Раздел VII. Физическа сигурност и защита на околната среда

техните информационни системи.

(2) Режимът за защита се урежда с вътрешните правила за мрежовата и информационната

сигурност в съответствие с приложение № 11.

на информационните системи от природни u1073 бедствия.

(2) Ръководителите на администрациите застраховат риска от щети от природни бедствия на

информационните системи в рамките на задължителните годишни застраховки.

не могат да получат физически достъп до работните станции и сървърите, използвани от

администрацията.

Раздел VIII.

Управление на инциденти, свързани с информационната сигурност

140

свързани с мрежовата и информационната сигурност на използваните от тях информационни

системи, с цел осигуряване непрекъсваемост на дейността на съответната администрация.

Планът трябва да съответства на изискванията на приложение № 12.

са длъжни да уведомяват незабавно Националния център за действие при инциденти по

отношение на информационната сигурност за всеки инцидент в информационните системи на

администрацията.

административните органи периодично обсъжда и предлага на председателя на ДАИТС за

утвърждаване препоръчителни управленски мерки за предотвратяване на инциденти в

информационната сигурност.

правила по чл. 26, ал. 2 раздел, регламентиращ мерки по сигурността, свързани със

служителите в администрацията, в съответствие с приложение № 13.

Чл. 52. Ръководителите на администрациите определят профили за достъпа на различните

групи служители до ресурсите в информационните системи в съответната администрация.

съдържаща техническите u1089 стандарти и спецификации, които трябва да се прилагат от

административните органи за предоставяне на електронни услуги, както и за осигуряване на

оперативна съвместимост и информационна сигурност.

лица.

обстоятелства и техните елементи.

(2) Регистърът се осъвременява в съответствие с динамиката на международните

стандартизационни процеси и възможностите за прилагането им в текущия момент.

141

функциониране на вече реализираните решения, освен ако използваните в тези решения

стандарти биха довели до нарушаване изискванията на информационна сигурност.

Чл. 56. Председателят на ДАИТС създава организация за:

1. разпространение на знание относно прилагането на стандартите, осигуряващи оперативна

съвместимост на информационните системи и информационна сигурност;

2. предложения пред Българския институт за стандартизация за приемане на международни

или европейски стандарти като български държавни стандарти;

3. предложения пред Българския институт за стандартизация за разработване на нови

български държавни стандарти.

Раздел II.

Подлежащи на вписване обстоятелства

Чл. 57. Стандарти по смисъла на наредбата са:

1. формални хармонизирани технически стандарти в областта на информационните

технологии, електронните комуникации и информационната сигурност, утвърждавани от

междуправителствени стандартизационни органи, като ISO, ITU - на международно ниво, или

CEN, CENELEC, ETSI - на европейско ниво;

2. международно приети неформални и хибридни технически стандарти и спецификации в

областта на информационните технологии, комуникациите и информационната сигурност -

резултат от стандартизационни процеси от секторни консорциуми, като OASIS, IETF,

W3Consortium, UN/CEFACT, OMG.

Чл. 58. На вписване в регистъра на стандартите подлежат следните обстоятелства:

1. наименование на стандарт - вписва се пълното наименование на стандарта, установено от

международната организация, създала и поддържаща стандарта, в превод на български език и

в оригинал на английски език;

2. идентификатор на стандарт - вписва се кодов идентификатор на стандарта, установен от

международната организация, създала и поддържаща стандарта;

3. пояснение за стандарта - вписва се кратко текстово пояснение за стандарта;

4. версия - вписва се последната международно приета версия на стандарта;

5. дата - вписва се датата на приемане на последната международно приета версия на

стандарта;

6. организация - вписват се данни за организацията, създала и поддържаща стандарта;

7. текст - вписва се текст на стандарта, ако стандартът е публикуван със свободен достъп от

създалата го и поддържаща организация;

8. URL на публикация - вписва се електронният адрес (URL) на интернет страницата, от която

се осъществява достъп до указания за доставка на стандарта, ако той не е със свободен

достъп;

9. степен на приложимост - вписва се характеристика, която може да има стойности:

"задължителен", "препоръчителен", "под наблюдение", "бял списък", "сив списък" и "черен

списък";

"комуникация и процедури за обмен", "уеб-услуги", "интеграция на данни", "управление на

съдържанието и дефиниции на мета-данни", "потребителски интерфейси", "работни станции",

"вътрешна организация на дейността и работни процеси", "управление на електронната

идентичност" и "информационна сигурност";

11. обхват на приложимост - вписва се възможността за прилагане на целия стандарт или се

изброяват само съответните части от него;

12. URL партида - вписва се автоматично генерираният електронен адрес (URL) на интернет

страницата, от която се осъществява достъп до съдържанието на партидата на стандарта в

регистъра.

