Закон за електронното управление и наредбите към него ноември 2008 с ъ д ъ р ж а н и е закон за електронното управление

приложения, които са сертифицирани за съответствие с установените със Закона за

електронното управление и подзаконовите актове по прилагането му изисквания за

оперативна съвместимост и информационна сигурност.

1. информационни системи, предназначени за обработка и съхранение на класифицирана

информация;

2. информационни системи със специално предназначение (национална сигурност, отбрана и

др.).

Чл. 100. Сертификацията се извършва при спазване принципите на законност, независимост,

безпристрастност, публичност и равнопоставеност.

наредбата, се вписват в публичен списък на сертифицираните информационни системи,

поддържан от председателя на ДАИТС.

150

информационна сигурност подлежат задания за:

1. разработване или придобиване на административна информационна система;

2. изграждане на директна свързаност между информационни системи съгласно чл. 7;

3. разработване или придобиване на специализирани информационни системи по чл. 20, ал. 2.

(2) Сертификацията по ал. 1 се извършва по искане на заинтересуван административен орган.

информационна сигурност подлежи информационна система, която:

1. има функционалност съгласно изискванията на чл. 20;

2. е нова версия на информационна система, която е вече сертифицирана съгласно т. 1.

(2) Сертификацията по ал. 1 се извършва по искане на заинтересувано лице, доставящо или

разработващо информационната система.

информационна сигурност подлежат програмни приложения, които:

1. изпълняват функции по визуализация и/или редактиране на електронни документи съгласно

чл. 15;

електронни документи за съответствие с регистрацията им в регистъра на информационните

обекти.

(2) Сертификацията по ал. 1 се извършва по искане на заинтересувано лице, доставящо или

или други права на интелектуална или индустриална собственост върху проверяваните

информационни системи и програмни приложения.

Раздел III.

Сертификация на задания за оперативна съвместимост и информационна

сигурност

Чл. 106. (1) Заданието за разработване на информационна система трябва да съдържа изрично

и ясно указание дали то попада в обхвата на чл. 20.

(2) При липса на указание по ал. 1 или при несъответствие между указанието и изискванията

към информационната система акредитираното лице отказва сертификацията.

системи.

151

обекти, заинтересуваното лице представя набор от документи от същия вид, съдържащи

тестови данни за провеждане на тестове за съответствие с регистрацията в регистъра на

информационните обекти.

(2) В набора от документи по ал. 1 само един документ не трябва да съдържа отклонения от

регистрацията на съответния вид документ.

(3) Тестовете се създават по начин, позволяващ заложените в тях грешни стойности и

нарушенията в организацията на данните да представят всички възможни отклонения от

регистрацията на съответния вид документ в регистъра на информационните обекти.

(4) За всеки документ, съдържащ тестови данни по ал. 1, заинтересуваното лице представя

документ от типа "Регистрирани грешки в съдържание на документ", който съдържа описание

на грешките в тестовия документ съгласно вписаната в регистъра на информационните обекти

номенклатура на грешките за съдържащите се в документите информационни обекти.

(5) Отговорността за пълнотата на набора от документи, съдържащи тестови данни по ал. 1, е

на акредитираното лице, извършващо сертификацията.

Чл. 109. (1) Заедно с уведомлението за извършена сертификация акредитираното лице

изпраща на председателя на ДАИТС пълните набори от документи по чл. 108, ал. 1 и 4.

(2) Председателят на ДАИТС вписва наборите по ал. 1 в списъка на сертифицираните

информационни системи.

(3) Проверките по отношение на регистриран в регистъра на информационните обекти

документ, за който има вписани набори от документи по чл. 108, ал. 1 и 4, се извършват по

тези набори.

Чл. 110. (1) За всеки документ, регистриран в регистъра на информационните обекти, се

изготвя списък на данните, съдържащи се в документа.

(2) Списъкът по ал. 1 за тествания документ се изготвя като справка по чл. 15, т. 7 от

Наредбата за регистрите на информационните обекти и на електронните услуги.

уведомление от акредитирано лице при:

1. установяване на грешки в документите с тестове;

2. установяване на функционална непълнота в тестовете в набор от документи.

(2) Промените по ал. 1 се извършват от председателя на ДАИТС.

152

оперативна съвместимост и информационна сигурност на приложение за визуализация или

редактиране на електронни документи.

(2) Заинтересуваното лице представя на акредитираното лице инсталационен пакет на

приложението заедно с подробно ръководство за инсталация и използване.

