§ 10. Наредбата влиза в сила от деня на обнародването й в "Държавен вестник" с изключение

на чл. 7, който влиза в сила след въвеждането в действие на Единната среда за обмен на

електронни документи (ЕСОЕД).

Приложение № 1 към чл. 25, ал. 2

Общи стратегии за информационна сигурност

1. Политиката за информационна сигурност е набор от нормативни документи, правила и

норми за поведение, които определят как организацията защищава обработката, съхранението

и разпространението на информацията.

2. Политиката за сигурност на информационни системи на административните органи трябва

да бъде съобразена с групата международни стандарти ISO 270ХХ, обединяваща

мнозинството от съществуващи стандарти за управление на информационната сигурност -

основно със стандарта ISO 27001:2005, предоставящ модел на система за управление на

информационната сигурност за адекватен u1080 и пропорционален контрол на сигурността за

защита на информационните активи и създаване на доверие в заинтересуваните страни.

3. Решенията относно политиките за мрежова и информационна сигурност трябва да се

изграждат за осигуряване няколко нива на сигурност по отношение на:

а) мрежа;

б) система;

в) приложения;

г) информация.

4. За всяко от нивата по т. 3 трябва да се осигури съответният контрол с цел да се обезпечи

сигурността на общото програмно приложение за защита. За осигуряване на адекватно ниво

на сигурност трябва да се прилага практиката, наречена "дълбока отбрана", обезпечаваща

многослойна защита, за ограничаване проникването на всякакви атаки и осигуряване на

невъзможност за компрометиране на общото програмно приложение за защита.

5. При създаването на политика за сигурност трябва да се използват следните принципи:

а) "Минимална привилегия" - концепция, при която се ограничава достъпът само до ресурси,

които са необходими за изпълняване на одобрените функции. Определен ползвател или

процес трябва да има само такива права, които са необходими за изпълняване на конкретната

задача.

б) "Дълбока отбрана" - концепция, при която се поверява защитата на повече от един

един компонент или механизъм да ограничи атаката да не доведе до компрометиране на

общата защита.

в) "Точка на запушване" - концепция, при която се принуждават лица, извършващи

интервенции, да използват тесен канал за достъп, който позволява действията да бъдат

наблюдавани и контролирани. Обикновено се прилага на входа и изхода на т.нар.

"Демилитаризирани зони" ("DMZ").

г) "Най-слабо звено" - концепция, при която се наблюдават и елиминират звената с най-слаба

устойчивост на интервенции или с наличие на възможност за проникване.

164

преустановяват работа безопасно и да се предотврати възможността при неочакваното

преустановяване u1085 на работа на една система да се осигури достъп на лицата, извършващи

интервенции до системата.

е) "Универсално участие" - концепция, при която всички звена на системата следят за

сигурността при наличие на разпределение на функциите за това, което ограничава

възможността на лицата, извършващи интервенции, да се възползват от липсата на защитна

активност от конкретно звено.

ж) "Разнообразие на защитата" - концепция, при която не се разчита само на една система или

приложение за сигурност, независимо от това, колко надеждни или изчерпателни са те.

з) "Простота" - концепция, при която се осигурява поддържането на опростена обща среда, за

която се осигурява по-лесно защита срещу интервенции.

и) "Фрагментиране" - концепция, при която се осигурява свеждане до минимум на

възможните вредни последици върху една информационна система чрез фрагментиране на

максимален брой отделни единици; по този начин се ограничава възможността за достъп до

цялата система в случай на проникване в изолирана единица.

к) "Защита срещу вътрешни и външни заплахи" - концепция, при която се въвеждат правила

за потребителите за недопускане действия на служителите, които да осигуряват възможност

за интервенции; такива правила могат да бъдат правила за управление на съдържанието,

допълнителни нива за идентификация, регистрация за достъп до критични информационни

активи и др.

Приложение № 2 към чл. 28, ал. 3

Функции на служителя (звеното) по информационна сигурност

1. Ръководи дейностите, свързани с постигане на мрежова и информационна сигурност на

администрацията, в която работи, в съответствие с нормативната уредба и политиките и

целите за мрежова и информационна сигурност на организацията във взаимодействие със

звената за информационно осигуряване и за вътрешен одит.

2. Следи за прилагането на стандартите, политиките и правилата за информационна сигурност

и управление на риска в администрацията.

3. Консултира ръководството на администрацията във връзка с информационната u1089 сигурност.

4. Ръководи периодичните оценки на рисковете за информационната сигурност и спазването

на приетите политики и процедури.

5. Периодично (не по-малко от два пъти годишно) изготвя доклади за състоянието на

информационната сигурност в административното звено и ги представя на ръководителя.

6. Координира обучението на ръководителите и служителите в административното звено във

връзка с информационната сигурност.

7. Участва в организирането, тренировките и анализа на резултатите от тренировките за

действия при настъпване на инциденти.

8. Отговаря за защитата на интелектуалната собственост и материалните активи на

административното звено в областта на информационните и комуникационните технологии.

9. Участва в изготвянето на политиките, целите, процедурите и метриката за оценка на

информационната сигурност.

Наредба за общите изисквания за оперативна съвместимост

и информационна сигурност

165

на информационната сигурност.

11. Разследва и анализира инцидентите в областта на мрежовата и информационната

сигурност в административното звено, реакциите при инциденти и предлага действия за

подобряване на мрежовата и информационната сигурност.

