Наредба за общите изисквания за оперативна съвместимост и информационна сигурност

                                                       към чл. 45 ал. 2

                    Параметри на физическата сигурност

     1.  За осигуряване физическата защита на информационни системи ръководителите на администрациите предприемат следните мерки:

     а) мерки по управление на физическия достъп;

     б) противопожарни мерки;

     в) защита на поддържащата инфраструктура;

     г) защита на мобилните системи.

     2.  Препоръчва се мерките за физическа защита да включват следните инфраструктурни компоненти:

     2.1.  Сградите и помещенията, в които се разполагат техническото оборудване, софтуерът и архивите, необходими за информационните системи на административните органи, да отговарят на следните архитектурно-строителни изисквания:

     а) помещенията да имат бетонни или тухлени стени;

     б) плочите да бъдат стоманобетонни с дебелина 0,15 [m];

     в) помещенията да имат специални подвижни отвори, които предпазват от свръхналягане;

     г) двойният под да има височина не по-малка от 0,30 [m];

     д) окаченият таван да има височина не по-малка от 0,50 [m];

     е) климатичните системи за помещенията да позволяват управление от алармени сигнали на пожарогасителна система;

     ж) до помещенията да се осигури отделна стая, в която да се разположат действащата и резервната батерии бутилки с пожарогасителния агент.

     2.2.  Помещенията, в които се разполагат техническото оборудване, софтуерът и архивите, необходими за информационните системи на администрациите, се оборудват със следните технически системи за защита, безопасност и охрана:

     а) пожарогасителна система, която трябва да отговаря на изискванията на EN 14520;      б) климатизация;

     в) резервно електрозахранване;

     г) системи за телевизионно видеонаблюдение;

     д) системи за контрол на достъпа.

     3.  Срещите между посетителите и служителите в администрациите трябва да се извършват в специализирани помещения.

     4.  В случаите по т. 3 да се води списък на посетителите кога и с кого са се срещали и по какъв въпрос.  Списъкът да се съхранява не по-малко от една година от датата на посещението.  Списъкът може да се води и само в електронна форма.

     5.  Служителите, използващи преносими компютри, трябва задължително да използват пароли за достъп до ресурсите на мобилните устройства (дискови устройства, системни платки, софтуер и др.).

                                                       Приложение № 12

                                                            към чл. 48

     Управление на инциденти, свързани с информационната сигурност

     а) определяне на критично важните функции на системата и установяване на приоритетите за възстановителни работи;

     б) идентификация на ресурсите, необходими за изпълнение на критично важните функции;

     в) определяне списък на възможните инциденти с вероятности за появяването им, изхождайки от оценките на риска;

     г) разработка на стратегии за възстановителни работи;

     д) подготовка на мероприятия за реализация на стратегиите.

     2.  Цикълът на управлението на инциденти трябва да включва следните основни етапи:

     а) подготовка;

     б) откриване и анализ;

     в) ограничаване на влиянието, премахване на причината, възстановяване;

     г) дейности след инцидента.

     3.  Критичен елемент от управлението на инциденти е незабавното възстановяване на дейността на системата.

     4.  Политиката за защита от инциденти и възстановителни работи на съответната администрация, която произтича от оценката на риска по глава трета, раздел III от наредбата, трябва ясно да идентифицира средствата за резервиране и възстановяване с оглед покриване ниво на резервиране над пето по класацията на Асоциация Share.

     5.  Средствата по т. 4 могат да бъдат:

     а) паралелно записване или огледална репликация на съхраняваните данни (технологии "Disk Mirroring" или "RAID" ("Redundant Array of Independent Drives");

     б) създаване на център за възстановяване след инциденти (т.нар."Disaster Recovery Center"), в който се извършва постоянно архивно съхранение ("back-up") на информацията от системата, така че да може да се възстанови нейната дейност след инцидента;

     в) създаване на резервен изчислителен център, в който се поддържа репликирано състояние на критичните оперативно действащи системи, така че дейността им да бъде незабавно поета от него.

     6.  Планът за действия при инциденти на съответната структура в администрацията трябва да включва мероприятия, които да се проведат след възстановяването и които да целят избягване на подобни инциденти.  Това могат да бъдат мерки по:

     а) повишаване нивото на контрол на достъпа;

     б) промяна на конфигурациите на зоните за сигурност;

     в) изменение на режима на физически достъп;

     г) инсталиране на допълнителни модули за защита към софтуера на системата;

     д) саниране и декласификация на носителите и пр.

                                                       Приложение № 13

                                                            към чл. 51

          Мерки за постигане сигурност по отношение на персонала

     1.  За постигане на информационна сигурност по отношение на персонала ръководителите на администрациите са длъжни да предприемат следните мерки за идентификацията на служителите и оправомощаването им да извършват определени действия по отношение на експлоатацията на информационните системи:

     а) достъпът на служителите в администрацията до работните им станции и общите информационни системи да се осъществява със служебни потребителско име и парола;

     б) достъпът на служителите в държавната администрация до специализираните информационни системи да се осъществява със служебни потребителско име, парола и удостоверение за публичен ключ;

     в) осигуряването на права за достъп на различни групи служители и ръководители до ресурсите на информационните системи в съответната администрация да се извършва на базата на утвърдените профили съгласно чл.52 от наредбата;

     г) за всеки служител в администрацията да бъде определена принадлежност към профил, съответстващ на служебните му задължения, вписани в длъжностната му характеристика;

     д) служителите в администрацията да имат право на достъп само до тези ресурси на информационните системи в администрацията, в която работят, или до системите на други администрации само доколкото са им необходими за изпълнение на служебните задължения съгласно длъжностната им характеристика;

     е) всяка година да се провеждат опреснителни курсове по мрежова и информационна сигурност, през които да преминават всички служители в администрацията;

     ж) всички служители в администрацията да преминат обучение за действия при инциденти с мрежовата и информационна сигурност.