;

     в) определяне на ограничения на количеството несполучливи опити на ползвателя за вход в система за определен интервал от време, след което акаунтът му се заключва;

     г) определяне на предупреждаващите съобщения, информиращи потребителя преди предоставяне на достъп, относно:

      - общите ограничения, налагани от системата;

      - възможния мониторинг, протоколиране и одит на използването на системата;

      - необходимото съгласие на ползвателя за мониторинг и протоколиране в случай на използване на системата;

      - забраните и възможните санкции при несанкционирано използване на системата;

      - възможните действия на ползвателя, които могат да бъдат изпълнени от информационната система без необходимост от аутентикация и оторизация.

     9.  В съответствие с процедурите по т. 3 ръководителите на администрациите организират провеждането на следните мероприятия:

     а) организиране предоставянето на услуги на всички граждани и организации с еднакъв приоритет;

     б) записване в поддържаните от системата списъци на участниците на всички граждани и организации, които са участвали в електронния информационен обмен в информационните системи на административните органи;

     в) съхраняване на архивна информация за период една година за всички участници, които са използвали електронни административни услуги от публичните информационни системи;

     г) организиране достъпа на служителите от администрацията чрез система от индивидуални пароли; паролите трябва да се променят периодично, но най-малко веднъж на 6 месеца;

     д) извършване на преглед и актуализиране на правата за достъп на служителите, които поддържат работата на информационни системи в администрациите.

     10.  Всеки служител в администрацията, записан в съответния директориен LDAP сървър (централен или локален), трябва да получава уникални потребителско име и парола за достъп само до информационните системи, които са необходими, за да изпълнява служебните си задължения.  Паролата трябва да съдържа между 8 и 16 буквено-цифрови символа и да изисква автоматична промяна всеки месец.

                                                             към чл. 35

     Класификация, контрол и управление на информационните активи

     1.  Картите на наличните информационни ресурси в съответната администрация трябва да определят еднозначно:

     а) конкретен служител за кои информационни ресурси (компютри, устройства, софтуерни продукти/системи, бази данни и др.) отговаря;

     б) конкретен софтуерен продукт/информационна система и/или коя база от данни на кои компютри и устройства се използват.

     2.  Инвентарните списъци за наличните информационни ресурси в съответната администрация трябва да включват:

     а) за хардуерни устройства (без бързо амортизируемите, като мишки, клавиатури и други подобни) минималният набор от данни, които трябва да се поддържат, включва:

      - сериен номер;

      - фабричен номер;

      - модел;

      - описание на основните технически параметри (процесор/честота, размер на паметта и вид/тип, модел на диска и размер, захранване - мощност и модел/тип, списък на аксесоарите към устройството и др.);

      - дата на придобиване;

      - дата на пускане в експлоатация;

      - дата на извеждане от употреба;

      - дата на продажба/бракуване/даряване;

      - местоположение на устройството;

      - име на служителя, отговарящ за функциониране на устройството;

      - име/имена на служителя/служителите, ползващ/ползващи устройството;

      - дати на обслужване и ремонт на устройството;

      - описание на извършеното обслужване/ремонт;

      - с кои устройства е свързано това устройство;

      - работата на кои устройства зависи от правилното функциониране на това устройство;

      - правилното функциониране на това устройство от работата на кои устройства зависи;

      - кои работни процеси обслужва това устройство;

     б) за софтуерни продукти минималният набор от данни, които трябва да се

      - име на продукта;

      - версия на продукта;

      - списък на минималните изисквания към хардуера за нормална работа на продукта;

      - дата на придобиване;

      - дата на инсталиране и настройка;

      - дата, от която започва да тече лицензът за ползване на продукта;

      - машина/машини, на която/които е инсталиран продуктът;

      - дата на извеждане от употреба;

      - дата на изтичане на лиценза за ползване на продукта;

      - дата, на която са извършени промени в настройки или в самия продукт;

      - описание на извършените промени;

      - име на служителя, инсталирал продукта;

      - име на служителя, извършил настройките;

      - име на служителя, извършил промените;

      - име на файла, в който се пази състоянието преди промените;

      - кои работни процеси обслужва този софтуерен продукт;

      - работата на кои софтуерни продукти зависи от правилното функциониране на този софтуерен продукт;

      - правилното функциониране на този софтуерен продукт от работата на кои софтуерни продукти зависи.

