Раздел I. Изисквания за свързаност между информационните системи на

помежду си за нуждите на предоставяне на вътрешни електронни административни услуги

чрез ЕСОЕД.

(2) Изключения по ал. 1 се допускат:

1. когато администрацията не разполага с техническа възможност за обмен на документи през

ЕСОЕД;

или други причини.

комуникационните интерфейси и протоколите за обмен трябва да съответстват на

задължителните стандарти и нормативните актове, вписани в раздел "Комуникация и

процедури за обмен" на регистъра на стандартите.

(2) В случаите по ал. 1, когато документи се изпращат онлайн по стандартизиран протокол

чрез публичнодостъпно уеббазирано приложение, комуникационните интерфейси и

протоколите за обмен трябва да съответстват на задължителните стандарти, вписани в

регистъра на стандартите.

органи се допуска само в случаи, когато техническите средства, работещи в условията на

оперативна съвместимост, не удовлетворяват особени изисквания за интегритет, бързо

действие и конфиденциалност.

(2) Изграждането на директни връзки по ал. 1 не отменя задължението за предоставяне на

услуги към други администрации чрез ЕСОЕД.

(3) Изграждането на директни връзки по ал. 1 се извършва в съответствие с Наредбата за

вътрешния оборот на електронни документи и документи на хартиен носител в

администрациите, приета с Постановление № 101 на Министерския съвет от 2008 г. (ДВ, бр.

48 от 2008 г.).

съгласно чл. 6 се удостоверява чрез сертификация на заданието за изграждане на директна

връзка по реда на чл. 102, ал. 1, т. 2.

(2) Използването на вече изградена директна връзка между информационните системи на два

административни органа от трети се счита за самостоятелно изграждане на директна връзка и

за изграждането й се спазват правилата по ал. 1.

132

Раздел II.

Изисквания за оперативна съвместимост по отношение на данните

Чл. 8. (1) Представянето на цифри, букви, препинателни знаци и други символи в

информационните системи на административните органи трябва да се осъществява чрез

стандартите, вписани в раздел "Интеграция на данните" на регистъра на стандартите.

(2) Представянето на илюстрации, фотографии и мултимедия трябва да се осъществява чрез

стандартите, вписани в раздел "Потребителски интерфейси" на регистъра на стандартите.

(3) За компресиране на предаваните данни при осъществяване на електронна

административна услуга трябва да се използват следните методи, съответстващи на

стандарти, вписани в регистъра на стандартите:

1. за текстови файлове - методи за компресия без загуба;

2. за илюстрации, фотографии, мултимедия и други може да се използват и методи за

компресия със загуба.

Чл. 9. Администрациите използват в своята дейност само унифицирани описания на данни,

регистрирани в съответните раздели на u1088 регистъра на регистрите и данните, в съответствие с

чл. 8 от Наредбата за вътрешния оборот на електронни документи и документи на хартиен

носител в администрациите.

създава унифицирано описание на тези данни и започва да ги използва след тяхната

регистрация в регистъра на регистрите и данните съгласно чл. 3, ал. 2 от Наредбата за

вътрешния оборот на електронни документи и документи на хартиен носител в

администрациите.

Чл. 11. Контролът за използването на унифицирани описания на данни от администрациите се

извършва при проверка на вътрешните им правила, създадени съгласно Наредбата за

вътрешния оборот на електронни документи и документи на хартиен носител в

администрациите.

проектите на нормативни актове по отношение на спазване на изискването за използване само

на унифицирани описания на данни, вписани в регистъра на регистрите и данните, след

становище на съвета по вписванията.

описания на данни само когато те са вписани в регистъра на регистрите и данните като

унифицирани данни.

(2) Формализираните описания по ал. 1 трябва да имат същия състав, както съответните

описания на данните, регистрирани в регистъра на регистрите и данните.

(3) Създаването на формализирани описания се извършва съгласно критерии и правила за

прилагането им за вписвания, утвърдени от министъра на държавната администрация и

административната реформа съгласно чл. 32 от Наредбата за регистрите на информационните

обекти и регистъра на електронните услуги, приета с Постановление № 98 на Министерския

съвет от 2008 г. (ДВ, бр. 48 от 2008 г.).

133

държавната администрация и административната реформа чрез Съвета u1087 по вписванията.

издавани от тях към други лица и организации, трябва да бъдат с организация на данните в

тях, съответстваща на вписаната в регистъра на информационните обекти.

