Целта на Закона за защита на класифицираната информация е да я защитава отнерегламентиран достъп.
Класифицирана информация по смисъла на ЗЗКИ е информацията,представляваща държавна или служебна тайна, както и чуждестраннатакласифицирана информация.
Основният принцип заложен в Закона за класифицирана информация е„необходимост да се знае“. Принципът „необходимост да се знае" се състои вограничаване на достъпа само до определена класифицирана информация и самоза лица чиито служебни задължения или конкретна възложена задача налагаттакъв достъп.
Видовете защитата на класифицираната информация са: персонална,документална, индустриална, криптографска, физическа и на автоматизиранитеинформационни системи или мрежи.
Рискове за интересите на Р България в областта на защитата накласифицираната информация
Основната предпоставка за успешното идентифициране на риска епознаването на същността на организацията, на нейните цели и задачи. Анализътзапочва с избор на обект. За неголеми организации може да се разглежда цялатаинформационна инфраструктура, но за големи организации това може да се окажебавен процес и необосновано скъп. В тези случаи ще трябва да се анализират най-важните възли от информационната инфраструктура.
Дейностите на една организация, работеща с класифицирана информация, саизложени на много рискове и анализът им включва дейности по характеризиранена организацията, идентифициране на източниците на заплаха, идентифициранена уязвимостите относно нейната сигурност и в частност тази на нейнитеинформационни структури.
Органи за защита на класифицираната информация
Система от органи за защита на класифицираната информация
Системата от органи за защита на класифицираната информация обхваща:
• Народното събрание (НС), което приема законите в областта на защитата накласифицираната информация, техните изменения и допълнения;
• Министерския съвет (МС), който определя насоките на националнатаполитика за защита на класифицираната информация;
• Държавната комисия по сигурността на информацията (ДКСИ), катонационален орган, който осъществява политиката на Република България зазащита на класифицираната информация (КИ);
• Служби за сигурност (СС) и служби за обществен ред (СОР);
• Служителите по сигурността на информацията (ССИ).
Държавна комисия по сигурността на информацията.
Правомощия на ДКСИ
ДКСИ е държавен орган, осъществяващ политиката на Република България зазащита на класифицираната информация (чл.4, ал.1 от ЗЗКИ). ДКСИ организира,осъществява, координира и контролира дейността по защита на класифициранатаинформация и осигурява еднаква защита на класифицираната информация.
Осъществява методическо ръководство спрямо служителите по сигурността наинформацията.
Служби за сигурност
Службите за сигурност и обществен ред са неразделна част от системата оторгани за защита на класифицираната информация. Правомощията на службите засигурност са посочени в чл. 11 – чл. 14 от ЗЗКИ, а правомощията на службите заобществен ред – в чл.15 – чл.16 от ЗЗКИ.
Понятие за организационна единица.
Права и задължения на ръководителя на организационната единица и наслужителите в организационната единица
Организационна единица
Съгласно §1, т.3 от Допълнителните разпоредби на ЗЗКИ „Организационнаединица“ са: органите на държавната власт и техните администрации;
Министерството на отбраната и определени от министъра на отбраната структурина пряко подчинение на министъра на отбраната и формирования на българскатаармия;органите на местното самоуправление и местната администрация;публичноправни субекти, създадени със закон или акт на орган на изпълнителнатавласт; юридически лица; физически лица в които се създава, обработва,съхранява или предоставя класифицирана информация.
Задължения на организационните единици
Организационните единици трябва: да прилагат изискванията за защита накласифицираната информация и да контролират тяхното спазване; да отговарят зазащита на класифицираната информация; в случай на нерегламентиран достъп докласифицирана информация незабавно да уведомяват ДКСИ и да предприематмерки за ограничаване на неблагоприятните последици; да предоставятинформация по искане на ДКСИ, службите за сигурност и службите за общественред.