12. Предлага санкции за служителите от администрацията при нарушаване на правилата за

сигурност.

13. Разработва и предлага за утвърждаване от ръководителя на съответната администрация

инструкциите, произтичащи от наредбата, както и всички други необходими указания и

процедури.

14. Следи за изпълнението на утвърдените от ръководителя на администрацията инструкции и

процедури, свързани с информационната сигурност.

15. Актуализира списъка от заплахи и потенциални рискове за съответната администрация.

16. Координира оценяването на финансовите и други загуби при настъпване на

идентифицирана заплаха.

17. Изготвя доклади и анализи за настъпили инциденти, засягащи мрежовата и

информационната сигурност, и предлага действия за компенсиране на последствията и

предотвратяване на други подобни инциденти.

18. Следи новостите за заплахи за сигурността, отчитайки наличния в съответната

администрация софтуер и хардуер, и организира своевременното инсталиране на коригиращ

софтуер (patches).

19. При възникване на какъвто и да е инцидент, свързан с информационната сигурност, го

документира и информира незабавно ръководителя на съответната администрация и

Националния център за действие при инциденти по отношение на информационната

сигурност в информационните системи на административните органи.

20. Разработва и предлага иновативни решения и архитектури за подобряване на

информационната сигурност на съответната администрация.

21. Следи за появата на нови вируси и зловреден код, спам, атаки и взема адекватни мерки.

22. Организира тестове за проникване, разкрива слабите места в мрежата на съответното

административно звено и предлага мерки за подобряване на мрежовата и информационната

сигурност.

Приложение № 3 към чл. 31, ал. 2

Действия по оценка и управление на риска

1. Всички административни органи са длъжни да оценяват рисковете за сигурността съгласно

международния стандарт ISO/IEC TR 13335-3:1998 и ISO/IEC TR 13335-4:2000 (в процес на

преработване в ISO/IEC 27005).

2. По смисъла на това приложение рискът за сигурността е фактическо състояние, което

създава заплахи за уязвяване на един или няколко информационни актива, което да

предизвика тяхното повреждане или унищожаване.

3. Оценката на риска се определя чрез изчисление на вероятността за уязвяване въз основа на

ефективността на съществуващите или планираните мерки за сигурност.

166

4. Заплахите за мрежовата и информационната сигурност се класифицират по следните

а) по елементите на информационната сигурност (достъпност, цялостност,

конфиденциалност), към които са насочени;

б) по компонентите на информационната система (апаратура, софтуер, данни, поддържаща

инфраструктура), към които са насочени;

в) по начина на осъществяване (случайни/преднамерени действия, от природен/технологичен

характер u1080 и др.);

г) по разположението на източника (вътре във/извън информационната система).

5. Действията по управление на риска трябва да обхващат оценка на неговия размер,

изработване на ефективни и икономични мерки за неговото снижаване и оценка дали

резултативният риск е в приемливи граници. Управлението на риска следва да се извършва

чрез последователно прилагане на два типа циклично повтарящи се действия:

а) оценка (преоценка) на риска;

б) избор на ефективни и икономични средства за неговата неутрализация.

6. При идентифициране на риск трябва да се предприеме едно от следните действия:

а) ликвидиране на риска (например чрез отстраняване на причиняващите го обстоятелства);

б) намаляване на риска (например чрез използване на допълнителни защитни средства);

в) приемане на риска и разработване на план за действия в обстановка на риск;

г) преадресиране на риска (например чрез сключване на съответната застраховка).

7. Процесът на управление на риска трябва да включва следните етапи:

а) избор на анализируемите обекти и нивото на детайлизация на анализа;

б) избор на методология за оценка на риска;

в) идентификация на информационните активи;

г) анализ на заплахите и последствията от тях, откриване на уязвимите места в защитата;

д) оценка на рисковете;

е) избор на защитни мерки;

ж) реализация и проверка на избраните мерки;

з) оценка на остатъчния риск.

8. Процесът на управление на риска трябва да бъде цикличен процес. Последният етап се

явява начало на нов цикъл на оценка. Новият цикъл се провежда:

а) ако остатъчният риск не удовлетворява ръководството на администрацията;

б) след изтичане на определен срок, определен във вътрешните правила за мрежовата и

информационната сигурност на администрацията.

Приложение № 4 към чл. 31, ал. 3

Заплахи срещу мрежовата и информационната сигурност, формулирани в международния

стандарт ISO/IEC TR 13335:2000

Видовете заплахи, които могат да застрашат конфиденциалността, интегритета и

достъпността, са следните:

Наредба за общите изисквания за оперативна съвместимост

и информационна сигурност

167

електронни съобщения независимо от използваната технология.

2. Електромагнитно излъчване, изразяващо се в действия на трето лице, целящо да получи

знание за обменяни данни посредством информационна система.

3. Нежелан код, който може да доведе до загуба на конфиденциалността чрез записването и

разкриването на пароли и до нарушаване на интегритета при интервенции от трети лица,

осъществили нерегламентиран достъп с помощта на такъв код. Нежелан код може да се

използва, за да се заобиколи проверка за достоверност, както и всички защитни функции,

свързани с нея. В резултат кодът може да доведе до загуба на достъпността, когато данните

или файловете са разрушени от лицето, получило нерегламентиран достъп с помощта на

нежелан код.

4. Маскиране на потребителската идентичност може да доведе до заобикаляне на проверката

за достоверност и всички услуги и защитни функции, свързани с нея.