Чл. 113. Акредитираното лице извършва следните проверки за установяване на техническата

функционалност на приложението за:

1. четене и визуализиране на съдържание на електронен документ от файл, записан в

информационната система, намираща се под контрол на потребителя, или записан върху

външен носител;

2. създаване на електронен документ от вида "Регистрирани грешки в съдържание на

документ", съдържащ резултатите от проверка на съхранения електронен документ, за

съответствие с регистрацията му в регистъра на информационните обекти;

3. наличие на функционалност за вярна и точна визуализация на всички грешки - резултат от

извършване на тестове с набора от документи, съдържащи тестови данни по чл. 108, ал. 1, при

изпълнение на проверката по т. 2;

4. наличие на функционалност за вярна и точна визуализация u1085 на съобщенията, съдържащи

наименованията и описанията на всички грешки, предизвикани при извършване на тестове с

набора от документи;

5. наличие на функционалност за вярна и точна визуализация на съдържанието,

наименованието и описанието на всички данни съгласно регистрацията на визуализирания

електронен документ в регистъра на информационните обекти.

Чл. 114. При сертификация за оперативна съвместимост и информационна сигурност на

приложение за редактиране на електронни документи освен проверките по чл. 113 се

извършват и проверки за установяване наличието на функционалност за:

1. запис на електронен документ като файл в информационната система, намираща се под

контрол на потребителя, включително върху външен носител;

2. създаване, изтриване и корекция на съдържанието на всички данни съгласно регистрацията

на електронния документ в регистъра на информационните обекти.

Чл. 115. (1) Резултатите от извършените проверки се отразяват в документ от вида "Резултати

от тестове за оперативна съвместимост по документ".

(2) Акредитираното лице, извършило проверките, подписва с електронен подпис документа

по ал. 1.

документа, се извършват за всеки от тях.

153

лице сертификат за оперативна съвместимост и информационна сигурност.

(2) Сертификатът за оперативна съвместимост и информационна сигурност на приложения

съдържа следните данни:

1. данни, идентифициращи сертифицираното приложение като модел, версия, конфигурация и

т.н.;

3. данни за акредитираното лице, издало сертификата;

4. обхват на сертификация, включваща видовете електронни документи, които поддържа

приложението.

визуализират или редактират u1089 със сертифицираното приложение, се извършват проверки за

сертификация само за новите документи.

Раздел VI.

Сертификация на приложения за проверка на електронни документи за

съответствие с регистрацията им в регистъра на информационните обекти

Чл. 119. (1) Заинтересувано лице може да поиска от акредитирано лице сертификация за

оперативна съвместимост и информационна сигурност на приложение за проверка на

електронни документи за съответствие с регистрацията им в регистъра на информационните

обекти.

приложението заедно с подробно ръководство за инсталация и използване.

функционалност на приложението за:

1. четене на съдържание на електронен документ от файл, записан в информационната

система, намираща се под контрол на потребителя, или записан върху външен носител;

2. създаване на електронен документ от вида "Регистрирани грешки в съдържание на

документ", съдържащ резултатите от проверка на съхранения електронен документ, за

съответствие с регистрацията му в регистъра на информационните обекти.

Чл. 121. За сертификацията на електронни документи за съответствие с регистрацията им в

регистъра на информационните обекти се прилагат съответно правилата на чл. 114 - 118.

154

Раздел VII.

Сертификация за оперативна съвместимост и информационна сигурност на

информационни системи

Чл. 122. (1) Заинтересувано лице може да поиска от акредитирано лице сертификация за

оперативна съвместимост и информационна сигурност на информационна система.

(2) Заинтересуваното лице представя на акредитираното лице инсталационен пакет на

приложението заедно с подробно ръководство за инсталация и използване.

(3) Заинтересуваното лице е длъжно да посочи:

1. данните относно сертификацията на приложение, интегрирано в информационната система,

което извършва проверка за оперативна съвместимост на електронни документи;

2. техническите изисквания u1082 към средата, в която ще се инсталира и тества информационната

система.

Чл. 123. Председателят на ДАИТС изгражда, поддържа и предоставя специална среда-

полигон за извършване на проверки за съответствие на информационните системи с

изискванията за оперативна съвместимост и информационна сигурност.

Чл. 124. (1) Заинтересуваното лице само извършва инсталирането на информационната

система в средата-полигон по чл. 123.

(2) Заинтересуваното лице осигурява технически сътрудник, който под ръководството на

акредитираното лице извършва въвеждане на данни и активиране на съответните функции в

информационната система.