Задължения на служителите в организационните единици, които иматдостъп до класифицирана информация
Служителите, получили разрешения за достъп до КИ отговарят за наличносттада предадените им документи, като в края на работата с тях лично ги предават врегистратурата срещу подпис.
При загубване на материали, съдържащи класифицирана информация,незабавно уведомяват завеждащия регистратурата и служителя по сигурността наинформацията.
Служителите в организационните единици, които имат достъп докласифицирана информация, са задължени:да спазват правила за работа с класифицирана информация;да защитават класифицираната информация от нерегламентиран достъп;да уведомяват незабавно служителя по сигурността на информацията заслучаи на нерегламентиран достъп до класифицирана информация;да преминават периодични здравни прегледи наймалко веднъж на двегодини и психологически изследвания при условията и по реда на чл.42, ал.3 отЗЗКИ;
На служителите получили разрешения за достъп до КИ е забранено:да разгласяват класифицирана информация в нарушение назаконоустановения ред;да предават класифицирана информация по свързочни иликомуникационни средства без съответните мерки за защита, както и да записваткласифицирана информация на нерегистрирани предварително на отчет носители;да изнасят материали, съдържащи класифицирана информация, извънорганизационната единица и в нарушение на установения за това ред;да предават материали, съдържащи класифицирана информация, на другислужби и ведомства и в нарушение на установения за това ред;да оставят след работно време материали, съдържащи класифициранаинформация, в работното помещение (бюра, шкафове и др.), ако то не отговаря насъответните мерки за защита на информацията;да размножават, фотографират и унищожават материали, съдържащикласифицирана информация, в нарушение на установения за това ред;да записват КИ на нерегистрирани предварително на отчет магнитниносители;да използват материали, съдържащи класифицирана информация, за явнипубликации, дипломни работи, дисертации, доклади, изказвания и др.
Служителите на службите за сигурност и за обществен ред са длъжни дауведомяват писмено ръководителите си за всяко задгранично пътуване.
Персонална сигурност
Персоналната сигурност представлява система от принципи и мерки,прилагани от компетентните органи спрямо лица с цел гарантиране на тяхнатанадеждност с оглед защитата на КИ.
Мерките за защита на КИ в областта на персоналната сигурност гарантиратдостъпа до КИ във връзка с изпълнение на служебни задължения или конкретновъзложени задачи след извършване на проучване на лицето за надеждност ипровеждане на обучението му в областта на защитата на класифициранатаинформация.
Лица, които не са служители в организационната единица, могат да сезапознаят с регистрирани в нея материали само след разрешение на ръководителяна организационната единица и служителя по сигурността на информацията.
Процедура по проучване
Целта на процедурата по проучване е да се установи дали проучваното лицеотговаря на законовите изисквания за достъп до класифицирана информация.
Службите за сигурност в хода на проучването проверяват със свои способи иметоди информацията, която е получена, в резултат, на което издават илиотказват издаване на разрешение за достъп до КИ.
За да стартира процедурата по проучване, трябва да има писмено съгласие налицето, което може да бъде оттеглено на всеки от етапите на проучване. Аколицето оттегли своето писмено съгласие, процедурата веднага се прекратява.
Документите по чл. 147, ал. 1, т. 1 се връщат на лицето срещу писмена разписка, авъпросника по чл. 147, ал. 1, т. 2 и всички данни, събрани в хода на проучването,се унищожават по правилата на ППЗЗКИ.
Надеждност на лицето относно опазване на тайната е налице, когато в хода напроучването за надеждност се установява, че липсват данни относно укриване илидаване на невярна информация от проучваното лице за целите на проучването, далипсват факти и обстоятелства, които биха дали възможност за изнудване напроучваното лице, както и несъответствие между стандарта на живот напроучваното лице и неговите доходи.
Установява се, че лицето не страда от психично заболяване или другинарушения на психичната дейност, които биха повлияли отрицателно върхуспособността на проучваното лице да работи с класифицирана информация, и не езависимо от алкохол и наркотични вещества.