5. Погрешно насочване или пренасочване на съобщенията може да доведе до загуба на

конфиденциалност, ако се осъществи нерегламентиран достъп от трети лица. Погрешното

насочване или пренасочване на съобщенията може да доведе и до нарушаване на интегритета,

ако погрешно насочените съобщения са променени и след това насочени към първоначалния

адресат. Погрешното насочване на съобщения води до загуба на достъпността до тези

съобщения.

6. Софтуерни грешки могат да застрашат конфиденциалността, ако софтуерът е създаден с

контрол на достъпа или за криптиране или ако грешка в софтуера осигури възможност за

нежелан достъп в информационна система.

7. Кражбата на информационни активи може да доведе до разкриване на информация, която

представлява служебна или друга защитена от закона тайна. Кражбата може да застраши

достъпността до данните или информационното оборудване.

8. Нерегламентиран достъп до компютри, информационни ресурси, услуги и приложения

може да доведе до разкриване на поверителни данни и до нарушаване интегритета на тези

данни, ако нерегламентираната им промяна е възможна. Нерегламентираният достъп до

компютри, данни, услуги и приложения може да наруши достъпността до данните, ако

тяхното изтриване или заличаване е възможно.

9. Нерегламентиран достъп до носител на данни може да застраши съхраняваните върху него

данни.

данните, които се съхраняват на този носител.

11. Грешка при поддръжката. Неизвършването на редовна поддръжка на информационните

системи или допускане на грешки по време на процеса по поддръжка може да доведе до

нарушаване на достъпността до данни.

12. Аварии в електрозахранване и климатични инсталации могат да доведат до нарушаване на

интегритета и достъпността до данни, ако вследствие на настъпването на авариите са

увредени информационни системи или носители на данни.

13. Технически аварии (например аварии в мрежите) могат да нарушат интегритета и

достъпността до информация, която се съхранява или разпространява чрез тази мрежа.

14. Грешки при предаването на информацията могат да доведат до нарушаване на нейната

цялост и достъпност.

168

15. Употреба на нерегламентирани програми и информация могат да нарушат интегритета и

която е настъпило такова събитие, и програмите и информацията се използват, за да се

изменят съществуващи програми и данни по неразрешен начин или ако те съдържат нежелан

код.

неумишлено или умишлено действие.

17. Липса на потвърждаване може да застраши интегритета на данните. Предпазните мерки за

предотвратяване на непотвърждаването трябва да се прилагат в случаите, когато е важно да се

получи доказателство за това, че дадено съобщение е изпратено и е/не е получено, както и за

това, че мрежата е пренесла съобщението.

18. Интервенции срещу интегритета на данните могат да доведат до тяхното сериозно

увреждане и до невъзможност от по-нататъшното им използване.

19. Аварии в комуникационното оборудване и услуги могат да увредят достъпността на

данните, предавана чрез тези услуги.

20. Външни въздействия с огън, вода, химикали и др. могат да доведат до увреждане или

унищожаване на информационното оборудване.

21. Злоупотреба с ресурси може да доведе до недостъпност до данни или услуги.

22. Природни бедствия могат да доведат до унищожаване на данни и информационни

системи.

23. Претоварване на комуникационния трафик може да доведе до нарушаване на

достъпността до обменяни данни.

Приложение № 5 към чл. 32, ал. 2

Средства за управление на достъпа на участниците в електронния обмен

1. Защитата на системните ресурси на информационни системи на административните органи

е процес, при който използването на системните ресурси се регулира в съответствие с

политиката в областта на мрежовата и информационна сигурност и е позволено само за

упълномощени лица чрез използваните от тях информационни системи. Това включва

предотвратяването на нерегламентиран достъп до ресурсите, включително предотвратявяне

на достъп до ресурсите по нерегламентиран начин.

2. Управлението на защитата от нерегламентиран достъп се категоризира на няколко степени

в зависимост от оценките на потенциалните последствия за администрацията при нарушаване

на конфиденциалността, интегритета и/или достъпността, както следва:

а) ограничено, когато организацията продължава да изпълнява функциите си, но с понижена

ефективност, на информационните активи са причинени незначителни вреди и финансовите

загуби са незначителни;

б) умерено, когато ефективността на основните функции на администрацията е съществено

понижена, на информационните активи са причинени значителни вреди и финансовите загуби

са значителни;

в) високо, когато загубата на кофиденциалност, интегритет и/или достъпност оказва тежко

или непоправимо въздействие на администрацията, при която тя загубва способност да

изпълнява основните си функции, на информационните активи са причинени тежки вреди и

финансовите загуби са много големи.

Наредба за общите изисквания за оперативна съвместимост

и информационна сигурност

169

които различни ползватели на информационните системи и процеси в тях могат да извършват

по отношение на информационни ресурси. Логическото управление на достъпа трябва да

позволява да се определят множество допустими операции за всеки ползвател или процес и да

се контролира изпълнението на установените правила.

4. Средствата за управление на достъпа на участниците в електронния обмен трябва да

включват три категории функции:

а) административни функции - създаване и съпровождане на атрибути за управление на

достъпа;

б) спомагателни функции - обслужване на процесите на достъп на ползвателите;

в) информационни функции - събиране на информация за процесите на достъп с оглед

подобряване на взаимодействието.