     3.  Върху работните станции и сървърите в администрациите да се инсталират само софтуерни продукти, за които съответната администрация разполага с лиценз за ползване.

     4.  Всички информационни системи, които се въвеждат в експлоатация в администрациите, трябва да се съпровождат с подробна документация за:

     а) всички функции на клиента, приложението и базите данни;

     б) административните средства за достъп и настройка;

     в) схеми на базите данни с подробно описание на таблиците и връзките;

     г) контролите при въвеждане и обмен на данни;

     д) контролите при обработката и резултатите от обработката;

     е) приложението с всички модули, "use cases", UML схеми и интерфейси.

     5.  Инсталирането и настройката на нови софтуерни и хардуерни продукти да се планира и всички лица, използващи засегнатите ресурси, да се уведомяват не по малко от 3 дни преди извършване на инсталацията или настройката.

     6.  Преди извършване на инсталация да се направят резервни копия на софтуера, файловете  и базите данни, като се разработи и "roll back" план.

     7.  Инсталирането, настройката и поддръжката на нови софтуерни и хардуерни продукти да се извършват в периоди с минимално натоварване на съответните ресурси.

     8.  Преди инсталиране в оперативно действащите системи на нови софтуерни и хардуерни продукти те да се тестват в тестова среда максимално близка до реалните работни условия.

     9.  Служителите в администрациите носят материална отговорност за мобилните устройства, които са им предоставени за ползване.  Мобилните устройства се получават от служителите, които ги използват, срещу подпис върху документ, съдържащ пълното описание на мобилното устройство и инсталирания софтуер.

     10.  Услугите по активен анализ на защитеността на системата (активни скенери на защитеността) позволяват да се открият и отстранят недостатъци в системата за защита на информационните активи, преди от тях да са се възползвали злонамерени лица.

                                                         Приложение № 7

                                                             към чл. 37

                  Управление на експлоатационните процеси

     2.  Зоните на сигурност са области от софтуерната архитектура на системата, в които е определен специфичен комплекс от мерки, осигуряващи конкретно ниво на сигурност.  Зоните са адекватно разделени една от друга, като преносите на данни от една зона в друга са строго регламентирани и се осъществяват през контролни обекти, като защитни стени, прокси-сървъри и др.

     3.  При изграждане на сигурността следва да се поддържа "демилитаризирана зона (DMZ)" - мрежова област, разположена между публичната неконтролируема част на мрежата (обичайно свързана с интернет) и вътрешната защитена част на системата.  Демилитаризираната зона трябва да организира информационни услуги към двете части на мрежата, като защитава вътрешната част от нерегламентиран достъп.

     4.  Мерките за сигурност при управление на експлоатационните процеси в информационни системи на администрациите трябва да включват:

     а) при проектиране на информационни системи да се отдава предпочитание на системи с многослойна архитектура, в които клиентът, приложението и данните са логически и физически разделени;

     б) да се изготви и утвърди Инструкция за резервиране и архивиране на данни и файлове;

     в) да се осигури редовно изготвяне на резервни копия на базите данни и файловете във файловите сървъри; графиците за резервиране се определят в зависимост от характера на дейността на всяка администрация; препоръчително е ежедневно резервиране;

     г) да се осигури съхраняване на резервните копия в специално отделно помещение/място/огнеупорна каса;

     д) да се осигури редовно обновяване на носителите, върху които се записват резервни копия (на период около 2/3 от срока им на годност);

     е) да се осигури редовно изготвяне на архивни копия на базите данни и файловете във файловите сървъри; графиците за резервиране се определят в зависимост от характера на дейността на всяка администрация; препоръчително е ежемесечно резервиране;

     ж) да се осигури редовно обновяване на носителите, върху които се записват архивни копия (на период около 2/3 от срока им на годност);

     з) архивните копия да се съхраняват в друга сграда в огнеупорна каса;

     и) достъпът до резервни и архивни копия се извършва под контрола на служителя по информационна сигурност.