Резултати от процедурата по проучване
Разрешение, отказ
Разрешението се издава на лица, които отговарят на изискванията на чл. 40 отЗЗКИ.
При необходимост от преиздаване на разрешение, когато срокът на валидностизтича, се започва процедура по повторно проучване, най рано три месецапреди изтичането на валидността.
В хода на проучването може да се установи, че лицето не отговаря наизискванията по чл. 40, ал. 1 или че проучваното лице съзнателно е представилоневерни или непълни данни. В такъв случай проучващият орган издава отказ задостъп до класифицирана информация. Отказът не се мотивира, а само се посочваправното основание и не подлежи на обжалване по съдебен ред.
Отнемане и прекратяване
По време на текущия контрол, който проучващият орган осъществява, може даустанови, че са се появили нови факти и обстоятелства относно лоялността налицето. Може да констатира, че лицето е извършило нарушение на закона или наподзаконовите актове по прилагането му, което е създало опасност от възникванеили е довело до значителни вреди за интересите на държавата, организациите илилицата в областта на защитата на класифицираната информация, или че лицето еизвършило системни нарушения на закона или на подзаконовите актове, свързанисъс защитата на класифицираната информация. В такъв случай проучващияторган отнема разрешението.
Компетентни да издават, прекратяват, отнемат и отказват издаване наразрешение за достъп до класифицирана информация са:
ДКСИ;
ръководителите на службите за сигурност и службите за обществен ред;
Органът, пред който лицето, на което е издаден отказ, отнемане илипрекратяване, може да подаде жалба, е ДКСИ. Срокът за обжалване е 7дневен,считано от уведомяването на лицето. Жалбата трябва да бъде подадена в писменвид чрез органа, издал акта, който се обжалва.
Документална сигурност
Нивата на класификация за сигурност на информацията и техният гриф засигурност съгласно чл. 28 от ЗЗКИ са:
„Строго секретно”
„Секретно”
„Поверително”
„За служебно ползване”
Информация, класифицирана като държавна тайна се маркира с гриф засигурност:
„Строго секретно“
„Секретно“
„Поверително“
Информацията, класифицирана като служебна тайна се маркира с гриф засигурност „За служебно ползване“.
Съгласно чл. 34 от ЗЗКИ сроковете на защита на класифициранатаинформация, считани от датата на създаването, са следните:
за информация, маркирана с гриф за сигурност „Строго секретно“ – 30години;
за информация, маркирана с гриф за сигурност „Секретно” – 15 години;
за информация, маркирана с гриф за сигурност „Поверително” – 5години;
за информация, маркирана с гриф за сигурност „За служебно ползване“ –6 месеца.
Лицето, което създава документа, може да посочи срок за защита на КИ,различен от посочените (втора дата). В този случай лицето посочва датата наизтичане на срока на защита на КИ в грифа за сигурност.
Маркиране на класифицираната информация и обозначения върхуматериалите, съдържащи класифицирана информация
Всяка класифицирана информация, представляваща държавна или служебнатайна, се маркира, като върху материала се поставя съответен гриф за сигурност.
Обстоятелството, че класифицираната информация е маркирана, означава, че: е създаден материал, съдържащ класифицирана информация, върху койтое поставен гриф за сигурност;
материалът и класифицираната информация са обект на съответни нанивото на класификация мерки за защита,определени в ЗЗКИ и в актовете поприлагането му;
достъп до класифицирана информация се дава на друга организационнаединица при спазване на принципа „необходимост да се знае“;
класифицираната информация и грифът за сигурност върху материаламоже да се изменят само със съгласието на лицето, което подписва документа,или на неговия вишестоящ ръководител.
датата наизтичане на сроковете, определени за съответното ниво на класификация и;
правното основание за класифициране.