5. Всяко самостоятелно звено на администрацията управлява идентификаторите на

позвателите на информационните системи чрез:

а) уникална идентификация на всеки ползвател;

б) верификация на идентификатора на всеки ползвател;

в) регламентиране на административните процедури за разпространение, заместване на

загубени, компрометирани или повредени идентификатори;

г) прекратяване действието на идентификатора след определен период на липса на активност;

д) архивиране на идентификаторите.

6. Информационните системи на административните органи трябва да скриват ехо

изображението на идентифициращата информация в процеса на проверка на идентичността с

цел да я защитят от възможно използване от страна на неоправомощени лица.

7. При проверка на идентичността чрез криптографски модули информационната система

трябва да прилага методи, отговарящи на стандартите, вписани в раздел "Информационна

сигурност" от регистъра на стандартите.

8. За изграждане на вътрешни правила за мрежовата и информационната сигурност в

администрациите се препоръчва следното съдържание на раздела, свързан с управлението на

достъпа на участниците в електронния обмен:

а) документирана политика по управление на достъпа, включваща цели, обхват, задължения,

координация на организационните структури;

б) документирани процедури по присвояване на привилегии, акаунти и други права в

съответствие с политиката;

в) определяне на ограничения на количеството несполучливи опити на ползвателя за вход в

система за определен интервал от време, след което акаунтът му се заключва;

г) определяне на предупреждаващите съобщения, информиращи потребителя преди

предоставяне на достъп, относно:

- общите ограничения, налагани от системата;

- възможния мониторинг, протоколиране и одит на използването на системата;

- необходимото съгласие на ползвателя за мониторинг и протоколиране в случай на

използване на системата;

- забраните и възможните санкции при несанкционирано използване на системата;

170

- възможните действия на ползвателя, които могат да бъдат изпълнени от информационната

9. В съответствие с процедурите по т. 3 ръководителите на администрациите организират

провеждането на следните мероприятия:

а) организиране предоставянето на услуги на всички граждани и организации с еднакъв

приоритет;

б) записване в поддържаните от системата списъци на участниците на всички граждани и

организации, които са участвали в електронния информационен обмен в информационните

системи на административните органи;

в) съхраняване на архивна информация за период една година за всички участници, които са

използвали електронни административни услуги от публичните информационни системи;

г) организиране достъпа на служителите от администрацията чрез система от индивидуални

пароли; паролите трябва да се променят периодично, но най-малко веднъж на 6 месеца;

д) извършване на преглед и актуализиране на правата за достъп на служителите, които

поддържат работата на информационни системи в администрациите.

10. Всеки служител в администрацията, записан в съответния директориен LDAP сървър

(централен или локален), трябва да получава уникални потребителско име и парола за достъп

само до информационните системи, които са необходими, за да изпълнява служебните си

задължения. Паролата трябва да съдържа между 8 и 16 буквено-цифрови символа и да изисква

автоматична промяна всеки месец.

Приложение № 6 към чл. 35

Класификация, контрол и управление на информационните активи

1. Картите на наличните информационни ресурси в съответната администрация трябва да

определят еднозначно:

а) конкретен служител за кои информационни ресурси (компютри, устройства, софтуерни

продукти/системи, бази данни и др.) отговаря;

б) конкретен софтуерен продукт/информационна система и/или коя база от данни на кои

компютри и устройства се използват.

2. Инвентарните списъци за наличните информационни ресурси в съответната администрация

трябва да включват:

а) за хардуерни устройства (без бързо амортизируемите, като мишки, клавиатури и други

подобни) минималният набор от данни, които трябва да се поддържат, включва:

- сериен номер;

- фабричен номер;

- модел;

- описание на основните технически параметри (процесор/честота, размер на паметта и

вид/тип, модел на диска и размер, захранване - мощност и модел/тип, списък на аксесоарите

към устройството и др.);

- дата на придобиване;

- дата на пускане в експлоатация;

- дата на извеждане от употреба;

Наредба за общите изисквания за оперативна съвместимост

и информационна сигурност

171

- местоположение на устройството;

- име на служителя, отговарящ за функциониране на устройството;

- име/имена на служителя/служителите, ползващ/ползващи устройството;

- дати на обслужване и ремонт на устройството;

- описание на извършеното обслужване/ремонт;

- с кои устройства е свързано това устройство;

- работата на кои устройства зависи от правилното функциониране на това устройство;

- правилното функциониране на това устройство от работата на кои устройства зависи;

- кои работни процеси обслужва това устройство;

б) за софтуерни продукти минималният набор от данни, които трябва да се поддържат,

включва:

- версия на продукта;

- списък на минималните изисквания към хардуера за нормална работа на продукта;

- дата на придобиване;

- дата на инсталиране и настройка;

- дата, от която започва да тече лицензът за ползване на продукта;

- машина/машини, на която/които е инсталиран продуктът;

- дата на извеждане от употреба;

- дата на изтичане на лиценза за ползване на продукта;

- дата, на която са извършени промени в настройки или в самия продукт;

- описание на извършените промени;

- име на служителя, инсталирал продукта;

- име на служителя, извършил настройките;

- име на служителя, извършил промените;

- име на файла, в който се пази състоянието преди промените;

- кои работни процеси обслужва този софтуерен продукт;

- работата на кои софтуерни продукти зависи от правилното функциониране на този

софтуерен продукт;

- правилното функциониране на този софтуерен продукт от работата на кои софтуерни

продукти зависи.

3. Върху работните станции и сървърите в администрациите да се инсталират само софтуерни

продукти, за които съответната администрация разполага с лиценз за ползване.