(2) Електронните документи по ал. 1 трябва да съдържат валидни данни съгласно вписаните

изисквания за това в регистъра на информационните обекти.

Раздел IV.

Изисквания за оперативна съвместимост по отношение на приложения за

визуализация и/или редактиране на електронни документи

Чл. 15. (1) Приложенията за визуализация на електронни документи, вписани в регистъра на

информационните обекти, и приложенията за редактиране на електронни документи, вписани

в регистъра на електронните услуги, трябва да отговарят на изискванията на този раздел.

(2) Приложенията по ал. 1 трябва да бъдат сертифицирани за съответствие с изискванията за

оперативна съвместимост и информационна сигурност.

Чл. 16. (1) Приложенията, за които успешно е приключила процедура по сертификация, се

вписват в списъка на сертифицираните информационни системи.

(2) Ако приложения, сертифицирани по ал. 1, се вписват и в регистъра на информационните

обекти, те се предоставят за безплатно ползване чрез осигуряване на достъп за зареждане на

инсталационен комплект от списъка на сертифицираните информационни системи.

(3) Председателят на ДАИТС осигурява съответствието между приложението, подлежащо на

инсталация, с публично достъпния инсталационен пакет и сертифицираното приложение.

Чл. 17. Приложенията, осигуряващи само визуализация на електронни документи, трябва да

визуализират съдържанието им, като:

1. съдържанието на всички данни се визуализира съгласно указанията, вписани при тяхната

регистрация в регистъра на информационните обекти;

2. за всички данни се визуализира наименованието, с което те са вписани в регистъра на

информационните обекти;

3. за всички данни е осигурен достъп до текста на тяхното определение, с който те са вписани

в регистъра на информационните обекти чрез подходящ интерфейс;

4. за всички данни е осигурена индикация за наименованието на грешка съгласно тяхната

регистрация в регистъра на информационните обекти, ако проверката за тяхната валидност е

неуспешна;

134

е вписана в регистъра на информационните обекти чрез подходящ интерфейс.

по визуализация на съдържание на електронен документ по чл. 17 трябва да съдържат и

функции за:

1. запис и четене на файлово съдържание на електронен документ във и от средата на файлова

система, намираща се пряко под контрол на потребителя на приложението за редактиране,

включително разположена върху преносим физически носител;

2. въвеждане, коригиране и изтриване на стойност за всички данни в електронен документ.

Чл. 19. (1) Приложенията трябва да осигуряват възможност за установяване на

несъответствия в съдържанието на визуализиран или редактиран документ с регистрацията му

в регистъра на информационните обекти.

(2) Приложенията трябва да сигнализират за установените несъответствия чрез визуализация

на съответната грешка съгласно регистрацията на документа в регистъра на информационните

обекти.

документ от вида "Регистрирани грешки в съдържание на документ", генериран от

приложението.

(4) Документът по ал. 3 се заявява за вписване в регистъра на информационните обекти от

председателя на ДАИТС.

Раздел V.

Оперативна съвместимост по отношение на информационни системи

Чл. 20. (1) Административните информационни системи съгласно чл. 4 и следващите от

Наредбата за вътрешния оборот на електронни документи и документи на хартиен носител в

администрациите трябва да отговарят на изискванията на този раздел.

(2) Правилата на този раздел се отнасят и за специализираните информационни системи,

осигуряващи изцяло или частично функциите на административна информационна система,

доколкото създават електронни документи, регламентирани в Наредбата за вътрешния оборот

на електронни документи и документи на хартиен носител в администрациите.

Чл. 21. (1) При автоматично създаване на електронни документи от информационна система

проверка за изпълнение на изискванията на чл. 14 се извършва по време на създаването.

(2) При неуспешна проверка по ал. 1 създаването се прекратява и за това се уведомява

служителят, осъществяващ функции по обработка в неавтоматизиран режим или

контролиращ автоматичното изпълнение на етап от услуга или процедура, при което се

извършва създаването на документа.

(3) Проверката по ал. 1 се извършва от сертифицирано приложение за проверка за оперативна

съвместимост на електронни документи, интегрирано в информационната система.

(4) Наличието на приложението по ал. 3 е задължителна предпоставка за сертификация на

информационна система.

135

съдържащи се в тях данни в случаи на непредвидени обстоятелства, като позволяват

извеждане на данните от тях в съдържанието на електронен документ от вида "Данни за

пренос между информационни системи" и въвеждането им в друга административна

информационна система.