Чл. 125. За всеки документ, създаден от административната информационна система, посочен

в приложение № 1 към Наредбата за вътрешния оборот на електронни документи и документи

на хартиен носител в администрациите, се проверява:

1. възможността за въвеждане в ръчен или автоматичен режим на стойностите на данните в

състава на проверяван документ;

2. възможността за генериране в ръчен или автоматичен режим на валиден документ от

проверявания тип, съдържащ данните, въведени по т. 1.

Чл. 126. Проверките за изпълнение на изискванията на чл. 22 се извършват в следната

последователност:

1. създадените при тестовете по чл. 125 електронни документи се въвеждат в

информационната система;

2. създава се документ "Данни за пренос между информационни системи";

3. проверява се наличието в документа по т. 2 на документите по т. 1 и данните, съпътстващи

въвеждането им;

4. въвеждат се в информационната система по три стойности за всеки вид поддържани от нея

данни и се проверява тяхната наличност в документа по т. 2.

Чл. 127. (1) Наборът от данни за проверката по чл. 126, т. 4 включва всички данни, описани в

Наредбата за вътрешния оборот на електронни документи и документи на хартиен носител в

155

агенцията в Сертификационен списък на данните, поддържани от административните

информационни системи.

(2) За всички данни по ал. 1 се извършва проверка за:

1. вярна и точна визуализация на наименованието на данните;

2. вярна и точна визуализация на определението на данните.

информационна сигурност по чл. 39.

сертификат за оперативна съвместимост и информационна сигурност при изменение на

обстоятелствата, вписани в сертификата.

Чл. 130. Промяна в издаден сертификат се извършва чрез преиздаване на сертификата, ако

променените обстоятелства не засягат изискванията за информационна сигурност и

оперативна съвместимост.

Раздел IX.

Задължение за уведомяване. Събиране на информация

Чл. 131. Заинтересувани лица, получили сертификат за съответствие на информационна

система, са длъжни да уведомят незабавно акредитираното лице, издало съответния

сертификат, за всяка промяна в обстоятелствата относно сертифицираното програмно

приложение, задание или информационна система.

извършените оценки в срок 10 години.

(2) Акредитираните лица представят документите по ал. 1 на председателя на ДАИТС при

извършване на проверки.

сертификат незабавно след издаването му за вписването му в списъка на сертифицираните

информационни системи.

(2) Председателят на ДАИТС вписва сертификата в Списъка на сертифицираните

информационни системи в срок 3 дни от получаване на уведомлението по ал. 1 след проверка

дали сертификатът съдържа всички необходими реквизити.

156

Глава седма.

СПИСЪК НА АКРЕДИТИРАНИТЕ ЛИЦА И СПИСЪК НА

СЕРТИФИЦИРАНИТЕ СИСТЕМИ И ПРОДУКТИ

Чл. 134. (1) В списъците на акредитираните лица и на сертифицираните системи и продукти

се вписват обстоятелства относно лицата, акредитирани _________за сертифициране на информационни

системи, съответно относно сертифицираните информационни системи и продукти.

(2) Списъците по ал. 1 се водят от председателя на ДАИТС чрез овластени от него лица.

описанията на състава и организацията на данните по чл. 134, ал. 1.

(2) В списъците се поддържа история на вписванията.

Чл. 136. Списъкът на лицата, акредитирани за сертифициране на информационни системи, се

състои от един раздел - "Акредитирани лица", в който се вписват обстоятелствата относно

тези лица.

Чл. 137. В списъка на лицата, акредитирани за сертифициране на информационни системи, се

вписват следните обстоятелства:

1. уникален идентификатор, име, съответно наименование, на заявителя;

2. уникален идентификатор, име, телефон и адрес на електронната поща на представляващите

лица;

3. срок на валидност на акредитацията;

5. основание за спиране или отнемане на акредитацията.

видове обекти:

1. обекти от вид "сертифицирана система";

2. обекти от вид "сертифицирано приложение";

3. обекти от вид "сертифицирано задание";

4. обекти от вид "тестов набор от документи".

(2) Списъкът по ал. 1 се състои от следните раздели, обособени по видове обекти, в които се

вписват обстоятелствата относно тези обекти:

1. раздел "Сертифицирани системи";

2. раздел "Сертифицирани приложения";

3. раздел "Сертифицирани задания";

4. раздел "Тестови набори от документи".