4. Всички информационни системи, които се въвеждат в експлоатация в администрациите,

трябва да се съпровождат с подробна документация за:

а) всички функции на клиента, приложението и базите данни;

б) административните средства за достъп и настройка;

172

в) схеми на базите данни с подробно описание на таблиците и връзките;

д) контролите при обработката и резултатите от обработката;

е) приложението с всички модули, "use cases", UML схеми и интерфейси.

5. Инсталирането и настройката на нови софтуерни и хардуерни продукти да се планира и

всички лица, използващи засегнатите ресурси, да се уведомяват не по малко от 3 дни преди

извършване на инсталацията или настройката.

6. Преди извършване на инсталация да се направят резервни копия на софтуера, файловете и

базите данни, като се разработи и "roll back" план.

7. Инсталирането, настройката и поддръжката на нови софтуерни и хардуерни продукти да се

извършват в периоди с минимално натоварване на съответните ресурси.

8. Преди инсталиране в оперативно действащите системи на нови софтуерни и хардуерни

продукти те да се тестват в тестова среда максимално близка до реалните работни условия.

9. Служителите в администрациите носят материална отговорност за мобилните устройства,

които са им предоставени за ползване. Мобилните устройства се получават от служителите,

които ги използват, срещу подпис върху документ, съдържащ пълното описание на

мобилното устройство и инсталирания софтуер.

10. Услугите по активен анализ на защитеността на системата (активни скенери на

защитеността) позволяват да се открият и отстранят недостатъци в системата за защита на

информационните активи, преди от тях да са се възползвали злонамерени лица.

Приложение № 7 към чл. 37

Управление на експлоатационните процеси

1. Като основно средство за управление на експлоатационните процеси в информационните

системи на администрациите за осигуряване на информационна сигурност се препоръчва

създаване на зони на сигурност в информационната система, произтичащи от международния

стандарт ISO/IEC 15408-2 "Common Criteria".

2. Зоните на сигурност са области от софтуерната архитектура на системата, в които е

определен специфичен комплекс от мерки, осигуряващи конкретно ниво на сигурност. Зоните

са адекватно разделени една от друга, като преносите на данни от една зона в друга са строго

регламентирани и се осъществяват през контролни обекти, като защитни стени, прокси-

сървъри и др.

3. При изграждане на сигурността следва да се поддържа "демилитаризирана зона (DMZ)" -

мрежова област, разположена между публичната неконтролируема част на мрежата (обичайно

свързана с интернет) и вътрешната защитена част на системата. Демилитаризираната зона

трябва да организира информационни услуги към двете части на мрежата, като защитава

вътрешната част от нерегламентиран достъп.

4. Мерките за сигурност при управление на експлоатационните процеси в информационни

системи на администрациите трябва да включват:

а) при проектиране на информационни системи да се отдава предпочитание на системи с

многослойна архитектура, в които клиентът, приложението и данните са логически и

физически разделени;

б) да се изготви и утвърди Инструкция за резервиране и архивиране на данни и файлове;

173

файловите сървъри; графиците за резервиране се определят в зависимост от характера на

дейността на всяка администрация; препоръчително е ежедневно резервиране;

г) да се осигури съхраняване на резервните копия в специално отделно

помещение/място/огнеупорна каса;

д) да се осигури редовно обновяване на носителите, върху които се записват резервни копия

(на период около 2/3 от срока им на годност);

е) да се осигури редовно изготвяне на архивни копия на базите данни и файловете във

файловите сървъри; графиците за резервиране се определят в зависимост от характера на

дейността на всяка администрация; препоръчително е ежемесечно резервиране;

ж) да се осигури редовно обновяване на носителите, върху които се записват архивни копия

(на период около 2/3 от срока им на годност);

з) архивните копия да се съхраняват в друга сграда в огнеупорна каса;

и) достъпът до резервни и архивни копия се извършва под контрола на служителя по

информационна сигурност.

Приложение № 8 към чл. 37

Управление на електронните съобщения

1. Управлението на електронните съобщения в администрациите u1089 се извършва съгласно

Препоръка Х.700 на Международния съюз по телекомуникации (ITU - International

Telecommunication Union) и се осъществява чрез:

а) мониторинг на компонентите;

б) контрол (т.е. изработване и реализация на управляващи въздействия);

в) координация на работата на компонентите на системата.

2. Системите за управление трябва:

а) да дават възможност на администраторите да планират, организират, контролират и отчитат

използването на процесите, свързани с осигуряване на мрежова и информационна сигурност;

б) да позволяват нагаждане на системата към изменения на изискванията за сигурност;

в) да осигуряват предсказуемо поведение на системата при различни обстоятелства.

3. Управлението на мрежовата сигурност се основава на препоръки Х.800 и Х.805 на

Международния съюз по телекомуникации (ITU - International Telecommunication Union).

4. Съгласно препоръките по т. 3 за реализация на функциите на мрежовата сигурност трябва

да се използват следните механизми и комбинации от тях:

а) криптиране;

б) цифрови сертификати;

в) механизми за управление на достъпа;

г) механизми за контрол на интегритета на данните, в т.ч. интегритета на потока съобщения;

д) механизми за идентификация;

е) механизми за допълване на трафика;

174

з) механизми за отбелязвания и записи на комуникационните характеристики.