(2) Производство по вписване може да започне и по инициатива на председателя на ДАИТС

по предложение на Съвета по стандартите за оперативна съвместимост и информационна

сигурност по чл. 73.

(3) Лица извън посочените в ал. 1 и 2 могат да предложат на председателя на ДАИТС да

започне производство за вписване.

регистъра на стандартите:

1. вписване на стандарт;

2. вписване на промени в обстоятелствата за стандарт;

3. справка за вписванията в регистъра на стандартите за отделен стандарт или за стандарти по

определени критерии.

за:

2. заявление за вписване на допълнителни обстоятелства към вече вписан стандарт;

3. заявление за справка за вписванията в регистъра на стандартите;

4. справка за вписванията в регистъра на стандартите за отделен стандарт или за стандарти по

определени критерии.

(2) Образците по ал. 1 се вписват в раздел "Документи" на регистъра на информационните

обекти и се публикуват на интернет страницата на ДАИТС.

Наредба за общите изисквания за оперативна съвместимост

и информационна сигурност

143

обстоятелства включва:

1. приемане на заявлението за вписване;

2. проверка за допустимост и основателност на вписването;

3. проверка дали стандартът или новото обстоятелство е вече вписано;

4. извършване на вписването или издаване на мотивиран отказ за извършване на вписване;

5. уведомяване на заявителя за отказа да бъде извършено вписване.

(2) Проверките по т. 2 и 3 се извършват от Съвета по стандартите за оперативна съвместимост

и информационна сигурност.

Чл. 63. (1) Председателят на ДАИТС извършва вписване след становище на Съвета по

стандартите за оперативна съвместимост и информационна сигурност.

(2) Преди да постанови отказ, председателят на ДАИТС указва на заявителя на вписването да

отстрани нередностите.

(3) Отказ се постановява, ако в срок 14 дни от уведомлението по ал. 2 нередностите не бъдат

отстранени.

обстоятелства, определени в чл. 58.

(2) За всяка създадена партида се генерира уникален регистров идентификатор, състоящ се от:

1. уникален регистров идентификатор на регистъра на стандартите - вписва се уникалният

регистров идентификатор, създаден в регистъра на регистрите и данните при регистрацията

на регистъра на стандартите в него;

2. партиден номер - вписва се поредният номер на партида в регистъра на стандартите.

(3) За всяка партида се поддържа описание, включващо:

1. заявител на вписването - вписват се данни за административния орган, заявил вписването, а

в случаите по чл. 59, ал. 3 - ДАИТС;

2. уникален регистров идентификатор на заявлението за вписване - вписва се уникалният

регистров идентификатор на заявлението, с което е заявено вписването;

3. време на вписване - вписват се автоматично генерирани данни за времето на извършеното

вписване в регистъра;

4. служител, извършил вписване - вписват се автоматично данни, идентифициращи чрез

информационната система, поддържаща регистъра, служителя, извършил вписването в

регистъра.

включващо:

1. номер на вписване - вписва се автоматично генериран пореден номер на вписването по

обстоятелство в състава на партидата;

144

2. уникален регистров идентификатор на обстоятелство - вписва се уникален регистров

раздел "Унифицирани данни" на регистъра на регистрите и данните;

3. съдържание на обстоятелството - вписват се данните, формиращи съдържанието на

обстоятелството, подлежащо на вписване;

4. уникален регистров идентификатор u1085 на заявление за вписване - вписва се уникалният

регистров идентификатор на заявление, с което е заявено вписването;

5. заявител на вписването - вписва се наименование, единен идентификатор, адрес на

електронната поща и телефон на административния орган, заявил вписването, а в случаите по

чл. 59, ал. 3 - на ДАИТС;

6. време на вписване - вписват се автоматично генерирани данни за времето на извършеното

вписване в регистъра;

7. служител, извършил вписването - вписват се автоматично данни, идентифициращи чрез

информационната система, поддържаща регистъра, служителя, извършил вписването в

регистъра.

