Съдържание



страница8/13
Дата21.07.2016
Размер1.2 Mb.
1   ...   5   6   7   8   9   10   11   12   13

4.2Обучение


Всички потребители на EUROSUR (персоналът на НКЦ и на Агенцията) трябва да преминават адекватно обучение, за да изпълняват възложените им задачи в рамките на EUROSUR и по този начин да се гарантира функционирането на EUROSUR. В категориите на обучение по-долу са взети под внимание различните потребности на потребителите. Определянето на потребностите от обучение и подреждането им по приоритет е постоянен процес на сътрудничество между Агенцията и НКЦ. Годишният план за обучение на EUROSUR, поддържан от Агенцията, съдържа списък с потребностите от обучение. Организирането на дейности по обучение се извършва или в съответствие с този план за обучение, или по искане на потребители.

Категории на обучение

1. Обучение за НКЦ

2. Техническо ИТ обучение


3. Обучение за приложението

Участници

Персонал на НКЦ (например мениджмънт, оператори, анализатори, ИТ персонал)

ИТ администратори на ECN (системни администратори, мрежови специалисти)

Обучители за държавите членки (умножаващи броя на обучителите)

Съдържание

1. Ежедневно рутинно управление и управление на кризи, включително спазване на основните права

2. Обмен на опит и добри практики

3. Подобряване на сътрудничеството на НКЦ, включително обмен на персонал


1. Архитектура на ECN

2. Задачи по поддръжка



1. Използване на приложението от различни роли (зрител, оператор)

2. Управление на приложението за управляващи информацията и управляващи приложението



Организация и срокове

Планирано: Периодично за всички НКЦ

При поискване: На регионално/двустранно равнище

Планирано: Периодично или в случай на промяна (например нова версия/компонент)

При поискване: Например установен е специфичен технически проблем или е необходима специфична промяна

Планирано: Периодично или в случай на промяна (например нова версия/нов компонент)

Предоставено от:

Избрани НКЦ са домакини на обучението, в сътрудничество с Агенцията

Агенцията


Националните обучители на държавите членки и Агенцията




Категории на обучение

4. Оперативно обучение/обучение по съдържание

5. Обучение за развиване на уменията

6. Специализирано обучение

Аудитория

Избрани потребители в зависимост от конкретните роли и отговорности

Избрани потребители в зависимост от конкретните роли и отговорности

Избрани потребители в зависимост от конкретните роли и отговорности

Съдържание

Категория на събитията,

аналитична категория,

оперативна категория,

общо прилагане на наблюдателни средства



Съдържание на услугите на EUROSUR (например анализ на сателитни изображения, основни права, обучение по сигурност на информацията)

Специфична потребност, например:

ако държави членки се присъединят към EUROSUR,



системата на EUROSUR е взаимосвързана с националните системи

Организация и срокове

Планирано: Периодично или в случай на промени (например внедряване на нова услуга, нов обхват на информацията, нови изисквания за докладване);

При поискване: Вследствие на установяване на специфична тема, която не е включена в плана за обучение на EUROSUR

Планирано: Периодично или в случай на промени (например внедряване на нова услуга, нов обхват на информацията, нови изисквания за докладване);

При поискване: Вследствие на установяване на специфична тема, която не е била включена в плана за обучение на EUROSUR

При поискване: Например поради извънредни обстоятелства

Предоставено от:

Агенцията

Агенцията (в сътрудничество с партньори, например Сателитния център на ЕС)

Агенцията в сътрудничество с партньори

4.3Политика на сигурност и управление на сигурността54

4.3.1Цели, свързани със сигурността


ECN позволява сигурна работа, съхранение, предаване и обработване на класифицирана информация на ЕС (КИЕС) до ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED.