Класифицирането на информацията е дейност, при която се установява:
1. Попада ли конкретната информация в списъка на категориите информациясъгласно приложение № 1 към чл. 25 ЗЗКИ или в списъка по чл. 26, ал. 3 ЗЗКИ;
2. Налице ли е заплаха или опасност от увреждане или увреждане наинтересите по т. 1 в съответната степен, определена съгласно чл. 28, ал. 2 и чл. 26,ал. 1 във връзка с § 1, т. 15 от допълнителните разпоредби на ЗЗКИ;
3. Дали нерегламентираният достъп до нея би създал опасност за интереситепо т. 1, и
4. Налице ли са обществените интереси, подлежащи на защита съгласно чл. 25и 26 във връзка с § 1, т. 13 и 14 от допълнителните разпоредби на ЗЗКИ.
Информацията се класифицира според собственото й съдържание, а неспоред класификацията на информацията, на която се базира, или наинформацията, за която се отнася.
Грифът за сигурност се определя от лицето, което има право да подписвадокумента, съдържащ класифицирана информация. Ако лицето, създалодокумента или материала, е различно от лицето, което го подписва, то е длъжнода постави гриф за сигурност, валиден до окончателното му определяне.
Грифът за сигурност се поставя отделно от всички останали обозначениявърху материала по начин, който не уврежда материалите.
Материалите (документите) носители на класифицирана информация серегистрират в регистратурите за класифицирана информация, като на видно мястосе поставя уникален регистрационен номер чрез напечатване, принтиране,написване, изобразяване, поставяне на етикети, стикери или по друг начин,трайно, ясно, четливо, разбираемо и без съкращения.
Уникалният регистрационен номер на документа или материала не сепроменя през времето на неговото съществуване.
В помещенията на регистратурите, които не са определени за работа съссъответните потребители от организационната единица, могат да влизат самослужителите от регистратурата, ръководителят на организационната единица ислужителят по сигурността на информацията.
В случаите, когато в регистратурата има само един щатен служител,
ръководителят на организационната единица определя със заповед и друг
служител, който отговаря на условията за работа в регистратурата.
Работата с материали, съдържащи класифицирана информация, съхранявани врегистратурите, се извършва само в определеното работно време. Изключениесе допуска с писмено разрешение на служителя по сигурността на информацията.
Класифицирана информация може да се създава, обработва, съхранява илипредоставя само в определените зони за сигурност (клас I и клас II).
Работата с материали, съдържащи класифицирана информация, извънсъответните зони за сигурност (клас I и клас II) в организационната единица серазрешава от служителя по сигурността на информацията, който определя исъответните мерки за сигурност при пренасянето, ползването и съхраняването им.
Бележки или записки, съдържащи класифицирана информация, се правят наработни тетрадки или бележници, които са надлежно подвързани, с пореднономерирани листове и заведени на отчет в регистратурата; на носители,използвани в сертифицирана АИС или мрежа и заведени на отчет врегистратурата.
Физическа сигурност
Физическата сигурност на класифицираната информация включва система оторганизационни, физически и технически мерки за предотвратяване нанерегламентиран достъп до материали, документи, техника и съоръжения,класифицирани като държавна или служебна тайна.
Организационните единици прилагат система от мерки и средства зафизическа сигурност на сгради, помещения и съоръжения, в които се създава,обработва и съхранява класифицирана информация.
Физическата сигурност се прилага за защита на класифицирана информацияот всякаква заплаха или вреда в резултат на:
1. терористична дейност или саботаж;
2. нерегламентиран достъп или опит за нерегламентиран достъп.
За предотвратяване на нерегламентиран достъп до класифицирана
информация ръководителите на организационните единици с помощта наслужителите по сигурността на информацията:
1. определят зоните за сигурност;
2. определят около зоните за сигурност административни зони, в които сеизвършва контрол на хора и моторни превозни средства и които са с най-нискониво на сигурност;
3. въвеждат контролиран режим на влизане, движение и излизане от зоната засигурност, както и задължително придружаване в тези зони на лица без право надостъп или с право на достъп до по-ниско ниво на класификация;
4. осигуряват съответен контрол над зоните за сигурност и административнитезони чрез служители от звената по сигурност и охрана;
5. въвеждат специален режим за съхраняване на ключове от помещения, касии други съоръжения, служещи за съхраняване на класифицирана информация.