вписват следните обстоятелства за обекти от вид "сертифицирана система":

1. данни, идентифициращи сертифицираната система, като модел, версия, конфигурация и др.;

Наредба за общите изисквания за оперативна съвместимост

и информационна сигурност

157

3. данни за акредитираното лице, извършило сертификацията;

4. обхват на сертификация, включваща видовете електронни документи, които поддържа

системата;

5. номер и дата на издадения сертификат.

Чл. 140. В раздел "Сертифицирани приложения" от списъка на сертифицираните системи се

вписват следните обстоятелства за обекти от вид "сертифицирано приложение":

1. данни, идентифициращи сертифицираното приложение, като модел, версия, конфигурация

и др.;

приложение за проверка на електронни документи за съответствие с регистрацията им;

3. данни, идентифициращи заинтересуваното лице;

4. данни за акредитираното лице, извършило сертификацията;

5. обхват на сертификация, включваща видовете електронни документи, които поддържа

приложението;

6. номер и дата на издадения сертификат;

7. хипервръзка за достъп до инсталационния пакет на приложението, когато сертифицираното

приложение е вписано като обстоятелство в регистъра на информационните обекти или в

регистъра на електронните услуги.

вписват следните обстоятелства за обекти от вид "сертифицирано задание":

1. данни, идентифициращи сертифицираното задание;

2. данни, идентифициращи заинтересуваното лице;

3. данни за акредитираното лице, извършило сертификацията;

4. номер и дата на издадения сертификат.

вписват следните обстоятелства за обекти от вид "тестов набор от документи":

1. вид на документите в тестовия набор;

2. списък с тестови документи, тяхното съдържание и съответстващите им документи

"Регистрирани грешки в съдържание на документ";

3. данни за акредитираното лице, изпратило набора за вписване.

списъците на акредитираните лица и на сертифицираните системи и продукти:

1. вписване на промени в обстоятелствата за акредитирано лице;

2. вписване на прекратяване на акредитацията;

158

3. справка за вписванията в списъка на акредитираните лица;

5. вписване на промени в обстоятелствата за сертифицирано задание, система или продукт;

6. справка за вписванията в списъка на сертифицираните системи или продукти.

(2) Първоначалното вписване на акредитирано лице се извършва служебно от председателя на

ДАИТС при извършване на акредитацията.

Чл. 144. (1) Председателят на ДАИТС утвърждава задължителни образци в електронна форма

за заявленията по чл. 143 за предоставяне на услуги.

(2) Образците по ал. 1 се вписват в раздел "Документи" от регистъра на информационните

обекти и се публикуват на интернет страницата на ДАИТС.

1. приемане на заявлението за вписване;

2. проверка за допустимост и основателност на вписването;

3. проверка дали обстоятелството вече е вписано;

4. извършване на вписването.

(2) При наличие на несъответствия председателят на ДАИТС дава указания за отстраняването

им.

Чл. 146. (1) Процедурата за първоначално вписване на сертифицирани задания, системи и

продукти или на промени на вписаните обстоятелства включва:

1. приемане на заявлението за вписване;

2. проверка за допустимост и основателност на вписването;

3. проверка дали обектът или новото обстоятелство вече са вписани;

4. извършване на вписването или издаване на мотивиран отказ за вписване;

5. уведомяване на заявителя за постановения отказ.

(2) Преди да постанови отказ, председателят на ДАИТС указва на заявителя на вписването да

отстрани нередностите.

(3) Отказ се постановява, ако в срок 14 дни от уведомлението по ал. 2 нередностите не бъдат

отстранени.

Чл. 147. Вписването в списъците се извършва чрез въвеждане на данни за вписваните

обстоятелства в базите от данни на списъците.

(2) За всяка създадена партида се генерира уникален регистров идентификатор, състоящ се от:

1. уникален регистров u1080 идентификатор на раздел на списъците - вписват се уникалният

регистров идентификатор, създаден в регистъра на регистрите, и данните при регистрацията

на списъците на сертифицираните системи и списъка на лицата, акредитирани за

сертифициране на информационни системи в него;

159

(3) За всяка партида се поддържа описание, включващо:

1. време на вписване - вписват се автоматично генерирани данни за времето на извършеното

вписване в списъка;

2. служител, извършил вписване - вписват се автоматично данни, идентифициращи чрез

информационната система, поддържаща списъците, служителя, извършил вписването в

съответния списък.