5. Защитата на електронните съобщения в интернет включва:

а) защитна стена;

б) защита от вируси и нежелан код;

в) защита от спам;

г) проверка на прикачените файлове за вируси и нежелан код;

д) защита от DoS (denial of service) атаки;

е) защита от HA (harvesting attacks);

ж) защита на е-mail адресите от търсещи роботи;

з) защита от изтичане на информация;

и) защита от шпионски софтуер (spyware);

к) защита на IM (instant messaging);

л) защита на гласовите комуникации (Skype, ICQ, др.);

м) проверка за съответствие с наложените политики в съответната администрация;

н) проверка за съответствие с приетите нормативни документи;

о) контрол върху обмена (изпращане/получаване) на големи файлове в съответствие с

приетите политики;

п) приоритизация _________на входящата и изходящата поща в зависимост от профила на всеки

служител;

р) пренасочване на пощата в зависимост от приетите политики;

с) автоматично криптиране на изходящата поща при необходимост в съответствие с приетите

политики;

т) автоматично добавяне на текст към входящи/изходящи съобщения в съответствие с

приетите политики.

6. Получени съобщения, автоматично категоризирани като спам или съдържащи нежелан код,

да се записват в специализирани папки и да са достъпни за контрол и обработка от

упълномощени лица (служителя по информационна сигурност, специалисти от Националния

център за действие при инциденти по отношение на информационната сигурност в

информационните системи на административните органи и др.).

7. За защитата на "рутинг-инфраструктурата" и "рутинг-протоколите" трябва да се използват

Препоръките на Работните групи RPSEC (Routing Protocol Security Requirements) и SIDR

(Secure Inter-Domain Routing) на международната организация IETF (Internet Engineering Task

Force).

"система за управление на имената на домейните (DNS)" с модификация на DNS протокола с

разширения за идентификация (DNSSEC), която се основава на спецификацията на IETF PFC

4033.

други да се използва Протокол SSL ("Secure Socket Layer") версия 3.0, формулиран от IETF

("Internet Engineering Task Force") или VPN ("Virtual Private Networking") решения за сигурно

криптиране на сесиите.

175

XMLENC, формулиран от консорциума W3C.

11. За електронно подписване на XML базирани документи да се използва Протокол XAdES

(XML Advanced Electronic Signature), формулиран в Препоръка TS 101 903 на ETSI (European

Telecommunications Standards Institute) и основан на Препоръка XML DSIG на Работна група

"XML-Signature Working Group" на консорциума W3C.

12. За работа с публичните ключове при електронно подписване на XML базирани документи

да се използва Протокол XKMS ("XML Key Manipulation Service"), основан на Препоръка

XKMS 2.0 на консорциума W3C.

13. Копие от цялата служебна електронна поща на служителя се съхранява на пощенския

сървър на съответната администрация u1085 не по-малко от две години, след като служителят

напусне работа.

14. Служителите в администрациите могат да използват за получаване и изпращане на

служебна кореспонденция единствено служебната си електронна поща.

15. Електронни съобщения, изпратени от служители в държавната администрация, съдържат

задължително идентифицираща информация за контакт със съответния служител:

а) име;

б) телефон;

г) длъжност;

д) учреждение.

16. В края на всяко изходящо електронно съобщение автоматично да се прикачва изявление за

ограничаване на отговорността (disclaimer) и указания към адресата за действия при погрешно

получаване.

Защита срещу нежелан софтуер

1. Нежеланият софтуер, който може да експлоатира уязвимостта на един или няколко

информационни актива и да предизвика смущаване на нормалната им работа, увреждане или

унищожаване, включва следните основни програми:

а) компютърни вируси;

б) мрежови червеи;

в) троянски коне, и

г) логически бомби.

2. Защитата срещу нежелан софтуер в информационните системи на административните

органи трябва да бъде ориентирана в две основни направления:

а) чрез забрана за използване на нерегламентиран софтуер;

б) чрез задължително използване на утвърден за цялата администрация антивирусен софтуер

и софтуер за откриване на нерегламентирани промени на информационните активи.

176

3. Администраторът на единната национална мрежа (ЕНМ) трябва да прилага средства за

4. Програмните продукти, предназначени за откриване на опити за проникване, трябва да

разпознават следните подозрителни действия в мрежата:

а) опити да се използват услуги, блокирани от защитни стени;

б) неочаквани заявки, особено от непознати адреси;

в) неочаквани шифровани съобщения;

г) извънредно активен трафик от непознати сървъри и устройства;

д) значителни изменения на предишни действия на мрежата;

е) опити за използване на известни системни u1075 грешки или уязвимости;

ж) опити за вход от непознати потребители от неочаквани адреси;

з) несанкционирано или подозрително използване на администраторски функции;

и) значителни изменения в обичайните действия на потребител и пр.

5. При установяване на открити опити за проникване трябва незабавно:

а) да се уведомява системният администратор за предприемане на адекватни мерки;

б) да се изключват или ограничават мрежовите услуги, свързани с информационният актив -

обект на проникването.

6. Всяко устройство, което се включва в мрежата на съответната администрация, автоматично

да се проверява за вируси и нежелан софтуер, преди да получи достъп до ресурсите на

мрежата.

Приложение № 10 към чл. 43, ал. 2

Действия при мониторинг на събитията и инцидентите в информационните системи на

администрациите

1. При съхраняването на информация за събития и инциденти, свързани с информационните

системи на администрациите, трябва да се създават следните записи:

а) дата и време на настъпване на събитието;

б) уникален идентификатор на ползвателя - инициатор на действието;

в) тип на събитието;

г) резултат от събитието;

д) източник на събитието;

е) списък на засегнатите обекти;

ж) описание на измененията в системата за защита, произтекли от събитието.