4.3.1.1Видове информация


Агенцията и националните координационни центрове трябва да гарантират, че КИЕС е подходящо класифицирана, ясно обозначена като класифицирана информация и запазва нивото си на класификация само докато това е необходимо. ECN съдържа следните видове информация:

  • класифицирана информация: това включва информация относно активите и цялата информация, класифицирана от притежателя ѝ като RESTREINT UE/EU RESTRICTED;

  • чувствителна некласифицирана информация: цялата информация, която не е класифицирана, трябва да се счита за чувствителна некласифицирана информация;

  • лични данни, свързани с идентификационни номера на кораби, и данни, отбелязани в НКС като лични данни от притежателя.

Притежателите на информация носят отговорност за определянето, актуализирането и понижаването на нивата на класификация на информацията. Свързаният със собствен актив артефакт се отбелязва в ECN като RESTREINT UE/EU RESTRICTED дори ако не е отбелязан като такъв от създателя му. Потребителите не могат да декласифицират тези артефакти. Създателят на документа трябва да предостави предварително писмено съгласие за понижаване на нивото на класификация или декласифициране на всяка друга КИЕС, както и за изменение или премахване на която и да е от маркировките.

4.3.1.2Защита на чувствителна некласифицирана информация и на отбелязаната като ,,EU RESTRICTED“ информация


Агенцията трябва да защитава чувствителната некласифицирана и класифицираната информация на ЕС в съответствие с член 11, буква г) от Регламент (ЕО) № 2007/2004, според който Агенцията е длъжна да прилага правилата за сигурност на Комисията.55 Цялата некласифицирана информация, с която се работи в рамките на EUROSUR, трябва да се счита за „чувствителна некласифицирана“. Винаги когато е технически възможно, тази информация трябва да бъде отбелязвана в ECN като „LIMITED“.

Ако националните координационни центрове споделят в ECN класифицирана информация, която носи маркировка за национална класификация за сигурност, Агенцията трябва да защитава тази информация в съответствие с изискванията, приложими за КИЕС на еквивалентното равнище, както е описано в таблицата на еквивалентността на класификациите за сигурност. НКЦ трябва да обменят, обработват и съхраняват в ECN некласифицирана чувствителна и класифицирана информация в съответствие с националните правила и оперативните процедури за сигурност, определени в акредитацията за сигурност на ECN.


4.3.1.3Разрешение за достъп на служител


Критериите за определяне на това дали на дадено лице може да бъде предоставен достъп до КИЕС се основават на неговата благонадеждност и лоялност.

4.3.1.4Предоставяне на достъп до класифицирана информация на ЕС — принципи


Физическо лице получава достъп до класифицирана информация само когато:

  • има необходимост да знае тази информация;

  • е било инструктирано за правилата и процедурите за сигурност за защита на КИЕС и е приело своята отговорност за защитата на тази информация; и

  • ако по силата на националните законови и подзаконови актове е получило достъп до класифицирана информация на съответното равнище.

4.3.1.5Контрол на потребителския достъп


Достъпът до ECN и приложението на ECN се управлява въз основа на следните принципи за сигурност:

  • разрешенията за достъп до ECN и приложението на ECN трябва да се предоставят въз основа на индивидуална идентификация и автентификация;

  • разрешенията за достъп на потребители трябва да бъдат ограничени въз основа на „необходимост да се знае“;

  • отпускането и използването на привилегировани акаунти трябва да бъдат сведени до минимум;

  • ИКТ системите трябва да бъдат конфигурирани така, че да налагат тази политика технически;

  • разрешенията на потребителите трябва да се преразглеждат редовно чрез официален процес на преразглеждане.

Потребителите получават достъп до ECN посредством процес за гарантиране на сигурността, състоящ се най-малко от въвеждане и проверка на име и парола за вписване в съответствие със стандартите на Агенцията. Това правило важи и за взаимосвързаните системи с изключение на междусистемната връзка посредством интерфейса за интегриране на възли на EUROSUR, при която се прилага национална автентификация.