Чл. 149. Към съдържанието на всяко вписано обстоятелство се поддържа описание,

включващо:

1. номер на вписване - вписва се автоматично генериран пореден номер на вписване по

обстоятелство в състава на партидата;

2. уникален регистров идентификатор на обстоятелство - вписва се уникален регистров

идентификатор на типа на обстоятелството/данните в раздел "Типове обстоятелства" или

раздел "Унифицирани данни" от регистъра на регистрите и данните;

3. съдържание на обстоятелството - вписват се данните, формиращи съдържанието на

обстоятелството, подлежащо на вписване;

4. време на вписване - вписват се автоматично генерирани данни за времето на извършеното

вписване в съответния списък;

5. уникален регистров идентификатор на заявление за вписване - вписва се уникалният

регистров идентификатор на заявление, с което е заявено вписването;

6. заявител на вписването - вписва се наименование, код по БУЛСТАТ, адрес на електронната

поща и телефон на централа на административния орган, заявил вписването;

7. служител, извършил вписването - вписват се автоматично данни, идентифициращи чрез

информационната система, поддържаща списъците, служителя, извършил вписването.

Чл. 150. (1) Промяна в обстоятелствата се извършва чрез вписване на новото обстоятелство.

(2) След извършване на вписването по ал. 1 актуалното състояние на партидата на съответния

обект отразява последното вписване.

Чл. 151. Списъците на лицата, акредитирани за сертифициране на информационни системи и

на сертифицирани системи, се съхраняват безсрочно.

наредбата като система с клас на информационна сигурност 3 или А.

на сертифицирани системи, са достъпни чрез интернет страницата на ДАИТС и по друг начин

в зависимост от технологичната готовност на агенцията.

160

на партидите на списъците към момента на проверката, както и на състоянието им към

определена дата назад във времето.

Чл. 155. (1) Всеки може да иска и да извършва справка за вписванията в списъците чрез

интернет страницата на ДАИТС.

(2) Справки могат да се правят и чрез формализирана заявка.

(3) Справките в списъците са безплатни.

§ 1. По смисъла на наредбата:

1. "Административна информационна система" е информационна система по смисъла на чл. 4

и следващите от Наредбата за вътрешния оборот на електронни документи и документи на

хартиен носител в администрациите.

2. "Електронни услуги" е общото понятие за електронни административни услуги и вътрешни

електронни административни услуги.

3. "Мрежова и информационна сигурност" е способност на мрежите и информационните

системи да се противопоставят на определено ниво на въздействие или на случайни събития,

които могат да нарушат достъпността, автентичността, интегритета и конфиденциалността на

съхраняваните или предаваните данни и на услугите, свързани с тези мрежи и системи.

4. "Информационни активи" са материалните и нематериалните активи и информационни

обекти, свързани с информационна система, които имат полезна стойност за определена

администрация.

5. "Инцидент по сигурността на информацията" е единично или поредица от неочаквани

събития по сигурността на информацията, които увреждат или съществува сериозна

вероятност да увредят операции или да застрашат информационната сигурност.

6. "Нежелан софтуер" е компютърна програма, която се разпространява автоматично и против

волята или без знанието на ползващите информационните системи лица и е предназначена за

привеждане на информационните системи или компютърни мрежи в нежелани от ползващите

ги състояния или в осъществяване на нежелани резултати, както и компютърна програма,

която е предназначена за нарушаване дейността на информационна система или компютърна

мрежа или за узнаване, заличаване, изтриване, изменение или копиране на данни без

разрешение, когато такова се изисква.

7. "Политика за информационна сигурност" е съвкупност от документирани решения, взети от

ръководител на администрация, насочени към защитата на информацията и асоциираните с

нея ресурси.

8. "Уебуслуга" е автономна, завършена и изпълнима функционалност на информационна

система с унифициран и автоматизиран вход и изход, притежаваща следните свойства:

а) независимост от съпътстващите я приложения, които я пораждат, и от тези, които тя

поражда;

б) слабо свързана функционалност, основана на системна техническа, платформена и

софтуерна независимост между информационната система на доставчика на услугата и на

получателя й;

161

като максимално време за предоставяне на услугата, процедури за обработване на грешки и

др.;

г) функционалност, основана на определен набор международно приети стандарти;

9. "Отворена мрежа" е мрежа, свободна от ограничения за вида на оборудването, което може

да бъде присъединено, както и за начините на комуникация, които не ограничават

съдържанието, сайтовете или платформите.

10. "Профил на достъп" е описание на информационните активи на системата, които могат да

бъдат ползвани от група потребители с аналогични права на достъп.