                                                         Приложение № 8

                                                             към чл. 37

                     Управление на електронните съобщения

     1.  Управлението на електронните съобщения в администрациите се извършва съгласно Препоръка Х.700 на Международния съюз по телекомуникации (ITU -International Telecommunication Union) и се осъществява чрез:

     а) мониторинг на компонентите;

     б) контрол (т.е. изработване и реализация на управляващи въздействия);

     в) координация на работата на компонентите на системата.

     2.  Системите за управление трябва:

     а) да дават възможност на администраторите да планират, организират, контролират и отчитат използването на процесите, свързани с осигуряване на мрежова и информационна сигурност;

     б) да позволяват нагаждане на системата към изменения на изискванията
за сигурност;

     в) да осигуряват предсказуемо поведение на системата при различни обстоятелства.

     3.  Управлението на мрежовата сигурност се основава на препоръки Х.800 и Х.805 на Международния съюз по телекомуникации (ITU – International Telecommunication Union).

     4.  Съгласно препоръките по т. 3 за реализация на функциите на мрежовата сигурност трябва да се използват следните механизми и комбинации от тях:

     а) криптиране;

     б) цифрови сертификати;

     в) механизми за управление на достъпа;

     г) механизми за контрол на интегритета на данните, в т.ч. интегритета на потока съобщения;

     д) механизми за идентификация;

     е) механизми за допълване на трафика;

     ж) механизми за управление на маршрутизацията;

     з) механизми за отбелязвания и записи на комуникационните характеристики.

     5.  Защитата на електронните съобщения в интернет включва:

     а) защитна стена;

     б) защита от вируси и нежелан код;

     в) защита от спам;

     г) проверка на прикачените файлове за вируси и нежелан код;

     д) защита от DoS (denial of service) атаки;

     е) защита от HA (harvesting attacks);

     ж) защита на е-mail адресите от търсещи роботи;

     з) защита от изтичане на информация;

     и) защита от шпионски софтуер (spyware);

     к) защита на IM (instant messaging);

     л) защита на гласовите комуникации (Skype, ICQ, др.);

     м) проверка за съответствие с наложените политики в съответната администрация;

     н) проверка за съответствие с приетите нормативни документи;

     о) контрол върху обмена (изпращане/получаване) на големи файлове в съответствие с приетите политики;

     п) приоритизация на входящата и изходящата поща в зависимост от профила на всеки служител;

     р) пренасочване на пощата в зависимост от приетите политики;

     с) автоматично криптиране на изходящата поща при необходимост в съответствие с приетите политики;

     т) автоматично добавяне на текст към входящи/изходящи съобщения в съответствие с приетите политики.

     6.  Получени съобщения, автоматично категоризирани като спам или съдържащи нежелан код, да се записват в специализирани папки и да са достъпни за контрол и обработка от упълномощени лица (служителя по информационна сигурност, специалисти от Националния център за действие при

     7.  За защитата на "рутинг-инфраструктурата" и "рутинг-протоколите" трябва да се използват Препоръките на Работните групи RPSEC (Routing Protocol Security Requirements) и SIDR (Secure Inter-Domain Routing) на международната организация IETF (Internet Engineering Task Force).

     8.  За управление на имената и домейните в инфраструктурата в интернет да се използва "система за управление на имената на домейните (DNS)" с модификация на DNS протокола с разширения за идентификация (DNSSEC), която се основава на спецификацията на IETF PFC 4033.

     9.  За осъществяване на защитен обмен на съобщения по протоколите HTTP, LDAP, FTP и други да се използва Протокол SSL ("Secure Socket Layer") версия 3.0, формулиран от IETF ("Internet Engineering Task Force") или VPN ("Virtual Private Networking") решения за сигурно криптиране на сесиите.

     10.  За криптиране на XML базирани съобщения на ниво "сесия" да се използва Протокол XMLENC, формулиран от консорциума W3C.

     11.  За електронно подписване на XML базирани документи да се използва Протокол XAdES (XML Advanced Electronic Signature), формулиран в Препоръка TS 101 903 на ETSI (European Telecommunications Standards Institute) и основан на Препоръка XML DSIG на Работна група "XML-Signature Working Group" на консорциума W3C.

     12.  За работа с публичните ключове при електронно подписване на XML базирани документи да се използва Протокол XKMS ("XML Key Manipulation Service"), основан на Препоръка XKMS 2.0 на консорциума W3C.