Агенцията и държавите членки управляват своите потребители, като създават, изменят, блокират и заличават техните акаунти и им дават подходящи разрешения за достъп до ECN, за да извършват своите задачи. За тази цел те прилагат политика за управление на потребителите на ECN, за да гарантират, че съответното лице, носещо отговорност за тази област, разглежда внимателно създаването на акаунти и свързаните с тях разрешения в зависимост от това дали потребителят има разрешение за достъп или еквивалентно национално разрешение най-малко на равнище RESTREINT UE/EU RESTRICTED или на еквивалентно национално ниво, както и в зависимост от принципа „необходимост да се знае“. Това лице извършва годишен преглед на потребителите на ECN и на техните разрешения. В резултат на този преглед той нанася необходимите промени в статуса на акаунтите и техните разрешения.

В документацията за акредитация са изложени подробни правила и изисквания.

4.3.2Мерки за физическа сигурност


С КИЕС, която е класифицирана като RESTREINT UE/EU RESTRICTED, може да се работи в „административните зони“. Агенцията и НКЦ трябва да определят дали дадена зона отговаря на изискванията, преди да бъде определена като административна зона. Това означава, че:

  • е определен видимо очертан периметър, който да позволява проверка на лицата и при възможност — на превозните средства;

  • непридружен достъп се разрешава само на лица, надлежно оправомощени от компетентния орган; и

  • всички останали лица се придружават по всяко време или подлежат на равностойни проверки.

4.3.3Защита на информацията, с която се борави в комуникационни и информационни системи

4.3.3.1Акредитация на ECN


ECN и взаимосвързаните системи за комуникация и информация трябва да преминават процес на акредитация, както е описано в Меморандума за разбирателство, подписан между държавите членки и Агенцията. Чрез процеса на акредитация се проверява дали са приложени всички подходящи мерки за сигурност и дали КИЕС и системата за комуникация и информация са в достатъчна степен защитени. В декларацията за акредитация се определя най-високото ниво на класификация за сигурност на информацията, с която може да се работи в дадена комуникационна и информационна система, както и съответните изисквания и условия за това. Процесът на акредитация се управлява от Агенцията, която е органът по акредитация , с подкрепата на държавите членки и в съответствие с насоките на Европейската комисия относно акредитацията на сигурността на ИТ системите.

Промени в системата се извършват при вземане под внимание на нуждата да се поддържа най-високото възможно ниво на сигурност. Това става чрез оценяване на рисковете, свързани с тези промени, определяне и прилагане на подходящи мерки за смекчаване на последствията и редовно тестване на ефективността на тези мерки за смекчаване. Големи промени в ECN могат да доведат до необходимостта от пълно повторно акредитиране на ECN в зависимост от резултата от оценката на риска, извършена с цел измерване на въздействието на промените върху сигурността.


4.3.3.2Връзка на други системи с мрежата


ECN може да бъде свързана с други системи, стига да са изпълнени условията по член 6 и приложения 1 и 5 от Меморандума за разбирателство. В тези случаи изискванията за акредитация са определени в Меморандума за разбирателство.

4.3.4Роли и отговорности в областта на сигурността

4.3.4.1Роли в областта на сигурността в Агенцията


Орган по акредитация на сигурността

Агенцията е органът по акредитация на сигурността за ECN. Тя носи отговорност за общата сфера на сигурността и за специализираните сфери на информационна сигурност, комуникационна сигурност и криптографска сигурност.

Служител на ECN по сигурността

Служителят по сигурността в Агенцията е служителят по сигурността на ECN, който отговаря за надзора над цялостната защита на КИЕС.

Централен служител по компютърна сигурност на ECN

Служителят по информационна сигурност в Агенцията е централният служител по компютърна сигурност на ECN. Той носи отговорност да гарантиране, че нивото на сигурност на ECN се поддържа на подходящото равнище и че всички докладвани инциденти в областта на ИТ се записват, анализират и разрешават в тясна връзка с държавите членки, когато е необходимо.