За осигуряване защитата на класифицираната информация, представляващадържавна тайна, при срещи, разговори, съвещания, заседания и др., предмет накоито е такава информация, се въвеждат допълнителни мерки за сигурност срещуподслушване и наблюдение.
Средствата за физическа сигурност, сертифицирани за всяко ниво накласификация за сигурност, се определят в списък, утвърден от ДКСИ.
Сигурност на АИС/М
Сигурността на автоматизираните информационни системи (АИС) или мрежипредставлява система от принципи и мерки за защита от нерегламентиран достъпдо класифицираната информация, създавана, обработвана, съхранявана ипренасяна в АИС или мрежи.
Задължителните общи условия за сигурност на АИС или мрежи обхващаткомпютърната, комуникационната, криптографската, физическата и персоналнатасигурност, сигурността на самата информация на всякакъв електронен носител,както и защитата от паразитни електромагнитни излъчвания, определени внаредба, приета от Министерския съвет по предложение на председателя наДържавна агенция "Национална сигурност".
Задължителните специфични изисквания за сигурност на АИС или мрежи въввсяка организационна единица се определят от ръководителя на организационнатаединица по предложение на служителя по сигурността на информацията. Тезиизисквания подлежат на утвърждаване от Държавна агенция "Националнасигурност".
Не се допуска създаване, обработване, съхраняване и пренасяне накласифицирана информация в АИС или мрежи без наличието на издаденсертификат за тези АИС или мрежи по реда на този раздел.
Не се допуска включването на АИС или мрежи, предназначени за създаване,обработка, съхраняване и пренасяне на класифицирана информация към публичнимрежи като Интернет и други подобни електронни комуникационни мрежи.
Криптографска сигурност
Криптографската сигурност представлява система от криптографски методи исредства, които се прилагат с цел защита на класифицираната информация отнерегламентиран достъп при нейното създаване, обработка, съхраняване ипренасяне.
Административнонаказателна отговорност по Закона за защитата накласифицираната информация
Основание за налагане на административни наказания по ЗЗКИ е кактоизвършването на нарушения, така и допускането на тяхното извършване. Взначителен брой от съставите на нарушения по ЗЗКИ е предвидена отговорност заръководителя на организационната единица и за служителя по сигурността наинформацията, ако са допуснали извършването на нарушения от други лица, задействията на които е трябвало да осъществяват контрол.
Общи състави на нарушенията по ЗЗКИ
Съставът по чл.117 от ЗЗКИ – глоба от 2000 до 20 000 лв.
Нарушение на чл.17 от ЗЗКИ – чл.17 ЗЗКИ установява задълженията наорганизационните единици. съставът на нарушението по чл.117 от ЗЗКИ може дасе определи като общ състав с оглед на многобройните форми на деянията, чрезкоито той може да бъде осъществен.
Деянието:
неприлагане на изискванията за защита на КИ;
неосъществяване на контрол по спазването на изискванията за защита наКИ;
неуведомяване незабавно на ДКСИ в случай на нерегламентиран достъпдо КИ;
непредприемане на мерки за ограничаване на неблагоприятнитепоследици от нерегламентиран достъп до КИ;
непредоставяне на информация на ДКСИ, службите за сигурност ислужбите за обществен ред.
Задължението по чл.11, ал.4, т.6 ЗЗКИ – във връзка с извършването напроучванията за надеждност, издаването на потвържденията и осъществяването
на пряк контрол, службите за сигурност имат право да получават необходиматаинформация от държавни органи, органите на местното самоуправление,физически и юридически лица.