§ 2. Нивата на защита на информационната система от нерегламентиран достъп,

регламентирани в чл. 34 от наредбата, се характеризират със следните основни мерки:

1. Ниво "0" или "D" обхваща открита и общодостъпна информация (например публикувана на

интернет страниците на администрациите). То предполага анонимно ползване на

информацията и липса на средства за конфиденциалност.

2. Ниво "1" или "С" изисква:

а) достъпът до точно определени обекти да бъде разрешаван на точно определени ползватели;

б) ползвателите да се идентифицират, преди да изпълняват каквито и да са действия,

контролирани от системата за достъп. За установяване на идентичността трябва да се използва

защитен механизъм от типа идентификатор/парола. Няма изисквания за доказателство за

идентичността при регистрация;

в) идентифициращата информация трябва да бъде защитена от нерегламентиран достъп;

г) доверителната изчислителна система, т.е. функционалността на информационната система,

която управлява достъпа до ресурсите й, трябва да поддържа област за собственото

изпълнение, защитена от външни въздействия и от опити да се следи ходът на работата;

д) информационната система трябва да разполага с технически и/или програмни средства,

позволяващи периодично да се проверява коректността на компонентите на доверителната

изчислителна система;

е) защитните механизми трябва да са преминали тест, който да потвърди, че неоторизиран

ползвател няма очевидна възможност да получи достъп до доверителната изчислителна

система.

3. Ниво "2" или "В" изисква в допълнение към изискванията към предишното ниво:

а) като механизъм за проверка на идентичността да се използва удостоверение за електронен

подпис, независимо дали е издадено u1079 за вътрешноведомствени нужди в рамките на вътрешна

инфраструктура на публичния ключ, или е издадено от външен доставчик на удостоверителни

услуги;

личността на ползвателя, без да е необходимо личното му присъствие;

в) доверителната изчислителна система трябва да осигури реализация на принудително

управление на достъпа до всички обекти;

г) доверителната изчислителна система трябва да осигури взаимна изолация на процесите

чрез разделяне на адресните им пространства.

162

4. Ниво "3" или "А" изисква в допълнение към изискванията към предишното ниво:

електронен подпис;

б) при издаване на удостоверението да е гарантирана физическата идентичност на лицето;

в) доверителната изчислителна система трябва да бъде с проверена устойчивост към опити за

проникване;

г) комуникацията между потребителя и системата да се осъществява единствено чрез

протокол Transport Layer Security (TLS) или Secure Sockets Layer (SSL), като минималната

дължина на симетричния ключ трябва да е 128 бита;

д) доверителната изчислителна система да има механизъм за регистрация на опити за

нарушаване политиката за сигурност.

§ 3. Председателят на ДАИТС осигурява първоначалното въвеждане на данни в регистъра на

стандартите в срок 3 месеца от обнародването на наредбата в "Държавен вестник".

§ 4. (1) В срок 12 месеца от влизането в сила на наредбата ръководителите на

администрациите организират разработването на вътрешни правила съгласно чл. 26 и

извършват сертификацията им като Система за управление на информационната сигурност по

ISO 27001:2005.

(2) В срок 24 месеца от влизането в сила на наредбата ръководителите на отделните

администрации организират провеждането на одит от оторизирана независима организация за

признаване на съответствие между разработените вътрешноведомствени правила "Системи за

управление на информационната сигурност" и международния u1089 стандарт ISO 27001:2005.

§ 5. В срок 6 месеца от влизането в сила на наредбата председателят на ДАИТС утвърждава

Методика за планов и текущ контрол на оперативната съвместимост и мрежовата и

информационната сигурност в информационните системи на административните органи.

§ 6. В срок 12 месеца от влизането в сила на наредбата председателят на ДАИТС създава

Съвет за мрежова и информационна сигурност на информационните системи на

административните органи като консултативен орган, подпомагащ неговата дейност.

§ 7. В срок 12 месеца от влизането в сила на наредбата председателят на ДАИТС провежда

консултации с представители на Асоциацията на българските застрахователи относно

възможността за предоставяне на застрахователен продукт "Застраховка на риска по

отношение на мрежовата и информационната сигурност".

§ 8. Председателят на ДАИТС създава Национален център за действие при инциденти по

отношение на информационната сигурност не по-късно от 6 месеца от влизането в сила на

наредбата.

§ 9. Наредбата се приема на основание чл. 43, ал. 2 от Закона за електронното управление.

Наредба за общите изисквания за оперативна съвместимост

и информационна сигурност

163