     13.  Копие от цялата служебна електронна поща на служителя се съхранява на пощенския сървър на съответната администрация не по-малко от две години, след като служителят напусне работа.

     14.  Служителите в администрациите могат да използват за получаване и изпращане на служебна кореспонденция единствено служебната си електронна поща.

     15.  Електронни съобщения, изпратени от служители в държавната администрация, съдържат задължително идентифицираща информация за контакт със съответния служител:

     а) име;

     б) телефон;

     в) електронна поща;

     г) длъжност;

     д) учреждение.

     16.  В края на всяко изходящо електронно съобщение автоматично да се прикачва изявление за ограничаване на отговорността (disclaimer) и указания към адресата за действия при погрешно получаване.

                                                         Приложение № 9

                                                             към чл. 41

                        Защита срещу нежелан софтуер
     1.  Нежеланият софтуер, който може да експлоатира уязвимостта на един или няколко информационни актива и да предизвика смущаване на нормалната им работа, увреждане или унищожаване, включва следните основни програми:

     а) компютърни вируси;

     б) мрежови червеи;

     в) троянски коне, и

     г) логически бомби.

     2.  Защитата срещу нежелан софтуер в информационните системи на административните органи трябва да бъде ориентирана в две основни направления:

     а) чрез забрана за използване на нерегламентиран софтуер;

     б) чрез задължително използване на утвърден за цялата администрация антивирусен софтуер и софтуер за откриване на нерегламентирани промени на информационните активи.

     3.  Администраторът на единната национална мрежа (ЕНМ) трябва да прилага средства за откриване на опити за проникване на различни нива и периметри на мрежата.

     4.  Програмните продукти, предназначени за откриване на опити за проникване, трябва да разпознават следните подозрителни действия в мрежата:

     а) опити да се използват услуги, блокирани от защитни стени;

     б) неочаквани заявки, особено от непознати адреси;

     в) неочаквани шифровани съобщения;

     г) извънредно активен трафик от непознати сървъри и устройства;

     д) значителни изменения на предишни действия на мрежата;

     е) опити за използване на известни системни грешки или уязвимости;

     ж) опити за вход от непознати потребители от неочаквани адреси;

     з) несанкционирано или подозрително използване на администраторски функции;

     и) значителни изменения в обичайните действия на потребител и пр.

     5.  При установяване на открити опити за проникване трябва незабавно:

     а) да се уведомява системният администратор за предприемане на адекватни мерки;

     б) да се изключват или ограничават мрежовите услуги, свързани с информационния актив - обект на проникването.

     6.  Всяко устройство, което се включва в мрежата на съответната администрация, автоматично да се проверява за вируси и нежелан софтуер, преди да получи достъп до ресурсите на мрежата.

                                                       Приложение № 10

                                                     към чл. 43, ал. 2

       Действия при мониторинг на събитията и инцидентите в

              информационните системи на администрациите

     1.  При съхраняването на информация за събития и инциденти, свързани с информационните системи на администрациите, трябва да се създават следните записи:

     а) дата и време на настъпване на събитието;

     б) уникален идентификатор на ползвателя - инициатор на действието;

     в) тип на събитието;

     г) резултат от събитието;

     д) източник на събитието;

     е) списък на засегнатите обекти;

     ж) описание на измененията в системата за защита, произтекли от събитието.

     2.  Ръководителите на администрациите трябва да определят точни процедури за мониторинг на използването на системата, с които да осигурят изпълнението само на регламентирани процеси от страна на ползвателите. Процедурите за мониторинг трябва да осигуряват:

     а) реалистична оценка и мерки за управление на риска;

     б) проследяване на изключения или ненормално поведение на ползватели за определен период;

     в) осигуряване на записи както на успешните, така и на отказаните опити за достъп в системата.

     3.  За осигуряване на точност и пълнота на записите на логовете, които могат да се използват за разследване на неправомерни действия или за нуждите на ангажиране на съдебни доказателства, ръководителите на ведомствата трябва да осигурят поддържането на единно време в информационните системи съгласно Наредбата за електронните административни услуги, приета с Постановление № 107 на Министерския съвет от 2008 г. (ДВ, бр. 48 от 2008 г.).