Ако лицето, от което е поискана информацията, има качеството ОЕкачество, отговорносттае на базата на чл.132.
Задължението по чл.16, ал.1, т.5 – службите за обществен ред имат право даполучават необходимата им във връзка с проучванията за надеждностинформация от ОЕ.
Съставът по чл.118 ЗЗКИ
Деяние:
За служители в организационни единици, получили разрешение за достъп доКИ:
да защитават КИ от нерегламентиран достъп;
да уведомяват незабавно ССИ за случаи на нерегламентиран достъп доКИ;
да уведомяват ССИ за всички случаи на промени на класифициранитедокументи и материали, при които не е налице нерегламентиран достъп;
да преминават периодични здравни прегледи наймалко веднъж на 2
години и психологически изследвания при условията на чл.42, ал.3 ЗЗКИ;
ако са получили разрешение за достъп до КИ с ниво на класификация„строго секретно“ трябва да информират писмено ССИ за всяко частнозадгранично пътуване преди датата на заминаването, освен ако пътуването е вдържави, с които Република България има сключени споразумения за защита наКИ;
• служителите на службите за сигурност и за обществен ред са длъжни да
уведомяват писмено ръководителите си за всяко задгранично пътуване.
За лица, получили разрешение за достъп до КИ във връзка с изпълнението наконкретно възложена задача: длъжни са да спазват реда и условията за защита наКИ.
Наказуемост – Глоба от 50 до 300 лв.
Съставът по чл.120 ЗЗКИ
„Който извърши нарушение, свързано с определянето на нивото на
класификация и маркирането на информацията с гриф за сигурност, както ипромяната или заличаването на грифа за сигурност”.
В тази връзка се предвиждат конкретни задължения, неизпълнението на коитопредставлява състав на административно нарушение. конкретните деяния, с коитоможе да се осъществи съставът на нарушение по чл.120, са:
• определяне на нивото на класификация, респ. определяне на гриф засигурност не от лицето, което има право да подпише документ, съдържащкласифицирана информация или удостоверяващ наличието на класифициранаинформация в материал.
В тази категория нарушения е и неопределянето на временен гриф засигурност от лицето, което е създало документ или материал, съдържащкласифицирана информация, когато е различно от лицето, което има право да гоподпише;
• маркиране с гриф за сигурност, който не съответства на нивото накласификация;
• поставяне, промяна и заличаване на грифа за сигурност не в рамките напредоставения на лицето достъп;
• неоснователна промяна на нивото на класификация на информацията;
• промяна или заличаване на нивото на класификация без съгласието налицето по чл.31, ал.1 или на негов вишестоящ ръководител;
• несъобщаване на получателите на информацията за промяната на нивото накласификация;
• неорганизиране на обучение от ръководителите на ОЕ на подчинените имслужители за условията и реда за маркиране на информацията.
Субект на административно наказателна отговорност:
• лице, което има право да подписва документа, съдържащ класифициранаинформация (лице по чл.31, ал.1);
• лице, което създава документ или материал, съдържащ КИ, но няма право даго подписва;
• вишестоящ ръководител на лицето по чл.31, ал.1;
• получател на информацията, чието ниво на класификация е променено;
• ръководител на ОЕ, който не организира обучение на подчинените си замаркиране на КИ;
Наказуемост – глоба от 100 до 500 лева.
Съставът по чл.129 ЗЗКИ
Който извърши или допусне извършването на нарушение по чл. 98, ал. 2 , сенаказва с глоба от 500 до 1000 лв.
Когато нарушението по ал. 1 е извършено при осъществяване на дейност наюридическо лице, на същото се налага имуществена санкция в размер от 1000 до5000 лв.
При извършване на проучването кандидатът попълва въпросник, определен справилника за прилагане на закона.
При последващо настъпване на промени в данните, попълнени от кандидатавъв въпросника той се задължава незабавно да уведоми за това органа, извършилпроучването.