2. Ръководителите на администрациите трябва да определят точни процедури за мониторинг

на използването на системата, с които да осигурят изпълнението само на регламентирани

процеси от страна на ползвателите. Процедурите за мониторинг трябва осигуряват:

а) реалистична оценка и мерки за управление на риска;

б) проследяване на изключения или ненормално поведение на ползватели за определен

период;

177

системата.

3. За осигуряване на точност и пълнота на записите на логовете, които могат да се използват

за разследване на неправомерни действия u1080 или за нуждите на ангажиране на съдебни

доказателства, ръководителите на ведомствата трябва да осигурят поддържането на единно

време в информационните системи съгласно Наредбата за електронните административни

услуги, приета с Постановление № 107 на Министерския съвет от 2008 г. (ДВ, бр. 48 от 2008

г.).

Параметри на физическата сигурност

1. За осигуряване физическата защита на информационни системи ръководителите на

администрациите предприемат следните мерки:

а) мерки по управление на физическия достъп;

б) противопожарни мерки;

в) защита на поддържащата инфраструктура;

г) защита на мобилните системи.

2. Препоръчва се мерките за физическа защита да включват следните инфраструктурни

компоненти:

2.1. Сградите и помещенията, в които се разполагат техническото оборудване, софтуерът и

архивите, необходими за информационните системи на административните органи, да

отговарят на следните архитектурно-строителни изисквания:

а) помещенията да имат бетонни или тухлени стени;

б) плочите да бъдат стоманобетонни с дебелина 0,15 [m];

в) помещенията да имат специални подвижни отвори, които предпазват от свръхналягане;

г) двойният под да има височина не по-малка от 0,30 [m];

д) окаченият таван да има височина не по-малка от 0,50 [m];

е) климатичните системи за помещенията да позволяват управление от алармени сигнали на

пожарогасителна система;

ж) до помещенията да се осигури отделна стая, в която да се разположат действащата и

резервната батерии бутилки с пожарогасителния агент.

2.2. Помещенията, в които се разполагат техническото оборудване, софтуерът и архивите,

необходими за информационните системи на администрациите, се оборудват със следните

технически системи за защита, безопасност и охрана:

а) пожарогасителна система, която трябва да отговаря на изискванията на EN 14520;

б) климатизация;

в) резервно електрозахранване;

г) системи за телевизионно видеонаблюдение;

д) системи за контрол на достъпа.

178

3. Срещите между посетителите и служителите в администрациите трябва да се извършват в

4. В случаите по т. 3 да се води списък на посетителите кога и с кого са се срещали и по какъв

въпрос. Списъкът да се съхранява не по-малко от една година от датата на посещението.

Списъкът може да се води и само в електронна форма.

5. Служителите, използващи преносими компютри, трябва задължително да използват пароли

за достъп до ресурсите на мобилните устройства (дискови устройства, системни платки,

софтуер и др.).

Приложение № 12 към чл. 48

Управление на инциденти, свързани с информационната сигурност

1. Планирането на дейността по управление на инциденти, свързани с информационната

сигурност, трябва да включва следните етапи:

а) определяне на критично важните функции на системата и установяване на приоритетите за

възстановителни работи;

б) идентификация на ресурсите, необходими за изпълнение на критично важните функции;

в) определяне списък на възможните инциденти с вероятности за появяването им, изхождайки

от оценките на риска;

г) разработка на стратегии за възстановителни работи;

д) подготовка на мероприятия за реализация на стратегиите.

2. Цикълът на управлението на инциденти трябва да включва следните основни етапи:

а) подготовка;

б) откриване и анализ;

в) ограничаване на влиянието, премахване на причината, възстановяване;

г) дейности след инцидента.

3. Критичен елемент от управлението на инциденти е незабавното възстановяване на

дейността на системата.

4. Политиката за защита от инциденти и възстановителни работи на съответната

администрация, която произтича от оценката на риска по глава трета, раздел III от наредбата,

трябва ясно да идентифицира средствата за резервиране и възстановяване с оглед покриване

ниво на резервиране над пето по класацията на Асоциация Share.

5. Средствата по т. 4 могат да бъдат:

а) паралелно записване или огледална репликация на съхраняваните данни (технологии "Disk

Mirroring" или "RAID" ("Redundant Array of Independent Drives");

б) създаване на център за възстановяване след инциденти (т.нар. "Disaster Recovery Center"), в

който се извършва постоянно архивно съхранение ("back-up") на информацията от системата,

така че да може да се възстанови нейната дейност след инцидента;

в) създаване на резервен изчислителен център, в който се поддържа репликирано състояние на

критичните оперативно действащи системи, така че дейността им да бъде незабавно поета от

него.

Наредба за общите изисквания за оперативна съвместимост

и информационна сигурност

179

включва мероприятия, които да се проведат след възстановяването и които да целят избягване

на подобни инциденти. Това могат да бъдат мерки по:

а) повишаване нивото на контрол на достъпа;

б) промяна на конфигурациите на зоните за сигурност;

в) изменение на режима на физически достъп;

г) инсталиране на допълнителни модули за защита към софтуера на системата;

д) саниране и декласификация на носителите и пр.