Служител по сигурността на ИКТ на Агенцията

На служителя по сигурността на ИКТ на Агенцията е възложена задачата да контролира наблюдението над аспектите на сигурността на ECN и да разследва всички докладвани инциденти.

Собственик на техническите системи

Собственикът на техническите системи отговаря за изпълнението и функционирането на проверките и специфичните елементи на сигурността в ECN. Той конкретизира стандартите и практиките на сигурност, които доставчикът на системата трябва да спазва, и отговаря за изготвянето на оперативните процедури за сигурност.

Длъжностно лице за защита на данните

Длъжностното лице за защита на данните гарантира, че с личните данни в ECN се работи в съответствие с правилата и регламентите за защитата на личните данни, приложими към Агенцията.

4.3.4.2Роли в областта на сигурността в държавите членки


Всяка държава членка определя лице за изпълнение на следните роли:

  • Лице, отговарящо за организацията на НКЦ и за мерките за физическа сигурност в НКЦ (например ръководителят на НКЦ). Определеното за тази роля лице трябва да гарантира, че:

  • са налице мерки за физическа сигурност с цел защита на оборудването, свързано с ECN, и за да се гарантира, че само упълномощени лица в НКЦ имат достъп до него, включително (ако е приложимо) хора в децентрализираните служби и всички останали системи, използвани в НКЦ, които са свързани с ECN;

  • всички изложени в националните стандарти, националните правила и в Меморандума за разбирателство политики и процедури, необходими за защита на класифицирана и чувствителна некласифицирана информация, съхранявана и използвана в ECN или извличана и обработвана извън нея, се прилагат в НКЦ и се използват от персонала на НКЦ (например маркиране на информация или документи, работа с класифицирани документи, надзор над прилагането на процедура за определяне на правилното ниво на разрешения за потребителите на ECN и периодичното им преразглеждане);

  • са налице процедури в съответствие с националните правила за акредитация (или еквивалентна процедура) за системи, които са свързани с ECN; за това ще бъде необходима връзка с всички съответни национални органи в държавата членка.

  • Служител по компютърна сигурност на Националния координационен център (СКС НКЦ).

СКС НКЦ наблюдава аспектите на сигурността на свързаните с ECN мрежи и разследва всички докладвани инциденти. Ако е необходимо, СКС НКЦ ще бъде подпомаган от ИКТ звеното на Агенцията, при което ролята на звено за контакт се изпълнява от служителя по сигурността на ИКТ на Агенцията.

Освен това всяка държава членка трябва да възложи на един от тези служители задачата да уведомява Агенцията за инциденти, свързани със сигурността, които могат да засегнат възела на ECN на Агенцията или услугите по техническо управление на ECN, и да уведомява всяка/всички друга(и) държава(и) членка(и) за всички инциденти със сигурността, които могат да засегнат техния възел на ECN.


4.3.4.3Други роли — както в Агенцията, така и в държавите членки


Притежател на информацията: Притежателят на информацията отговаря за КИЕС и друга информация, която е добавена към, обработвана в и създавана от техническите системи.

Потребители: Всички потребители носят отговорност за прилагане на политиките и процедурите и за гарантиране, че действията им не засягат неблагоприятно сигурността на системата, която използват.

4.3.5Механизми за контрол и процедури за докладване в случай на нарушение на сигурността


Всяко поведение на който и да е компонент от ECN или взаимосвързана система, което би могло да доведе до предположение, че в ECN е възникнал или възниква инцидент, свързан със сигурността, или е възможно да се засегне ECN, трябва незабавно да бъде докладвано на СКС НКЦ и анализирано от него. Ако анализът на СКС НКЦ потвърди, че рискът е висок, той трябва незабавно да докладва инцидента на Агенцията в съответствие с правилата и процесите, изложени в документацията за акредитация .
1   ...   5   6   7   8   9   10   11   12   13


База данных защищена авторским правом ©obuch.info 2016
отнасят до администрацията

    Начална страница