(2) Данните, подлежащи на извеждане съгласно ал. 1, са определени като състав и съдържание

в Наредбата за вътрешния оборот на електронни документи и документи на хартиен носител в

администрациите.

(3) Председателят на ДАИТС заявява вписване на документ от вида по ал. 1 в регистъра на

информационните обекти.

1. съдържанието на данните се визуализира съгласно указанията, вписани при тяхната

регистрация в регистъра на информационните обекти;

2. за _________съответните данни се визуализира наименованието, с което те са вписани в регистъра на

информационните обекти;

3. за съответните данни е осигурен достъп чрез подходящ интерфейс до текста на тяхното

определение, с който са вписани в регистъра на информационните обекти.

Глава трета.

ИНФОРМАЦИОННА СИГУРНОСТ

Раздел I.

Политика за информационна сигурност

Чл. 24. Всички информационни системи на административните органи трябва да отговарят на

изискванията и политиката за мрежова и информационна сигурност с оглед защитата им

срещу неправомерен или случаен достъп, използване, правене достояние на трети лица,

промяна или унищожаване, доколкото такива събития или действия могат да нарушат

достъпността, автентичността, целостта и конфиденциалността на съхраняваните или

предаваните данни, а също така на предоставяните електронни услуги, свързани с тези мрежи

и системи.

Чл. 25. (1) За постигане на мрежова и информационна сигурност ръководителите на

администрациите провеждат собствена политика, съобразена със спецификата на

административните процеси в конкретната администрация, като предприемат съответни

административни и технологични мерки.

(2) Политиките на отделните административни органи и предприеманите мерки трябва да

отговарят на общите принципи съгласно приложение № 1.

136

Раздел II.

Организация на мрежовата и информационната сигурност

Чл. 26. (1) Ръководителите на администрациите отговарят пряко за мрежовата и

информационната сигурност в администрациите.

(2) Ръководителите на администрациите разработват и утвърждават вътрешни правила за

мрежовата и информационната сигурност на техните информационни системи и за видовете

информационен обмен, който се извършва между тях.

(3) Вътрешните правила по ал. 2 се изграждат по модела на "Системи за управление на

информационната сигурност", регламентиран с изискванията на международния стандарт ISO

27001:2005 и в съответствие с изискванията на наредбата.

(4) Ръководителите на администрациите издават заповеди за разпределение u1085 на отговорностите

на своите служители за гарантиране на мрежовата и информационната сигурност на

използваните информационни системи.

Чл. 27. (1) Ръководителите на администрациите осигуряват сертификация на вътрешните

правила като "Система за управление на информационната сигурност" по смисъла на ISO

27001:2005 от оправомощена за това организация.

(2) Ръководителите на администрациите организират комплексни проверки за оценяване

степента на постигнатата мрежова и информационна сигурност в използваните от тях

информационни системи в съответствие с клауза 7 от ISO 27001:2005.

(3) Резултатите от сертификацията по ал. 1 и от проверките по ал. 2 се предоставят незабавно

и на председателя на ДАИТС за целите на текущия контрол в съответствие с чл. 60 от Закона

за електронното управление.

(4) Предоставянето на информацията по ал. 3 се осъществява като вътрешна електронна

административна услуга, която председателят на ДАИТС разработва и вписва в регистъра на

електронните услуги.

звено, отговарящо за мрежовата и информационната сигурност.

(2) Служителят или звеното по ал. 1 са пряко подчинени на ръководителя на

администрацията.

(3) Функциите на служителя или на звеното по информационна сигурност са описани в

приложение № 2.

(4) Когато администрация към административен орган има териториални структури и

разпределени информационни системи, служител, отговарящ за информационната сигурност,

се определя и във всяко териториално звено.

Чл. 29. Ръководителите на администрациите осигуряват необходимата инфраструктура за

гарантиране на информационната сигурност на използваните от тях информационни системи

съгласно вътрешните правила по чл. 26, ал. 2.

Чл. 30. (1) Към председателя на ДАИТС се създава Съвет за мрежова и информационна

сигурност на информационните системи на административните органи като

постояннодействащ консултативен орган за координиране на дейността за постигане на

мрежова и информационна сигурност на използваните информационни системи.

137

административните органи работи въз основа на правилник, утвърден от председателя на

ДАИТС.

(3) Периодично, но не по-малко от веднъж в годината Съветът за мрежова и информационна

състоянието на информационната сигурност.