Мерки за постигане сигурност по отношение на персонала

1. За постигане на информационна сигурност по отношение на персонала ръководителите на

администрациите са длъжни да предприемат следните мерки за идентификацията на

служителите и оправомощаването им да извършват определени действия по отношение на

експлоатацията на информационните системи:

а) достъпът на служителите в администрацията до работните им станции и общите

информационни системи да се осъществява със служебни потребителско име и парола;

б) достъпът на служителите в държавната администрация до специализираните

информационни системи да се осъществява със служебни потребителско име, парола и

удостоверение за публичен ключ;

в) осигуряването на права за достъп на различни групи служители и ръководители до

ресурсите на информационните системи в съответната администрация да се извършва на

базата на утвърдените профили съгласно чл. 52 от наредбата;

г) за всеки служител в администрацията да бъде определена принадлежност към профил,

съответстващ _________на служебните му задължения, вписани в длъжностната му характеристика;

д) служителите в администрацията да имат право на достъп само до тези ресурси на

информационните системи в администрацията, в която работят, или до системите на други

администрации само доколкото са им необходими за изпълнение на служебните задължения

съгласно длъжностната им характеристика;

е) всяка година да се провеждат опреснителни курсове по мрежова и информационна

сигурност, през които да преминават всички служители в администрацията;

ж) всички служители в администрацията да преминат обучение за действия при инциденти с

мрежовата и информационна сигурност.

2. Приложението за проверка на удостоверения за публични ключове (вкл. електронни

подписи) трябва да използва процедурата за проверка чрез Certificate Revocation Lists (CRL),

базиран на спецификацията RFC 3280 на IETF (Internet Engineering Task Force) или по

Протокол OCSP (Online Certificate Status Protocol), основан на спецификацията RFC 2560 на

IETF.

180

182

183

подновяване и прекратяване на удостоверения за електронен подпис в администрациите.

прекратяват следните удостоверения за електронен подпис в администрациите:

1. удостоверения за универсален електронен подпис, които могат да се използват от лица с

право да правят електронни изявления от името на администрацията;

2. удостоверения за универсален електронен подпис, които могат да се използват от лица,

овластени да изпращат направени от лица по т. 1 електронни изявления от името на

администрацията и само за нуждите на изпращането;

3. удостоверения за електронен подпис за вътрешноведомствени нужди в рамките на

вътрешна инфраструктура на публичния ключ на администрацията или за всички

администрации, които могат да се използват от всички служители на администрацията за

нуждите на възлагането, изпълнението и контрола по изпълнението на задачи;

4. удостоверения за електронен подпис за вътрешноведомствени нужди, издадено от външен

доставчик на удостоверителни услуги, които могат да се използват от всички служители в

администрацията за нуждите на възлагането, изпълнението и контрола по изпълнението на

задачи;

5. удостоверения за идентифициране на сървърите, които могат да се използват от

електронни изявления до администрациите и за идентифициране на сървърите, на които са

разположени интернет страниците и информационните им системи;

6. удостоверения за осигуряване на интегритет и право на авторство върху софтуерен код или

върху файлове, съдържащи друга информация или изпълним код, които могат да се използват

от администрациите по изключение.

удостоверителни услуги, регистриран от Комисията за регулиране на съобщенията, и се

предоставя за ползване на еднолични държавни органи, на членове на колективните държавни

органи, на служители или лица в администрациите, работещи по трудово или служебно

правоотношение, по граждански договор и на лица на кадрова военна служба.

Чл. 4. (1) Право да правят електронни изявления от името на администрациите имат лицата,

които притежават валидно удостоверение за универсален електронен подпис и са овластени

по силата на закон или са надлежно овластени.

(2) Право да изпращат електронни изявления по ал. 1 от името на администрациите имат

лицата, които притежават валидно удостоверение за универсален електронен подпис и са

овластени със заповед на ръководителя на администрацията.

(3) Право да правят електронни изявления в рамките на съответната администрация имат

лицата, които притежават валидно удостоверение за електронен подпис, независимо _________дали е

издадено за вътрешноведомствени нужди в рамките на вътрешна инфраструктура на

публичния ключ (ИПК) за конкретната администрация или за всички администрации или е

издадено от доставчик на удостоверителни услуги.

184

администрациите за нуждите на предоставянето на вътрешни електронни административни

услуги имат лицата, които притежават валидно удостоверение за електронен подпис, издадено

в рамките на вътрешна ИПК за всички администрации или издадено от доставчик на

удостоверителни услуги.

Чл. 5. (1) По изключение по реда на наредбата могат да се издават удостоверения за

универсален електронен подпис с титуляри физически лица - служители в администрациите,

след писмено разпореждане на ръководителите на съответните администрации.

(2) Условията и редът за използване на удостоверения за електронен подпис и други

удостоверения, използващи технологии на ИПК при обмен на документи през единната среда

за обмен на електронни документи, се определят с наредбата по чл. 41, ал. 2 от Закона за

електронното управление.

Чл. 6. (1) Общата организация, ръководството и контролът по изпълнението на наредбата се

извършва от директора на дирекцията или ръководителя на звеното, отговарящо за

информационно обслужване и информационните технологии в съответната администрация.

(2) Ръководителят на администрацията овластява със заповед директора на дирекцията,

съответно ръководителя на звеното или друго лице, което да го представлява пред доставчика

на удостоверителни услуги при издаване и управление на удостоверенията.

подпис се заявяват за издаване за срок една година считано от датата на издаването.