вписване на ново обстоятелство.

(2) След извършване на вписването по ал. 1 актуалното състояние на партидата на стандарта

отразява последното вписване.

изискванията на наредбата като система с клас на информационна сигурност 3 или А.

начин в зависимост от технологичната готовност на агенцията.

на партидите на стандартите към момента на проверката, както и на състоянието им към

определена дата назад във времето.

Чл. 72. (1) Всеки може да иска и извършва справка за вписванията в регистъра чрез интернет

страницата на ДАИТС.

(2) Справки могат да се получават и чрез услугата по чл. 60, т. 3.

(3) Справките в регистъра са безплатни.

145

съвместимост и информационна сигурност.

помощен консултативен орган и включва експерти, определени със заповед на председателя

на ДАИТС.

Чл. 75. Съветът по стандартите за оперативна съвместимост и информационна сигурност

взема решения относно допустимостта и основателността за извършване на вписванията в

регистъра на стандартите.

Чл. 76. (1) Съветът по стандартите за оперативна съвместимост и информационна сигурност

може да провежда заседания, ако присъстват повече от половината от неговите членове.

(2) Решенията на съвета се вземат с обикновено мнозинство.

(3) Правилата за работа на съвета се утвърждават от председателя на ДАИТС.

за вписване от Съвета по стандартите за оперативна съвместимост и информационна

сигурност в съответствие с документа "Общ метод за оценка на стандартите" ("Common

assessment method for standards and specifications" (CAMSS), разработван в рамките на

Програма IDABC на Европейската комисия.

Глава пета.

АКРЕДИТАЦИЯ НА ПРОВЕРЯВАЩИ ЛИЦА

Раздел I.

Общи положения

Чл. 78. Съответствието на внедряваните от администрациите информационни системи с

изискванията за оперативна съвместимост и информационна сигурност се удостоверява от

лица, акредитирани от председателя на ДАИТС.

Чл. 79. Акредитацията се извършва при спазване принципите на законност, независимост,

безпристрастност, публичност и равнопоставеност.

акредитираните лица, поддържан от председателя на ДАИТС.

146

Чл. 81. (1) За извършване на акредитация заявителите заплащат държавна такса, определена с

тарифата по чл. 57, ал. 3 от Закона за електронното управление.

(2) Когато се акредитира държавна или общинска администрация, тя не заплаща държавна

такса.

акредитация на лицата, извършващи сертифициране на информационни системи.

за сертификация, се уреждат с договор.

(2) За извършената оценка на акредитираното лице се дължи възнаграждение.

Раздел II.

Ред за акредитация на лицата, извършващи сертификация на информационни

системи

Чл. 84. (1) Лицата, които желаят да извършват сертифициране на информационни системи за

съответствие с изискванията за оперативна съвместимост и информационна сигурност,

подават до председателя на ДАИТС заявление по образец, утвърден от него.

(2) Заявлението съдържа:

1. уникален идентификатор, име, съответно наименование, на заявителя;

2. уникален идентификатор, име, телефон и адрес на електронна поща на представляващите

лица.

(3) Към заявлението се прилагат:

съответната дейност, включващ описание на техническите средства по тип и фабричен номер,

както и копие от техническите паспорти;

2. списък на персонала на акредитираното лице, извършващ дейностите по сертификация,

съдържащ имена, уникален идентификатор, образование, специалност и заемана длъжност,

както и документи, удостоверяващи образование и квалификация;

3. копие от договор за застраховка за вредите, които могат да настъпят вследствие на

неизпълнение на задълженията му, с размер на застрахователното покритие не по-малко от

100 000 лв.;

4. прилаганите процедури за сертифициране на информационни системи;

5. декларация за липсата на обстоятелства по ал. 4, т. 1, 2 и 4.

(4) Кандидатите трябва да отговарят на следните условия:

1. да не са обявявани в несъстоятелност и за тях да не е открито производство за обявяване в

несъстоятелност;

2. да не се намират в ликвидация;

3. да нямат публични парични задължения към държавата, установени с влязъл в сила акт на

компетентен орган;

4. едноличните търговци, съответно членовете на управителните органи на юридическите

лица, да не са лишени от правото да упражняват търговска дейност;

Наредба за общите изисквания за оперативна съвместимост

и информационна сигурност

147

(5) За проверка на обстоятелствата по ал. 4 председателят на ДАИТС събира информация от

първичните администратори на съответните данни, когато това е възможно.