тях вътрешни правила по чл. 26, ал. 2 раздел, осигуряващ оценка и управление на риска за

мрежова и информационна сигурност.

(2) Препоръчителните действия по оценка и управление на риска трябва да съответстват на т.

4.2.1 от ISO 27001:2005 и на приложение № 3.

(3) Потенциалните рискови фактори за мрежовата и информационната сигурност,

формулирани и класифицирани в международния стандарт ISO/IEC TR 13335:2000, са

посочени в приложение № 4.

достъпа до информационните ресурси.

(2) Контролът по упражняване на регламентиран достъп се извършва по правила и процедури,

посочени в приложение № 5.

неправомерен достъп от трети лица до ресурсите на техните информационни системи.

(2) Рискът от неправомерен достъп по ал. 1 се анализира в годишните доклади на Съвета за

мрежова и информационна сигурност.

(3) При наличие на неприемливо ниво на риска, регистриран по ал. 2, административният

орган планира и провежда необходимите действия за неговото намаляване.

правила по чл. 26, ал. 2 нивото на защита от неправомерен достъп до всеки информационен

актив съгласно следната класификация:

1. ниво "0" или "D" - ниво на свободен достъп;

2. ниво "1" или "С" - ниво на произволно управление u1085 на достъпа;

3. ниво "2" или "В" - ниво на принудително управление на достъпа;

4. ниво "3" или "А" - ниво на проверена сигурност.

Чл. 35. Ръководителите на администрациите са длъжни да предприемат необходимите

действия за създаване и поддържане на инвентарни списъци на наличните информационни

активи съгласно приложение № 6.

138

инциденти по отношение на информационната сигурност като административно звено в

специализираната администрация.

(2) Създаването на Националния център за действие при инциденти по отношение на

информационната сигурност се извършва в съответствие с методическите указания

(WP2006/5.1(CERT-D1/D2) на Европейската агенция за мрежова и информационна сигурност

(ENISA).

Чл. 37. Ръководителите на администрациите осигуряват мерките за сигурност при управление

на експлоатационните процеси в информационните системи, посочени в приложение № 7,

включително сигурността на електронните съобщения съгласно приложение № 8.

Чл. 38. (1) Служителят или звеното по информационна сигурност следи за неправомерно

инсталиран софтуер на работните станции или сървъри и взема мерки за неговото

отстраняване.

(2) Ръководителите на администрациите осигуряват необходимите технически и

организационни средства за извършване на контрола по ал. 1, включително в случаите на

териториална отдалеченост.

чрез системи за управление на бази данни.

(2) Системите за управление на бази данни трябва да бъдат сертифицирани в съответствие с

международния стандарт ISO/IEC 15408:2005, определящ т.нар. "Common Criteria for

Information Technology Security Evaluation (CC)", или националните му приложения, като "ITGrundschutz

Methodology" на BSI (Германия), или с американския федерален профил "US

Government Protection Profile for Database Management System in Basic Robustness

Environments".

(3) При осигуряване на многопотребителски достъп до съдържанието на електронни

документи информационните системи трябва да осигуряват функциите по заключване и

отключване на документи за осигуряване на съвместна работа u1089 с документи.

(4) Минималното ниво на защита на достъпа до ресурсите на информационните системи в

администрацията трябва да бъде "1" или "С".

Раздел V.

Защита срещу нежелан софтуер

Чл. 40. Защитата срещу нежелан софтуер в информационните системи на администрацията се

организира от служителите или звената, отговарящи за мрежовата и информационната

сигурност в съответната администрация.

Чл. 41. Мерките за защита срещу нежелан софтуер са посочени в приложение № 9.

Наредба за общите изисквания за оперативна съвместимост

и информационна сигурност

139

сигурност поддържа актуална информация за всички опити за проникване на нежелан

софтуер в информационните системи на административните органи, както и за предприетите

действия за защита от тях.

инцидентите, настъпили в използваните от тях информационни системи, като създават

указания за извършването му в утвърждаваните от тях вътрешни правила.

(2) Мониторингът по ал. 1 се регламентира във вътрешните правила за мрежовата и

информационната сигурност в съответствие с т. 4.2.3 от ISO 27001:2005 и приложение № 10.

Чл. 44. В годишните доклади за състоянието на информационната сигурност на

информационните системи на администрациите, приемани от Съвета за мрежова и

информационна сигурност на информационните системи на административните органи,

задължително се включва информация за мониторинга на събитията и инцидентите и за

неговата ефективност.