(6) Образецът на заявлението се публикува на интернет страницата на ДАИТС.

дневен срок от датата на подаване на заявлението и приложенията към него.

(2) Председателят на ДАИТС отказва да предостави акредитация, когато е констатирал от

предоставените документи и извършените проверки, че заявителят:

1. не разполага с необходимите технически средства за извършване на заявената дейност;

2. не разполага с квалифициран персонал за извършване на заявената дейност;

3. не е направил изискуемата застраховка;

4. не отговаря на изискванията на чл. 84, ал. 4.

(3) Преди да постанови отказ, председателят на ДАИТС указва на заявителя на вписването за

отстраняване на нередностите.

(4) Отказ се постановява, ако в срок 14 дни от уведомлението по ал. 2 нередностите не бъдат

отстранени.

(5) Отказът да се предостави акредитация се обжалва по реда на

Административнопроцесуалния кодекс.

промяна в обстоятелствата, съдържащи се в заявлението за акредитация и в приложенията

към него, в 7-дневен срок от настъпване на промяната.

Чл. 88. (1) Преакредитацията е последващо потвърждаване на компетентността на

акредитираното лице за същата дейност.

(2) Преакредитацията се извършва по реда на първоначалната акредитация.

(3) Заявлението за преакредитация следва да се подаде в срок до един месец преди изтичането

на срока на валидност на акредитацията.

(4) Председателят на ДАИТС извършва преакредитацията в срока по ал. 3.

(5) При преакредитация се вписва промяна на обстоятелствата по чл. 137.

148

акредитацията.

(2) Контролът включва действия, извършвани от председателя на ДАИТС с цел да се осигури

непрекъснато съответствие на акредитираните лица с изискванията на наредбата и запазване

на доверието в качеството на предлаганите от акредитираните лица услуги.

(3) Контролът се извършва ежегодно за срока на валидност на акредитацията.

1. периодични проверки, които се провеждат въз основа на утвърдени от него програми;

2. проверка по сигнал за нарушения от страна на акредитирани лица и публикувани или

огласени критични материали в средствата за масово осведомяване.

(2) Контролът се извършва чрез въпросник-декларация, който се предоставя на

акредитираното лице за попълване.

(3) При необходимост председателят на ДАИТС може да изисква допълнително предоставяне

на информация.

(4) Акредитираното лице е длъжно да върне попълнения въпросник-декларация или да

предостави информацията в 14-дневен срок от датата на получаването.

Закона за електронното управление и наредбата от страна на акредитираните лица

председателят на ДАИТС може да отнеме акредитацията.

Чл. 92. За всяко акредитирано лице се води досие, в което се съхраняват информацията и

документите, предоставени от акредитираните лица.

когато акредитираното лице временно е в невъзможност да извършва дейностите, за които е

акредитирано.

Чл. 94. (1) Акредитацията се възобновява въз основа на заявление на акредитираното лице и

декларация за липса на промяна в обстоятелствата по чл. 84, ал. 4.

(2) Заявлението за възобновяване следва да се подаде в срок до един месец преди изтичането

на срока по чл. 93.

отбелязват в публичния списък на акредитираните лица.

149

1. е в трайна невъзможност да извършва дейностите, за които е акредитирано;

2. когато лицето не отговаря или престане да отговаря на някое от изискванията за

предоставяне на акредитация;

3. при съществено или системно нарушаване на разпоредбите на наредбата и другите актове,

регламентиращи дейността, за която е предоставена акредитацията;

4. при неизпълнение в срок на задължението за уведомяване по глава шеста, раздел IX от

наредбата;

5. в срока по чл. 94, ал. 2 не е предприело действия по възобновяване на акредитацията при

нейното спиране.

съдържанието на обстоятелството "срок на валидност на акредитацията" и основание за

отнемането.

(2) Прекратяване на акредитацията може да се впише по писмено заявление на

акредитираното лице с отбелязване на датата на заявяване на прекратяването за

обстоятелството в съдържанието на "срок на валидност на акредитацията".